एचटीटीपीएस (HTTPS)

हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (एचटीटीपीएस) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (एचटीटीपी) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है। एचटीटीपीएस में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) या, पूर्व में, सुरक्षित सॉकेट लेयर (एसएसएल) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को टीएलएस पर एचटीटीपी के रूप में भी संदर्भित किया जाता है, या एसएसएल पर एचटीटीपी।

एचटीटीपीएस के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के समय एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट छेड़छाड़ के खिलाफ संचार की रक्षा करता है। एचटीटीपीएस के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित एचटीटीपीएस कनेक्शन सामान्यतः केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया। एचटीटीपीएस अब मूल गैर-सुरक्षित एचटीटीपी की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।

अवलोकन
यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (यूआरआई) स्कीम एचटीटीपीएस में एचटीटीपी स्कीम के समान उपयोग सिंटैक्स है।चूंकि, एचटीटीपीएस ट्रैफ़िक की सुरक्षा के लिए एसएसएल/टीएलएस की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।एसएसएल/टीएलएस विशेष रूप से एचटीटीपी के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर एचटीटीपी लेनदेन के साथ स्थिति है, जहां सामान्यतः केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।

एचटीटीपीएस एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।

क्योंकि एचटीटीपीएस पिग्गीबैक एचटीटीपी पूरी तरह से टीएलएस के शीर्ष पर है, अंतर्निहित एचटीटीपी प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का यूआरएल, क्वेरी पैरामीटर, हेडर और कुकीज़ सम्मलित हैं (जिसमें अधिकांशतः उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।चूंकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, एचटीटीपीएस उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी यूआरएल नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, चूंकि संचार की सामग्री नहीं है।

वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर एचटीटीपीएस वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर एचटीटीपीएस कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:


 * उपयोगकर्ता का भरोसा है कि उनका डिवाइस, ब्राउज़र की मेजबानी और ब्राउज़र को स्वयं प्राप्त करने के लिए विधि, समझौता नहीं किया जाता है (अर्ताथ कोई आपूर्ति श्रृंखला हमला नहीं है)।
 * उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से एचटीटीपीएस को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
 * उपयोगकर्ता केवल वैध वेबसाइटों के लिए प्रमाणपत्र प्राधिकरण पर भरोसा करता है (अर्ताथ प्रमाणपत्र प्राधिकरण से समझौता नहीं किया गया है और प्रमाण पत्रों का कोई गलत अनुमान नहीं है)।
 * वेबसाइट एक वैध प्रमाण पत्र प्रदान करती है, जिसका अर्थ है कि यह एक विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित था।
 * प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र एचटीटीपीएस://example.com पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
 * उपयोगकर्ता का भरोसा है कि प्रोटोकॉल की एन्क्रिप्शन लेयर (एसएसएल/टीएलएस) ईव्सड्रॉपर्स के खिलाफ पर्याप्त रूप से सुरक्षित है।

एचटीटीपीएस विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना। TOR (नेटवर्क) पर कनेक्शन के लिए एचटीटीपीएस भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह एचटीटीपीएस का विकास शुरू किया, जो टोर ब्राउज़र में सम्मलित है। जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर एचटीटीपीएस सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है। भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।

एचटीटीपीएस को तैनात करने से एचटीटीपी/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल स्पाइडी) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई एचटीटीपी की एक नई पीढ़ी है।

यह एचटीटीपी के साथ एचटीटीपी सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है जिससे कि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#एसएसएल स्ट्रिपिंग। एचटीटीपीएस को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-एचटीटीपी) के साथ भ्रमित नहीं होना चाहिए।

वेबसाइटों में उपयोग
, 33.2% एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से एचटीटीपीएस का उपयोग करें, इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% एचटीटीपीएस का सुरक्षित कार्यान्वयन है, और 70% पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) एचटीटीपीएस का उपयोग करें। चूंकि 2018 में टीएलएस 1.3 की रिलीज के अतिरिक्त, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।

ब्राउज़र एकीकरण
अधिकांश वेब ब्राउज़र एक चेतावनी प्रदर्शित करते हैं यदि वे एक अमान्य प्रमाण पत्र प्राप्त करते हैं।पुराने ब्राउज़र, जब एक अमान्य प्रमाण पत्र के साथ एक साइट से जुड़ते हैं, तो उपयोगकर्ता को एक संवाद बॉक्स के साथ पेश करते हुए पूछते हैं कि क्या वे जारी रखना चाहते हैं।नए ब्राउज़र पूरी खिड़की पर एक चेतावनी प्रदर्शित करते हैं।नए ब्राउज़र भी एड्रेस बार में साइट की सुरक्षा जानकारी को प्रमुखता से प्रदर्शित करते हैं।विस्तारित सत्यापन प्रमाणपत्र प्रमाणपत्र जानकारी पर कानूनी इकाई को दिखाते हैं।अधिकांश ब्राउज़र एक साइट पर जाने पर उपयोगकर्ता को एक चेतावनी भी प्रदर्शित करते हैं जिसमें एन्क्रिप्टेड और अनएन्क्रिप्टेड सामग्री का मिश्रण होता है।इसके अतिरिक्त, कई सामग्री-नियंत्रण सॉफ़्टवेयर निषिद्ध वेबसाइटों पर जाने पर एक सुरक्षा चेतावनी देते हैं।

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को एचटीटीपीएस के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह एचटीटीपीएस नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से एचटीटीपीएस को सक्षम बनाता है। एक वेब ब्राउज़र को केवल एचटीटीपीएस सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है। संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।

सुरक्षा
एचटीटीपीएस की सुरक्षा अंतर्निहित टीएलएस की है, जो सामान्यतः एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।चूंकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है। इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं। एचटीटीपीएस के प्रभावी होने के लिए, एक साइट को पूरी तरह से एचटीटीपीएस पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री एचटीटीपी (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, एचटीटीपीएस पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे एचटीटीपी पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, एचटीटीपीएस के माध्यम से परोसी जाने वाली साइट पर एचटीटीपी कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को एचटीटीपीएस के अतिरिक्त एचटीटीपी के साथ एक्सेस किया जाएगा।

एचटीटीपी
से अंतर एचटीटीपीएस यूआरएल एचटीटीपीएस: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, एचटीटीपी यूआरएल एचटीटीपी: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।

एचटीटीपी को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।एचटीटीपीएस को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (एचटीटीपीएस कार्यान्वयन के अपवाद के साथ जो एसएसएल के पदावनति संस्करणों का उपयोग करते हैं)।

नेटवर्क परतें
एचटीटीपी TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक एचटीटीपी संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, एचटीटीपीएस एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन एसएसएल/टीएलएस कनेक्शन पर साधारण एचटीटीपी के उपयोग को संदर्भित करता है।

एचटीटीपीएस एचटीटीपी हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।

सर्वर सेटअप
एचटीटीपीएस कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को सामान्यतः रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है जिससे कि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।

अधिग्रहण प्रमाण पत्र
कई वाणिज्यिक प्रमाणपत्र प्राधिकरण सम्मलित हैं, जो कि विस्तारित सत्यापन प्रमाणपत्रों सहित कई प्रकारों के एसएसएल/टीएलएस प्रमाणपत्रों के लिए भुगतान की पेशकश करते हैं।

आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए, मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है। इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में एचटीटीपी से एचटीटीपीएस में स्विचिंग करेंगे। अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।

एक्सेस कंट्रोल के रूप में उपयोग करें
सिस्टम का उपयोग क्लाइंट प्रमाणीकरण के लिए भी किया जा सकता है जिससे कि अधिकृत उपयोगकर्ताओं को वेब सर्वर तक पहुंच को सीमित किया जा सके।ऐसा करने के लिए, साइट व्यवस्थापक सामान्यतः प्रत्येक उपयोगकर्ता के लिए एक प्रमाण पत्र बनाता है, जिसे उपयोगकर्ता अपने ब्राउज़र में लोड करता है।सामान्यतः, प्रमाण पत्र में अधिकृत उपयोगकर्ता का नाम और ई-मेल पता होता है और उपयोगकर्ता की पहचान को सत्यापित करने के लिए प्रत्येक कनेक्शन पर सर्वर द्वारा स्वचालित रूप से चेक किया जाता है, संभवतः पासवर्ड की आवश्यकता के बिना भी।

निजी कुंजी की स्थिति में
इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।एचटीटीपीएस सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र। टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया।, 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।

प्रमाण पत्र निरसन
उदाहरण के लिए, यह समाप्त होने से पहले एक प्रमाण पत्र रद्द किया जा सकता है, क्योंकि निजी कुंजी की गोपनीयता से समझौता किया गया है।फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों के नए संस्करण, ओपेरा (वेब ब्राउज़र), और विंडोज विस्टा पर इंटरनेट एक्सप्लोरर यह सत्यापित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) को लागू करें कि यह स्थिति नहीं है।ब्राउज़र सर्टिफिकेट के सीरियल नंबर को सर्टिफिकेट अथॉरिटी या उसके प्रतिनिधि को OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के माध्यम से भेजता है और प्राधिकरण ने प्रतिक्रिया दी, ब्राउज़र को यह बताता है कि प्रमाण पत्र अभी भी मान्य है या नहीं। सीए लोगों को यह बताने के लिए एक प्रमाणपत्र निरस्तीकरण सूची भी जारी कर सकता है कि ये प्रमाण पत्र निरस्त कर दिए गए हैं।CRLs अब CA/BROWSER फोरम द्वारा आवश्यक नहीं हैं, फिर भी, वे अभी भी CAS द्वारा व्यापक रूप से उपयोग किए जाते हैं।प्रमाणपत्रों की समाप्ति के तुरंत बाद इंटरनेट पर अधिकांश निरसन की स्थिति गायब हो जाती है।

सीमाएँ
एसएसएल (सुरक्षित सॉकेट लेयर) और टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है। या तो स्थिति में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।

एसएसएल/टीएलएस एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ स्थितियों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है। यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।

क्योंकि परिवहन परत सुरक्षा एचटीटीपी के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं। अतीत में, इसका मतलब यह था कि एचटीटीपीएस के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान सम्मलित है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, चूंकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है। एक वास्तुशिल्प दृष्टिकोण से:


 * एक एसएसएल/टीएलएस कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो टीएलएस कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
 * पारस्परिक प्रमाणीकरण के साथ एसएसएल/टीएलएस के लिए, एसएसएल/टीएलएस सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
 * सुरक्षा पारस्परिक एसएसएल/टीएलएस के साथ अधिकतम है, लेकिन क्लाइंट-साइड पर एसएसएल/टीएलएस कनेक्शन को ठीक से समाप्त करने का कोई तरीका नहीं है और सभी संबंधित क्लाइंट एप्लिकेशन को समाप्त करने के लिए सर्वर सत्र की प्रतीक्षा करने के अतिरिक्त उपयोगकर्ता को डिस्कनेक्ट करें।

एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला एचटीटीपीएस द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है https: एक में लिंक http: लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में एचटीटीपीएस को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे एचटीटीपीएस का उपयोग कर रहे हैं जब वास्तव में वे एचटीटीपी का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है। इसने एचटीटीपी में एचटीटीपी सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।

एचटीटीपीएस को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में एचटीटीपीएस सुरक्षा के अतिरिक्त, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य। यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए एचटीटीपीएस की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से एचटीटीपीएस द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।

तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, एचटीटीपीएस का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक एचटीटीपीएस संसाधन खोलें। कई वेबसाइटें, जैसे neverएसएसएल.com, गारंटी देते हैं कि वे हमेशा एचटीटीपी द्वारा सुलभ रहेंगे।

इतिहास
नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए एचटीटीपीएस बनाया। मूल रूप से, एचटीटीपीएस का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि एसएसएल ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) में विकसित हुआ, एचटीटीपीएस को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र एचटीटीपी साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा। यह कदम वेबसाइट के मालिकों को एचटीटीपीएस को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।

यह भी देखें

 * परिवहन परत सुरक्षा
 * इंटरप्लेनेटरी फाइल सिस्टम - एचटीटीपीएस को बदल सकता है
 * बुलरुन (डिक्रिप्शन प्रोग्राम) – अमेरिकी राष्ट्रीय सुरक्षा एजेंसी द्वारा संचालित एक गुप्त एंटी-एन्क्रिप्शन कार्यक्रम
 * कंप्यूटर सुरक्षा
 * एचटीटीपी सख्त परिवहन सुरक्षा
 * अवसरवादी एन्क्रिप्शन
 * स्टंटल

बाहरी कड़ियाँ

 * The Transport Layer Secयूआरआईty (टीएलएस) Protocol Version 1.3

]