एचटीटीपीएस (HTTPS)

हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है। HTTPS में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) या, पूर्व में, सुरक्षित सॉकेट लेयर (SSL) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को TLS पर HTTP के रूप में भी संदर्भित किया जाता है, या SSL पर HTTP।

HTTPS के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के दौरान एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट#छेड़छाड़ के खिलाफ संचार की रक्षा करता है। HTTPS के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित HTTPS कनेक्शन आमतौर पर केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया। HTTPS अब मूल गैर-सुरक्षित HTTP की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।

अवलोकन
यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (URI) स्कीम HTTPS में HTTP स्कीम के समान उपयोग सिंटैक्स है।हालांकि, HTTPS ट्रैफ़िक की सुरक्षा के लिए SSL/TLS की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।SSL/TLS विशेष रूप से HTTP के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर HTTP लेनदेन के साथ मामला है, जहां आमतौर पर केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।

HTTPS एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।

क्योंकि HTTPS पिग्गीबैक HTTP पूरी तरह से TLS के शीर्ष पर है, अंतर्निहित HTTP प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का URL, क्वेरी पैरामीटर, हेडर और कुकीज़ शामिल हैं (जिसमें अक्सर उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।हालाँकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, HTTPS उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी URL नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, हालांकि संचार की सामग्री नहीं है।

वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर HTTPS वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर HTTPS कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:


 * उपयोगकर्ता का भरोसा है कि उनका डिवाइस, ब्राउज़र की मेजबानी और ब्राउज़र को स्वयं प्राप्त करने के लिए विधि, समझौता नहीं किया जाता है (यानी कोई आपूर्ति श्रृंखला हमला नहीं है)।
 * उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से HTTPS को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
 * उपयोगकर्ता केवल वैध वेबसाइटों के लिए प्रमाणपत्र प्राधिकरण पर भरोसा करता है (यानी प्रमाणपत्र प्राधिकरण से समझौता नहीं किया गया है और प्रमाण पत्रों का कोई गलत अनुमान नहीं है)।
 * वेबसाइट एक वैध प्रमाण पत्र प्रदान करती है, जिसका अर्थ है कि यह एक विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित था।
 * प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र https://example.com पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
 * उपयोगकर्ता का भरोसा है कि प्रोटोकॉल की एन्क्रिप्शन लेयर (एसएसएल/टीएलएस) ईव्सड्रॉपर्स के खिलाफ पर्याप्त रूप से सुरक्षित है।

HTTPS विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना। TOR (नेटवर्क) पर कनेक्शन के लिए HTTPS भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह HTTPS का विकास शुरू किया, जो टोर ब्राउज़र में शामिल है। जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर HTTPS सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है। भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।

HTTPS को तैनात करने से HTTP/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल SPDY) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई HTTP की एक नई पीढ़ी है।

यह HTTP के साथ HTTP सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है ताकि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#SSL स्ट्रिपिंग। HTTPS को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-HTTP) के साथ भ्रमित नहीं होना चाहिए।

वेबसाइटों में उपयोग
, 33.2% एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से HTTPS का उपयोग करें, इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% HTTPS का सुरक्षित कार्यान्वयन है, और 70% पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) HTTPS का उपयोग करें। हालांकि 2018 में टीएलएस 1.3 की रिलीज के बावजूद, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।

ब्राउज़र एकीकरण
अधिकांश वेब ब्राउज़र एक चेतावनी प्रदर्शित करते हैं यदि वे एक अमान्य प्रमाण पत्र प्राप्त करते हैं।पुराने ब्राउज़र, जब एक अमान्य प्रमाण पत्र के साथ एक साइट से जुड़ते हैं, तो उपयोगकर्ता को एक संवाद बॉक्स के साथ पेश करते हुए पूछते हैं कि क्या वे जारी रखना चाहते हैं।नए ब्राउज़र पूरी खिड़की पर एक चेतावनी प्रदर्शित करते हैं।नए ब्राउज़र भी एड्रेस बार में साइट की सुरक्षा जानकारी को प्रमुखता से प्रदर्शित करते हैं।विस्तारित सत्यापन प्रमाणपत्र प्रमाणपत्र जानकारी पर कानूनी इकाई को दिखाते हैं।अधिकांश ब्राउज़र एक साइट पर जाने पर उपयोगकर्ता को एक चेतावनी भी प्रदर्शित करते हैं जिसमें एन्क्रिप्टेड और अनएन्क्रिप्टेड सामग्री का मिश्रण होता है।इसके अतिरिक्त, कई सामग्री-नियंत्रण सॉफ़्टवेयर निषिद्ध वेबसाइटों पर जाने पर एक सुरक्षा चेतावनी देते हैं।

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को HTTPS के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह HTTPS नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से HTTPS को सक्षम बनाता है। एक वेब ब्राउज़र को केवल HTTPS सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है। संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।

सुरक्षा
HTTPS की सुरक्षा अंतर्निहित TLS की है, जो आमतौर पर एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।हालांकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है। इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं। HTTPS के प्रभावी होने के लिए, एक साइट को पूरी तरह से HTTPS पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री HTTP (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, HTTPS पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे HTTP पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, HTTPS के माध्यम से परोसी जाने वाली साइट पर HTTP कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को HTTPS के बजाय HTTP के साथ एक्सेस किया जाएगा।

http
से अंतर HTTPS URL HTTPS: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, HTTP URL HTTP: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।

HTTP को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।HTTPS को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (HTTPS कार्यान्वयन के अपवाद के साथ जो SSL के पदावनति संस्करणों का उपयोग करते हैं)।

नेटवर्क परतें
HTTP TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक HTTP संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, HTTPS एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन SSL/TLS कनेक्शन पर साधारण HTTP के उपयोग को संदर्भित करता है।

HTTPS HTTP हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।

सर्वर सेटअप
HTTPS कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को आम तौर पर रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है ताकि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।

अधिग्रहण प्रमाण पत्र
कई वाणिज्यिक प्रमाणपत्र प्राधिकरण मौजूद हैं, जो कि विस्तारित सत्यापन प्रमाणपत्रों सहित कई प्रकारों के एसएसएल/टीएलएस प्रमाणपत्रों के लिए भुगतान की पेशकश करते हैं।

आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए, मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है। इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में HTTP से HTTPS में स्विचिंग करेंगे। अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।

एक्सेस कंट्रोल के रूप में उपयोग करें
सिस्टम का उपयोग क्लाइंट प्रमाणीकरण के लिए भी किया जा सकता है ताकि अधिकृत उपयोगकर्ताओं को वेब सर्वर तक पहुंच को सीमित किया जा सके।ऐसा करने के लिए, साइट व्यवस्थापक आमतौर पर प्रत्येक उपयोगकर्ता के लिए एक प्रमाण पत्र बनाता है, जिसे उपयोगकर्ता अपने ब्राउज़र में लोड करता है।आम तौर पर, प्रमाण पत्र में अधिकृत उपयोगकर्ता का नाम और ई-मेल पता होता है और उपयोगकर्ता की पहचान को सत्यापित करने के लिए प्रत्येक कनेक्शन पर सर्वर द्वारा स्वचालित रूप से चेक किया जाता है, संभवतः पासवर्ड की आवश्यकता के बिना भी।

समझौता गुप्त (निजी) कुंजी
के मामले में इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।HTTPS सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र। टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया।, 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।

प्रमाण पत्र निरसन
उदाहरण के लिए, यह समाप्त होने से पहले एक प्रमाण पत्र रद्द किया जा सकता है, क्योंकि निजी कुंजी की गोपनीयता से समझौता किया गया है।फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों के नए संस्करण, ओपेरा (वेब ब्राउज़र), और विंडोज विस्टा पर इंटरनेट एक्सप्लोरर यह सत्यापित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) को लागू करें कि यह मामला नहीं है।ब्राउज़र सर्टिफिकेट के सीरियल नंबर को सर्टिफिकेट अथॉरिटी या उसके प्रतिनिधि को OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के माध्यम से भेजता है और प्राधिकरण ने प्रतिक्रिया दी, ब्राउज़र को यह बताता है कि प्रमाण पत्र अभी भी मान्य है या नहीं। सीए लोगों को यह बताने के लिए एक प्रमाणपत्र निरस्तीकरण सूची भी जारी कर सकता है कि ये प्रमाण पत्र निरस्त कर दिए गए हैं।CRLs अब CA/BROWSER फोरम द्वारा आवश्यक नहीं हैं, फिर भी, वे अभी भी CAS द्वारा व्यापक रूप से उपयोग किए जाते हैं।प्रमाणपत्रों की समाप्ति के तुरंत बाद इंटरनेट पर अधिकांश निरसन की स्थिति गायब हो जाती है।

सीमाएँ
SSL (सुरक्षित सॉकेट लेयर) और TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है। या तो मामले में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।

SSL/TLS एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ मामलों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है। यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।

क्योंकि परिवहन परत सुरक्षा HTTP के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं। अतीत में, इसका मतलब यह था कि HTTPS के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान मौजूद है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, हालांकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है। एक वास्तुशिल्प दृष्टिकोण से:


 * एक SSL/TLS कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो TLS कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
 * पारस्परिक प्रमाणीकरण के साथ SSL/TLS के लिए, SSL/TLS सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
 * सुरक्षा पारस्परिक एसएसएल/टीएलएस के साथ अधिकतम है, लेकिन क्लाइंट-साइड पर एसएसएल/टीएलएस कनेक्शन को ठीक से समाप्त करने का कोई तरीका नहीं है और सभी संबंधित क्लाइंट एप्लिकेशन को समाप्त करने के लिए सर्वर सत्र की प्रतीक्षा करने के अलावा उपयोगकर्ता को डिस्कनेक्ट करें।

एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला HTTPS द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है https: एक में लिंक http: लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में HTTPS को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे HTTPS का उपयोग कर रहे हैं जब वास्तव में वे HTTP का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है। इसने HTTP में HTTP सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।

HTTPS को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में HTTPS सुरक्षा के बावजूद, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य। यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए HTTPS की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से HTTPS द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।

तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, HTTPS का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक HTTPS संसाधन खोलें। कई वेबसाइटें, जैसे neverssl.com, गारंटी देते हैं कि वे हमेशा HTTP द्वारा सुलभ रहेंगे।

इतिहास
नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए HTTPS बनाया। मूल रूप से, HTTPS का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि SSL ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) में विकसित हुआ, HTTPS को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र HTTP साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा। यह कदम वेबसाइट के मालिकों को HTTPS को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।

यह भी देखें

 * परिवहन परत सुरक्षा
 * इंटरप्लेनेटरी फाइल सिस्टम - HTTPS को बदल सकता है
 * बुलरुन (डिक्रिप्शन प्रोग्राम) – अमेरिकी राष्ट्रीय सुरक्षा एजेंसी द्वारा संचालित एक गुप्त एंटी-एन्क्रिप्शन कार्यक्रम
 * कंप्यूटर सुरक्षा
 * HTTP सख्त परिवहन सुरक्षा
 * अवसरवादी एन्क्रिप्शन
 * स्टंटल

बाहरी कड़ियाँ

 * The Transport Layer Security (TLS) Protocol Version 1.3

]