एचटीटीपीएस (HTTPS): Difference between revisions

Revision as of 21:58, 14 January 2023

हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (एचटीटीपीएस) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (एचटीटीपी) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है।^[1]^[2] एचटीटीपीएस में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) या, पूर्व में, सुरक्षित सॉकेट लेयर (एसएसएल) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को टीएलएस पर एचटीटीपी के रूप में भी संदर्भित किया जाता है,^[3] या एसएसएल पर एचटीटीपी।

एचटीटीपीएस के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के समय एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट छेड़छाड़ के खिलाफ संचार की रक्षा करता है।^[4]^[5] एचटीटीपीएस के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित एचटीटीपीएस कनेक्शन सामान्यतः केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया।^[6] एचटीटीपीएस अब मूल गैर-सुरक्षित एचटीटीपी की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।

अवलोकन

Error creating thumbnail:

एचटीटीपीएस योजना और वर्ल्ड वाइड वेब डोमेन नाम लेबल के साथ प्रारंभ

यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (यूआरआई) स्कीम एचटीटीपीएस में एचटीटीपी स्कीम के समान उपयोग सिंटैक्स है।चूंकि, एचटीटीपीएस ट्रैफ़िक की सुरक्षा के लिए एसएसएल/टीएलएस की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।एसएसएल/टीएलएस विशेष रूप से एचटीटीपी के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर एचटीटीपी लेनदेन के साथ स्थिति है, जहां सामान्यतः केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।

एचटीटीपीएस एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।

क्योंकि एचटीटीपीएस पिग्गीबैक एचटीटीपी पूरी तरह से टीएलएस के शीर्ष पर है, अंतर्निहित एचटीटीपी प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का यूआरएल, क्वेरी पैरामीटर, हेडर और कुकीज़ सम्मलित हैं (जिसमें अधिकांशतः उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।चूंकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, एचटीटीपीएस उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी यूआरएल नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, चूंकि संचार की सामग्री नहीं है।^[4]

वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर एचटीटीपीएस वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर एचटीटीपीएस कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:

उपयोगकर्ता का भरोसा है कि उनका डिवाइस, ब्राउज़र की मेजबानी और ब्राउज़र को स्वयं प्राप्त करने के लिए विधि, समझौता नहीं किया जाता है (अर्ताथ कोई आपूर्ति श्रृंखला हमला नहीं है)।
उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से एचटीटीपीएस को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
उपयोगकर्ता केवल वैध वेबसाइटों के लिए प्रमाणपत्र प्राधिकरण पर भरोसा करता है (अर्ताथ प्रमाणपत्र प्राधिकरण से समझौता नहीं किया गया है और प्रमाण पत्रों का कोई गलत अनुमान नहीं है)।
वेबसाइट एक वैध प्रमाण पत्र प्रदान करती है, जिसका अर्थ है कि यह एक विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित था।
प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र एचटीटीपीएस://example.com पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
उपयोगकर्ता का भरोसा है कि प्रोटोकॉल की एन्क्रिप्शन लेयर (एसएसएल/टीएलएस) ईव्सड्रॉपर्स के खिलाफ पर्याप्त रूप से सुरक्षित है।

एचटीटीपीएस विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना।^[7] TOR (नेटवर्क) पर कनेक्शन के लिए एचटीटीपीएस भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह एचटीटीपीएस का विकास शुरू किया,^[4]जो टोर ब्राउज़र में सम्मलित है।^[8] जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर एचटीटीपीएस सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है।^[9]^[10] भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।^[11]^[12]^[13]

एचटीटीपीएस को तैनात करने से एचटीटीपी/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल स्पाइडी) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई एचटीटीपी की एक नई पीढ़ी है।

यह एचटीटीपी के साथ एचटीटीपी सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है जिससे कि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#एसएसएल स्ट्रिपिंग।^[13]^[14] एचटीटीपीएस को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-एचटीटीपी) के साथ भ्रमित नहीं होना चाहिए।

वेबसाइटों में उपयोग

As of April 2018^[update], 33.2% एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से एचटीटीपीएस का उपयोग करें,^[15] इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% एचटीटीपीएस का सुरक्षित कार्यान्वयन है,^[16] और 70% पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) एचटीटीपीएस का उपयोग करें।^[17] चूंकि 2018 में टीएलएस 1.3 की रिलीज के अतिरिक्त, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।^[18]

ब्राउज़र एकीकरण

अधिकांश वेब ब्राउज़र एक चेतावनी प्रदर्शित करते हैं यदि वे एक अमान्य प्रमाण पत्र प्राप्त करते हैं।पुराने ब्राउज़र, जब एक अमान्य प्रमाण पत्र के साथ एक साइट से जुड़ते हैं, तो उपयोगकर्ता को एक संवाद बॉक्स के साथ पेश करते हुए पूछते हैं कि क्या वे जारी रखना चाहते हैं।नए ब्राउज़र पूरी खिड़की पर एक चेतावनी प्रदर्शित करते हैं।नए ब्राउज़र भी एड्रेस बार में साइट की सुरक्षा जानकारी को प्रमुखता से प्रदर्शित करते हैं।विस्तारित सत्यापन प्रमाणपत्र प्रमाणपत्र जानकारी पर कानूनी इकाई को दिखाते हैं।अधिकांश ब्राउज़र एक साइट पर जाने पर उपयोगकर्ता को एक चेतावनी भी प्रदर्शित करते हैं जिसमें एन्क्रिप्टेड और अनएन्क्रिप्टेड सामग्री का मिश्रण होता है।इसके अतिरिक्त, कई सामग्री-नियंत्रण सॉफ़्टवेयर निषिद्ध वेबसाइटों पर जाने पर एक सुरक्षा चेतावनी देते हैं।

Comparison between different kinds of SSL/TLS certificates
(Using Firefox as an example)

Many web browsers, including Firefox (shown here), use the address bar to tell the user that their connection is secure, an Extended Validation Certificate should identify the legal entity for the certificate.
HTTPS on Firefox 89 screenshot.png

When accessing a site only with a common certificate, on the address bar of Firefox and other browsers, a "lock" sign appears.
Self-signed certificate warning on Firefox 89 screenshot.png

Most web browsers alert the user when visiting sites that have invalid security certificates.

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को एचटीटीपीएस के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह एचटीटीपीएस नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से एचटीटीपीएस को सक्षम बनाता है।^[19]^[20] एक वेब ब्राउज़र को केवल एचटीटीपीएस सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है।^[21] संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।^[22]^[23]

सुरक्षा

एचटीटीपीएस की सुरक्षा अंतर्निहित टीएलएस की है, जो सामान्यतः एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।चूंकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है।^[24]^[25] इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं।^[26]^{[needs update]} एचटीटीपीएस के प्रभावी होने के लिए, एक साइट को पूरी तरह से एचटीटीपीएस पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री एचटीटीपी (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, एचटीटीपीएस पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे एचटीटीपी पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, एचटीटीपीएस के माध्यम से परोसी जाने वाली साइट पर एचटीटीपी कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को एचटीटीपीएस के अतिरिक्त एचटीटीपी के साथ एक्सेस किया जाएगा।^[13]

तकनीकी

=== एचटीटीपी === से अंतर एचटीटीपीएस यूआरएल एचटीटीपीएस: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, एचटीटीपी यूआरएल एचटीटीपी: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।

एचटीटीपी को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।एचटीटीपीएस को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (एचटीटीपीएस कार्यान्वयन के अपवाद के साथ जो एसएसएल के पदावनति संस्करणों का उपयोग करते हैं)।

नेटवर्क परतें

एचटीटीपी TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक एचटीटीपी संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, एचटीटीपीएस एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन एसएसएल/टीएलएस कनेक्शन पर साधारण एचटीटीपी के उपयोग को संदर्भित करता है।

एचटीटीपीएस एचटीटीपी हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।

सर्वर सेटअप

एचटीटीपीएस कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को सामान्यतः रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है जिससे कि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।

अधिग्रहण प्रमाण पत्र

कई वाणिज्यिक प्रमाणपत्र प्राधिकरण सम्मलित हैं, जो कि विस्तारित सत्यापन प्रमाणपत्रों सहित कई प्रकारों के एसएसएल/टीएलएस प्रमाणपत्रों के लिए भुगतान की पेशकश करते हैं।

आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए,^[27] मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है।^[28] इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में एचटीटीपी से एचटीटीपीएस में स्विचिंग करेंगे।^[29] अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।

एक्सेस कंट्रोल के रूप में उपयोग करें

सिस्टम का उपयोग क्लाइंट प्रमाणीकरण के लिए भी किया जा सकता है जिससे कि अधिकृत उपयोगकर्ताओं को वेब सर्वर तक पहुंच को सीमित किया जा सके।ऐसा करने के लिए, साइट व्यवस्थापक सामान्यतः प्रत्येक उपयोगकर्ता के लिए एक प्रमाण पत्र बनाता है, जिसे उपयोगकर्ता अपने ब्राउज़र में लोड करता है।सामान्यतः, प्रमाण पत्र में अधिकृत उपयोगकर्ता का नाम और ई-मेल पता होता है और उपयोगकर्ता की पहचान को सत्यापित करने के लिए प्रत्येक कनेक्शन पर सर्वर द्वारा स्वचालित रूप से चेक किया जाता है, संभवतः पासवर्ड की आवश्यकता के बिना भी।

निजी कुंजी की स्थिति में

इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।एचटीटीपीएस सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र।^[26]टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया। As of February 2020^[update], 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।^[30]

प्रमाण पत्र निरसन

उदाहरण के लिए, यह समाप्त होने से पहले एक प्रमाण पत्र रद्द किया जा सकता है, क्योंकि निजी कुंजी की गोपनीयता से समझौता किया गया है।फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों के नए संस्करण,^[31] ओपेरा (वेब ब्राउज़र),^[32] और विंडोज विस्टा पर इंटरनेट एक्सप्लोरर^[33] यह सत्यापित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) को लागू करें कि यह स्थिति नहीं है।ब्राउज़र सर्टिफिकेट के सीरियल नंबर को सर्टिफिकेट अथॉरिटी या उसके प्रतिनिधि को OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के माध्यम से भेजता है और प्राधिकरण ने प्रतिक्रिया दी, ब्राउज़र को यह बताता है कि प्रमाण पत्र अभी भी मान्य है या नहीं।^[34] सीए लोगों को यह बताने के लिए एक प्रमाणपत्र निरस्तीकरण सूची भी जारी कर सकता है कि ये प्रमाण पत्र निरस्त कर दिए गए हैं।CRLs अब CA/BROWSER फोरम द्वारा आवश्यक नहीं हैं,^[35] फिर भी, वे अभी भी CAS द्वारा व्यापक रूप से उपयोग किए जाते हैं।प्रमाणपत्रों की समाप्ति के तुरंत बाद इंटरनेट पर अधिकांश निरसन की स्थिति गायब हो जाती है।^[36]

सीमाएँ

एसएसएल (सुरक्षित सॉकेट लेयर) और टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है।^[37] या तो स्थिति में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।

एसएसएल/टीएलएस एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ स्थितियों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है।^[38] यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।

क्योंकि परिवहन परत सुरक्षा एचटीटीपी के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं।^[39] अतीत में, इसका मतलब यह था कि एचटीटीपीएस के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान सम्मलित है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, चूंकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है।^[40]^[41]^[42] एक वास्तुशिल्प दृष्टिकोण से:

एक एसएसएल/टीएलएस कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो टीएलएस कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
पारस्परिक प्रमाणीकरण के साथ एसएसएल/टीएलएस के लिए, एसएसएल/टीएलएस सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
सुरक्षा पारस्परिक एसएसएल/टीएलएस के साथ अधिकतम है, लेकिन क्लाइंट-साइड पर एसएसएल/टीएलएस कनेक्शन को ठीक से समाप्त करने का कोई तरीका नहीं है और सभी संबंधित क्लाइंट एप्लिकेशन को समाप्त करने के लिए सर्वर सत्र की प्रतीक्षा करने के अतिरिक्त उपयोगकर्ता को डिस्कनेक्ट करें।

एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला एचटीटीपीएस द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है https: एक में लिंक http: लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में एचटीटीपीएस को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे एचटीटीपीएस का उपयोग कर रहे हैं जब वास्तव में वे एचटीटीपी का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है।^[43] इसने एचटीटीपी में एचटीटीपी सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।

एचटीटीपीएस को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में एचटीटीपीएस सुरक्षा के अतिरिक्त, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य।^[44] यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए एचटीटीपीएस की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से एचटीटीपीएस द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।

तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, एचटीटीपीएस का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक एचटीटीपीएस संसाधन खोलें।^[45] कई वेबसाइटें, जैसे neverएसएसएल.com, गारंटी देते हैं कि वे हमेशा एचटीटीपी द्वारा सुलभ रहेंगे।^[46]

इतिहास

नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए एचटीटीपीएस बनाया।^[47] मूल रूप से, एचटीटीपीएस का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि एसएसएल ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) में विकसित हुआ, एचटीटीपीएस को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र एचटीटीपी साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा।^[48] यह कदम वेबसाइट के मालिकों को एचटीटीपीएस को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।

यह भी देखें

परिवहन परत सुरक्षा
इंटरप्लेनेटरी फाइल सिस्टम - एचटीटीपीएस को बदल सकता है
बुलरुन (डिक्रिप्शन प्रोग्राम) – अमेरिकी राष्ट्रीय सुरक्षा एजेंसी द्वारा संचालित एक गुप्त एंटी-एन्क्रिप्शन कार्यक्रम
कंप्यूटर सुरक्षा
एचटीटीपी सख्त परिवहन सुरक्षा
अवसरवादी एन्क्रिप्शन
स्टंटल

संदर्भ

↑ "HTTPS के साथ अपनी साइट को सुरक्षित करें". Google Support. Google Inc. Archived from the original on 1 March 2015. Retrieved 20 October 2018.
↑ "HTTPS क्या है?". Comodo CA Limited. Archived from the original on 12 February 2015. Retrieved 20 October 2018. हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) HTTP का सुरक्षित संस्करण है [...]
↑ "https URI Scheme". HTTP शब्दार्थ. IETF. June 2022. sec. 4.2.2. doi:10.17487/RFC9110. RFC 9110.
↑ ^4.0 ^4.1 ^4.2 "Https हर जगह faq". 8 November 2016. Archived from the original on 14 November 2018. Retrieved 20 October 2018.
↑ "वेबसाइटों के लिए डिफ़ॉल्ट प्रोटोकॉल https के उपयोग के आँकड़े, जुलाई 2019". w3techs.com. Archived from the original on 1 August 2019. Retrieved 20 July 2019.
↑ "वेब को एन्क्रिप्ट करना". Electronic Frontier Foundation. Archived from the original on 18 November 2019. Retrieved 19 November 2019.
↑ "होटल वाईफाई जावास्क्रिप्ट इंजेक्शन". JustInsomnia. 3 April 2012. Archived from the original on 18 November 2018. Retrieved 20 October 2018.
↑ The Tor Project, Inc. "टोर ब्राउज़र क्या है?". TorProject.org. Archived from the original on 17 July 2013. Retrieved 30 May 2012.
↑ Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13 November 2014). "Https को गले लगाना". The New York Times. Archived from the original on 8 January 2019. Retrieved 20 October 2018.
↑ Gallagher, Kevin (12 September 2014). "एनएसए के खुलासे के पंद्रह महीने बाद, HTTPS का उपयोग करने वाले अधिक समाचार संगठन क्यों नहीं हैं?". Freedom of the Press Foundation. Archived from the original on 10 August 2018. Retrieved 20 October 2018.
↑ "एक रैंकिंग संकेत के रूप में https". Google Webmaster Central Blog. Google Inc. 6 August 2014. Archived from the original on 17 October 2018. Retrieved 20 October 2018. आप अपनी साइट को HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) के साथ सुरक्षित कर सकते हैं [...]
↑ Grigorik, Ilya; Far, Pierre (26 June 2014). "Google I/O 2014 - HTTPS हर जगह". Google Developers. Archived from the original on 20 November 2018. Retrieved 20 October 2018.
↑ ^13.0 ^13.1 ^13.2 "HTTPS को सही तरीके से कैसे तैनात करें". 15 November 2010. Archived from the original on 10 October 2018. Retrieved 20 October 2018.
↑ "HTTP सख्त परिवहन सुरक्षा". Mozilla Developer Network. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
↑ "शीर्ष 1M वेबसाइटों पर HTTPS उपयोग सांख्यिकी". StatOperator.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
↑ "क्वालिस एसएसएल लैब्स - एसएसएल पल्स". www.ssllabs.com. 3 April 2018. Archived from the original on 2 December 2017. Retrieved 20 October 2018.
↑ "चलो आँकड़ों को एन्क्रिप्ट करते हैं". LetsEncrypt.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
↑ "टीएलएस 1.3: मजबूत वेब एन्क्रिप्शन को धीमा अपनाना बुरे लोगों को सशक्त बना रहा है". Help Net Security (in English). 2020-04-06. Retrieved 2022-05-23.
↑ Eckersley, Peter (17 June 2010). "HTTPS हर जगह फ़ायरफ़ॉक्स एक्सटेंशन के साथ वेब को एन्क्रिप्ट करें". EFF blog. Archived from the original on 25 November 2018. Retrieved 20 October 2018.
↑ "हर जगह https।". EFF projects. 7 October 2011. Archived from the original on 5 June 2011. Retrieved 20 October 2018.
↑ "फ़ायरफ़ॉक्स में https-only मोड". Retrieved 12 November 2021.{{cite web}}: CS1 maint: url-status (link)
↑ "Chrome सुरक्षा और सुरक्षा प्रबंधित करें - Android - Google Chrome सहायता". support.google.com. Retrieved 2022-03-07.
↑ "Chrome के HTTPS-FIRST मोड पर हाथ". Techdows (in English). 2021-07-19. Retrieved 2022-03-07.
↑ Singel, Ryan (24 March 2010). "कानून प्रवर्तन उपकरण ssl". Wired. Archived from the original on 17 January 2019. Retrieved 20 October 2018.
↑ Schoen, Seth (24 March 2010). "नए शोध से पता चलता है कि सरकारें SSL प्रमाणपत्रों को नकली कर सकती हैं". EFF. Archived from the original on 4 January 2016. Retrieved 20 October 2018.
↑ ^26.0 ^26.1 Duncan, Robert (25 June 2013). "SSL: आज इंटरसेप्टेड, कल डिक्रिप्टेड". Netcraft. Archived from the original on 6 October 2018. Retrieved 20 October 2018.
↑ Cimpanu, Catalin (12 April 2016). "आइए आज लॉन्च किए गए एन्क्रिप्ट, वर्तमान में 3.8 मिलियन डोमेन की सुरक्षा करता है". Softpedia News. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
↑ Kerner, Sean Michael (18 November 2014). "चलो एन्क्रिप्ट प्रयास का उद्देश्य इंटरनेट सुरक्षा में सुधार करना है". eWeek.com. Quinstreet Enterprise. Retrieved 20 October 2018.
↑ Eckersley, Peter (18 November 2014). "2015 में लॉन्चिंग: पूरे वेब को एन्क्रिप्ट करने के लिए एक प्रमाणपत्र प्राधिकरण". Electronic Frontier Foundation. Archived from the original on 18 November 2018. Retrieved 20 October 2018.
↑ Qualys SSL Labs. "एसएसएल पल्स". Archived from the original (3 February 2019) on 15 February 2019. Retrieved 25 February 2019.
↑ "मोज़िला फ़ायरफ़ॉक्स गोपनीयता नीति". Mozilla Foundation. 27 April 2009. Archived from the original on 18 October 2018. Retrieved 20 October 2018.
↑ "ओपेरा 8 को एफ़टीपी पर लॉन्च किया गया". Softpedia. 19 April 2005. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
↑ Lawrence, Eric (31 January 2006). "इंटरनेट एक्सप्लोरर 7 में HTTPS सुरक्षा सुधार 7". Microsoft Docs. Retrieved 24 October 2021.
↑ Myers, Michael; Ankney, Rich; Malpani, Ambarish; Galperin, Slava; Adams, Carlisle (20 June 1999). "ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल - OCSP". Internet Engineering Task Force. doi:10.17487/RFC2560. Archived from the original on 25 August 2011. Retrieved 20 October 2018. {{cite journal}}: Cite journal requires |journal= (help)
↑ "आधारभूत आवश्यकताएँ". CAB Forum. Retrieved 1 November 2021.{{cite web}}: CS1 maint: url-status (link)
↑ Korzhitskii, Nikita; Carlsson, Niklas (2021). इंटरनेट पर निरसन की स्थिति. arXiv:2102.04288. {{cite book}}: |work= ignored (help)CS1 maint: url-status (link)
↑ "क्रोम उपकरणों पर क्लाइंट सर्टिफिकेट का प्रबंधन करें - व्यवसाय और शिक्षा के लिए क्रोम". support.google.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
↑ Pusep, Stanislaw (31 July 2008). "समुद्री डाकू बे अन-एसएसएल" (PDF). Archived (PDF) from the original on 20 June 2018. Retrieved 20 October 2018.
↑ "SSL/TLS मजबूत एन्क्रिप्शन: FAQ". apache.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
↑ Lawrence, Eric (22 October 2005). "इंटरनेट एक्सप्लोरर 7 बीटा 2 में आगामी HTTPS सुधार". Microsoft. Archived from the original on 20 September 2018. Retrieved 20 October 2018.
↑ "सर्वर नाम संकेत (एसएनआई)". inside aebrahim's head. 21 February 2006. Archived from the original on 10 August 2018. Retrieved 20 October 2018.
↑ Pierre, Julien (19 December 2001). "टीएलएस सर्वर नाम संकेत के लिए ब्राउज़र समर्थन". Bugzilla. Mozilla Foundation. Archived from the original on 8 October 2018. Retrieved 20 October 2018.
↑ "SSLSTRIP 0.9". Archived from the original on 20 June 2018. Retrieved 20 October 2018.
↑ Shuo Chen; Rui Wang; XiaoFeng Wang; Kehuan Zhang (20 May 2010). "वेब एप्लिकेशन में साइड-चैनल लीक: एक वास्तविकता आज, एक चुनौती कल". Microsoft Research. IEEE Symposium on Security & Privacy 2010. Archived from the original on 22 July 2018. Retrieved 20 October 2018.
↑ Guaay, Matthew (21 September 2017). "कैसे एक सार्वजनिक वाई-फाई नेटवर्क लॉगिन पेज को खोलने के लिए मजबूर करने के लिए". Archived from the original on 10 August 2018. Retrieved 20 October 2018.
↑ "Neverssl". Archived from the original on 1 September 2018. Retrieved 20 October 2018.
↑ Walls, Colin (2005). एंबेडेड सॉफ्टवेयर: काम करता है. Newnes. p. 344. ISBN 0-7506-7954-9. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
↑ "एक सुरक्षित वेब यहाँ रहने के लिए है". Chromium Blog. Archived from the original on 24 April 2019. Retrieved 22 April 2019.

बाहरी कड़ियाँ

RFC 8446: The Transport Layer Secयूआरआईty (टीएलएस) Protocol Version 1.3

श्रेणी: हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल श्रेणी: क्रिप्टोग्राफिक प्रोटोकॉल श्रेणी: सुरक्षित संचार श्रेणी: उरी योजनाएं श्रेणी: परिवहन परत सुरक्षा श्रेणी: १ ९९ ४ में कंप्यूटर से संबंधित परिचय]

[1] "HTTPS के साथ अपनी साइट को सुरक्षित करें". Google Support. Google Inc. Archived from the original on 1 March 2015. Retrieved 20 October 2018.

[2] "HTTPS क्या है?". Comodo CA Limited. Archived from the original on 12 February 2015. Retrieved 20 October 2018. हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) HTTP का सुरक्षित संस्करण है [...]

[3] "https URI Scheme". HTTP शब्दार्थ. IETF. June 2022. sec. 4.2.2. doi:10.17487/RFC9110. RFC 9110.

[httpse-4] 4.0 ^4.1 ^4.2 "Https हर जगह faq". 8 November 2016. Archived from the original on 14 November 2018. Retrieved 20 October 2018.

[5] "वेबसाइटों के लिए डिफ़ॉल्ट प्रोटोकॉल https के उपयोग के आँकड़े, जुलाई 2019". w3techs.com. Archived from the original on 1 August 2019. Retrieved 20 July 2019.

[6] "वेब को एन्क्रिप्ट करना". Electronic Frontier Foundation. Archived from the original on 18 November 2019. Retrieved 19 November 2019.

[7] "होटल वाईफाई जावास्क्रिप्ट इंजेक्शन". JustInsomnia. 3 April 2012. Archived from the original on 18 November 2018. Retrieved 20 October 2018.

[8] The Tor Project, Inc. "टोर ब्राउज़र क्या है?". TorProject.org. Archived from the original on 17 July 2013. Retrieved 30 May 2012.

[9] Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13 November 2014). "Https को गले लगाना". The New York Times. Archived from the original on 8 January 2019. Retrieved 20 October 2018.

[10] Gallagher, Kevin (12 September 2014). "एनएसए के खुलासे के पंद्रह महीने बाद, HTTPS का उपयोग करने वाले अधिक समाचार संगठन क्यों नहीं हैं?". Freedom of the Press Foundation. Archived from the original on 10 August 2018. Retrieved 20 October 2018.

[11] "एक रैंकिंग संकेत के रूप में https". Google Webmaster Central Blog. Google Inc. 6 August 2014. Archived from the original on 17 October 2018. Retrieved 20 October 2018. आप अपनी साइट को HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) के साथ सुरक्षित कर सकते हैं [...]

[12] Grigorik, Ilya; Far, Pierre (26 June 2014). "Google I/O 2014 - HTTPS हर जगह". Google Developers. Archived from the original on 20 November 2018. Retrieved 20 October 2018.

[deployhttpscorrectly-13] 13.0 ^13.1 ^13.2 "HTTPS को सही तरीके से कैसे तैनात करें". 15 November 2010. Archived from the original on 10 October 2018. Retrieved 20 October 2018.

[14] "HTTP सख्त परिवहन सुरक्षा". Mozilla Developer Network. Archived from the original on 19 October 2018. Retrieved 20 October 2018.

[15] "शीर्ष 1M वेबसाइटों पर HTTPS उपयोग सांख्यिकी". StatOperator.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.

[16] "क्वालिस एसएसएल लैब्स - एसएसएल पल्स". www.ssllabs.com. 3 April 2018. Archived from the original on 2 December 2017. Retrieved 20 October 2018.

[17] "चलो आँकड़ों को एन्क्रिप्ट करते हैं". LetsEncrypt.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.

[18] "टीएलएस 1.3: मजबूत वेब एन्क्रिप्शन को धीमा अपनाना बुरे लोगों को सशक्त बना रहा है". Help Net Security (in English). 2020-04-06. Retrieved 2022-05-23.

[19] Eckersley, Peter (17 June 2010). "HTTPS हर जगह फ़ायरफ़ॉक्स एक्सटेंशन के साथ वेब को एन्क्रिप्ट करें". EFF blog. Archived from the original on 25 November 2018. Retrieved 20 October 2018.

[20] "हर जगह https।". EFF projects. 7 October 2011. Archived from the original on 5 June 2011. Retrieved 20 October 2018.

[21] "फ़ायरफ़ॉक्स में https-only मोड". Retrieved 12 November 2021.{{cite web}}: CS1 maint: url-status (link)

[22] "Chrome सुरक्षा और सुरक्षा प्रबंधित करें - Android - Google Chrome सहायता". support.google.com. Retrieved 2022-03-07.

[23] "Chrome के HTTPS-FIRST मोड पर हाथ". Techdows (in English). 2021-07-19. Retrieved 2022-03-07.

[24] Singel, Ryan (24 March 2010). "कानून प्रवर्तन उपकरण ssl". Wired. Archived from the original on 17 January 2019. Retrieved 20 October 2018.

[25] Schoen, Seth (24 March 2010). "नए शोध से पता चलता है कि सरकारें SSL प्रमाणपत्रों को नकली कर सकती हैं". EFF. Archived from the original on 4 January 2016. Retrieved 20 October 2018.

[ecdhe-26] 26.0 ^26.1 Duncan, Robert (25 June 2013). "SSL: आज इंटरसेप्टेड, कल डिक्रिप्टेड". Netcraft. Archived from the original on 6 October 2018. Retrieved 20 October 2018.

[softpedia-launch-27] Cimpanu, Catalin (12 April 2016). "आइए आज लॉन्च किए गए एन्क्रिप्ट, वर्तमान में 3.8 मिलियन डोमेन की सुरक्षा करता है". Softpedia News. Archived from the original on 9 February 2019. Retrieved 20 October 2018.

[28] Kerner, Sean Michael (18 November 2014). "चलो एन्क्रिप्ट प्रयास का उद्देश्य इंटरनेट सुरक्षा में सुधार करना है". eWeek.com. Quinstreet Enterprise. Retrieved 20 October 2018.

[29] Eckersley, Peter (18 November 2014). "2015 में लॉन्चिंग: पूरे वेब को एन्क्रिप्ट करने के लिए एक प्रमाणपत्र प्राधिकरण". Electronic Frontier Foundation. Archived from the original on 18 November 2018. Retrieved 20 October 2018.

[30] Qualys SSL Labs. "एसएसएल पल्स". Archived from the original (3 February 2019) on 15 February 2019. Retrieved 25 February 2019.

[31] "मोज़िला फ़ायरफ़ॉक्स गोपनीयता नीति". Mozilla Foundation. 27 April 2009. Archived from the original on 18 October 2018. Retrieved 20 October 2018.

[32] "ओपेरा 8 को एफ़टीपी पर लॉन्च किया गया". Softpedia. 19 April 2005. Archived from the original on 9 February 2019. Retrieved 20 October 2018.

[33] Lawrence, Eric (31 January 2006). "इंटरनेट एक्सप्लोरर 7 में HTTPS सुरक्षा सुधार 7". Microsoft Docs. Retrieved 24 October 2021.

[34] Myers, Michael; Ankney, Rich; Malpani, Ambarish; Galperin, Slava; Adams, Carlisle (20 June 1999). "ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल - OCSP". Internet Engineering Task Force. doi:10.17487/RFC2560. Archived from the original on 25 August 2011. Retrieved 20 October 2018. {{cite journal}}: Cite journal requires |journal= (help)

[35] "आधारभूत आवश्यकताएँ". CAB Forum. Retrieved 1 November 2021.{{cite web}}: CS1 maint: url-status (link)

[36] Korzhitskii, Nikita; Carlsson, Niklas (2021). इंटरनेट पर निरसन की स्थिति. arXiv:2102.04288. {{cite book}}: |work= ignored (help)CS1 maint: url-status (link)

[37] "क्रोम उपकरणों पर क्लाइंट सर्टिफिकेट का प्रबंधन करें - व्यवसाय और शिक्षा के लिए क्रोम". support.google.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.

[38] Pusep, Stanislaw (31 July 2008). "समुद्री डाकू बे अन-एसएसएल" (PDF). Archived (PDF) from the original on 20 June 2018. Retrieved 20 October 2018.

[39] "SSL/TLS मजबूत एन्क्रिप्शन: FAQ". apache.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.

[40] Lawrence, Eric (22 October 2005). "इंटरनेट एक्सप्लोरर 7 बीटा 2 में आगामी HTTPS सुधार". Microsoft. Archived from the original on 20 September 2018. Retrieved 20 October 2018.

[41] "सर्वर नाम संकेत (एसएनआई)". inside aebrahim's head. 21 February 2006. Archived from the original on 10 August 2018. Retrieved 20 October 2018.

[42] Pierre, Julien (19 December 2001). "टीएलएस सर्वर नाम संकेत के लिए ब्राउज़र समर्थन". Bugzilla. Mozilla Foundation. Archived from the original on 8 October 2018. Retrieved 20 October 2018.

[43] "SSLSTRIP 0.9". Archived from the original on 20 June 2018. Retrieved 20 October 2018.

[44] Shuo Chen; Rui Wang; XiaoFeng Wang; Kehuan Zhang (20 May 2010). "वेब एप्लिकेशन में साइड-चैनल लीक: एक वास्तविकता आज, एक चुनौती कल". Microsoft Research. IEEE Symposium on Security & Privacy 2010. Archived from the original on 22 July 2018. Retrieved 20 October 2018.

[45] Guaay, Matthew (21 September 2017). "कैसे एक सार्वजनिक वाई-फाई नेटवर्क लॉगिन पेज को खोलने के लिए मजबूर करने के लिए". Archived from the original on 10 August 2018. Retrieved 20 October 2018.

[46] "Neverssl". Archived from the original on 1 September 2018. Retrieved 20 October 2018.

[47] Walls, Colin (2005). एंबेडेड सॉफ्टवेयर: काम करता है. Newnes. p. 344. ISBN 0-7506-7954-9. Archived from the original on 9 February 2019. Retrieved 20 October 2018.

[48] "एक सुरक्षित वेब यहाँ रहने के लिए है". Chromium Blog. Archived from the original on 24 April 2019. Retrieved 22 April 2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

@@ Line 1: / Line 1: @@
 {{short description|Extension of the HTTP communications protocol to support TLS encryption}}
-{{Use dmy dates|date=November 2021}}
 {{IPstack}}
-{{HTTP}}
+हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (एचटीटीपीएस) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (एचटीटीपी) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है।<ref>{{cite web |url=https://support.google.com/webmasters/answer/6073543?hl=en |publisher=Google Inc. |work=Google Support |access-date=20 October 2018 |title=HTTPS के साथ अपनी साइट को सुरक्षित करें|archive-url=https://web.archive.org/web/20150301023624/https://support.google.com/webmasters/answer/6073543?hl=en |archive-date=1 March 2015 |url-status=live }}</ref><ref>{{cite web |url=https://www.instantssl.com/ssl-certificate-products/https.html |publisher=[[Comodo Group|Comodo CA Limited]] |quote=हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) HTTP का सुरक्षित संस्करण है [...]|access-date=20 October 2018 |title=HTTPS क्या है?|archive-url=https://web.archive.org/web/20150212105201/https://www.instantssl.com/ssl-certificate-products/https.html |archive-date=12 February 2015 |url-status=live }}</ref> एचटीटीपीएस में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) या, पूर्व में, सुरक्षित सॉकेट लेयर (एसएसएल) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को टीएलएस पर एचटीटीपी के रूप में भी संदर्भित किया जाता है,<ref>{{cite IETF |title=HTTP शब्दार्थ|rfc=9110 |sectionname=https URI Scheme |section=4.2.2 |date=June 2022 |publisher=[[Internet Engineering Task Force|IETF]]}}</ref> या एसएसएल पर एचटीटीपी।
-हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है।<ref>{{cite web |url=https://support.google.com/webmasters/answer/6073543?hl=en |publisher=Google Inc. |work=Google Support |access-date=20 October 2018 |title=HTTPS के साथ अपनी साइट को सुरक्षित करें|archive-url=https://web.archive.org/web/20150301023624/https://support.google.com/webmasters/answer/6073543?hl=en |archive-date=1 March 2015 |url-status=live }}</ref><ref>{{cite web |url=https://www.instantssl.com/ssl-certificate-products/https.html |publisher=[[Comodo Group|Comodo CA Limited]] |quote=हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) HTTP का सुरक्षित संस्करण है [...]|access-date=20 October 2018 |title=HTTPS क्या है?|archive-url=https://web.archive.org/web/20150212105201/https://www.instantssl.com/ssl-certificate-products/https.html |archive-date=12 February 2015 |url-status=live }}</ref> HTTPS में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) या, पूर्व में, सुरक्षित सॉकेट लेयर (SSL) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को TLS पर HTTP के रूप में भी संदर्भित किया जाता है,<ref>{{cite IETF |title=HTTP शब्दार्थ|rfc=9110 |sectionname=https URI Scheme |section=4.2.2 |date=June 2022 |publisher=[[Internet Engineering Task Force|IETF]]}}</ref> या SSL पर HTTP।
-HTTPS के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के समय एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट#छेड़छाड़ के खिलाफ संचार की रक्षा करता है।<ref name=httpse>{{cite web |url=https://www.eff.org/https-everywhere/faq |title=Https हर जगह faq|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181114011956/https://www.eff.org/https-everywhere/faq/ |archive-date=14 November 2018 |url-status=live |date=8 November 2016}}</ref><ref>{{Cite web|url=https://w3techs.com/technologies/details/ce-httpsdefault/all/all|title=वेबसाइटों के लिए डिफ़ॉल्ट प्रोटोकॉल https के उपयोग के आँकड़े, जुलाई 2019|website=w3techs.com|access-date=20 July 2019|archive-url=https://web.archive.org/web/20190801134536/https://w3techs.com/technologies/details/ce-httpsdefault/all/all|archive-date=1 August 2019|url-status=live}}</ref> HTTPS के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित HTTPS कनेक्शन सामान्यतः केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया।<ref>{{cite web |title=वेब को एन्क्रिप्ट करना|url=https://www.eff.org/encrypt-the-web |website=Electronic Frontier Foundation |access-date=19 November 2019 |archive-url=https://web.archive.org/web/20191118094200/https://www.eff.org/encrypt-the-web |archive-date=18 November 2019 |url-status=live }}</ref> HTTPS अब मूल गैर-सुरक्षित HTTP की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।
+एचटीटीपीएस के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के समय एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट छेड़छाड़ के खिलाफ संचार की रक्षा करता है।<ref name=httpse>{{cite web |url=https://www.eff.org/https-everywhere/faq |title=Https हर जगह faq|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181114011956/https://www.eff.org/https-everywhere/faq/ |archive-date=14 November 2018 |url-status=live |date=8 November 2016}}</ref><ref>{{Cite web|url=https://w3techs.com/technologies/details/ce-httpsdefault/all/all|title=वेबसाइटों के लिए डिफ़ॉल्ट प्रोटोकॉल https के उपयोग के आँकड़े, जुलाई 2019|website=w3techs.com|access-date=20 July 2019|archive-url=https://web.archive.org/web/20190801134536/https://w3techs.com/technologies/details/ce-httpsdefault/all/all|archive-date=1 August 2019|url-status=live}}</ref> एचटीटीपीएस के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित एचटीटीपीएस कनेक्शन सामान्यतः केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया।<ref>{{cite web |title=वेब को एन्क्रिप्ट करना|url=https://www.eff.org/encrypt-the-web |website=Electronic Frontier Foundation |access-date=19 November 2019 |archive-url=https://web.archive.org/web/20191118094200/https://www.eff.org/encrypt-the-web |archive-date=18 November 2019 |url-status=live }}</ref> एचटीटीपीएस अब मूल गैर-सुरक्षित एचटीटीपी की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।
 == अवलोकन ==
 {{Details|topic=|Transport Layer Security|||category=}}
-[[File:Internet2.jpg|thumb|HTTPS योजना और वर्ल्ड वाइड वेब डोमेन नाम लेबल के साथ प्रारंभ]]यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (URI) स्कीम HTTPS में HTTP स्कीम के समान उपयोग सिंटैक्स है।चूंकि, HTTPS ट्रैफ़िक की सुरक्षा के लिए SSL/TLS की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।SSL/TLS विशेष रूप से HTTP के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर HTTP लेनदेन के साथ स्थिति है, जहां सामान्यतः केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।
+[[File:Internet2.jpg|thumb|एचटीटीपीएस योजना और वर्ल्ड वाइड वेब डोमेन नाम लेबल के साथ प्रारंभ]]यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (यूआरआई) स्कीम एचटीटीपीएस में एचटीटीपी स्कीम के समान उपयोग सिंटैक्स है।चूंकि, एचटीटीपीएस ट्रैफ़िक की सुरक्षा के लिए एसएसएल/टीएलएस की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।एसएसएल/टीएलएस विशेष रूप से एचटीटीपी के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर एचटीटीपी लेनदेन के साथ स्थिति है, जहां सामान्यतः केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।
-HTTPS एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।
+एचटीटीपीएस एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।
-क्योंकि HTTPS पिग्गीबैक HTTP पूरी तरह से TLS के शीर्ष पर है, अंतर्निहित HTTP प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का URL, क्वेरी पैरामीटर, हेडर और कुकीज़ सम्मलित हैं (जिसमें अधिकांशतः उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।चूंकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, HTTPS उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी URL नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, चूंकि संचार की सामग्री नहीं है।<ref name=httpse/>
+क्योंकि एचटीटीपीएस पिग्गीबैक एचटीटीपी पूरी तरह से टीएलएस के शीर्ष पर है, अंतर्निहित एचटीटीपी प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का यूआरएल, क्वेरी पैरामीटर, हेडर और कुकीज़ सम्मलित हैं (जिसमें अधिकांशतः उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।चूंकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, एचटीटीपीएस उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी यूआरएल नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, चूंकि संचार की सामग्री नहीं है।<ref name=httpse/>
-वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर HTTPS वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर HTTPS कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:
+वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर एचटीटीपीएस वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर एचटीटीपीएस कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:
 * उपयोगकर्ता का भरोसा है कि उनका डिवाइस, ब्राउज़र की मेजबानी और ब्राउज़र को स्वयं प्राप्त करने के लिए विधि, समझौता नहीं किया जाता है (अर्ताथ कोई आपूर्ति श्रृंखला हमला नहीं है)।
-* उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से HTTPS को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
+* उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से एचटीटीपीएस को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
 * उपयोगकर्ता केवल वैध वेबसाइटों के लिए प्रमाणपत्र प्राधिकरण पर भरोसा करता है (अर्ताथ प्रमाणपत्र प्राधिकरण से समझौता नहीं किया गया है और प्रमाण पत्रों का कोई गलत अनुमान नहीं है)।
 * वेबसाइट एक वैध प्रमाण पत्र प्रदान करती है, जिसका अर्थ है कि यह एक विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित था।
-* प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र https://example.com पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
+* प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र [https://example.com एचटीटीपीएस://example.com] पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
 * उपयोगकर्ता का भरोसा है कि प्रोटोकॉल की एन्क्रिप्शन लेयर (एसएसएल/टीएलएस) ईव्सड्रॉपर्स के खिलाफ पर्याप्त रूप से सुरक्षित है।
-HTTPS विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना।<ref>{{cite web |title=होटल वाईफाई जावास्क्रिप्ट इंजेक्शन|url=https://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/ |date=3 April 2012 |work=JustInsomnia |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181118154608/https://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/ |archive-date=18 November 2018 |url-status=live }}</ref>
+एचटीटीपीएस विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना।<ref>{{cite web |title=होटल वाईफाई जावास्क्रिप्ट इंजेक्शन|url=https://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/ |date=3 April 2012 |work=JustInsomnia |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181118154608/https://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/ |archive-date=18 November 2018 |url-status=live }}</ref>
-TOR (नेटवर्क) पर कनेक्शन के लिए HTTPS भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह HTTPS का विकास शुरू किया,<ref name=httpse/>जो टोर ब्राउज़र में सम्मलित है।<ref>{{cite web |url=https://www.torproject.org/projects/torbrowser.html.en |title=टोर ब्राउज़र क्या है?|author=The Tor Project, Inc. |work=TorProject.org |access-date=30 May 2012 |archive-url=https://archive.today/20130717222709/https://www.torproject.org/projects/torbrowser.html.en |archive-date=17 July 2013 |url-status=live }}</ref>
+TOR (नेटवर्क) पर कनेक्शन के लिए एचटीटीपीएस भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह एचटीटीपीएस का विकास शुरू किया,<ref name=httpse/>जो टोर ब्राउज़र में सम्मलित है।<ref>{{cite web |url=https://www.torproject.org/projects/torbrowser.html.en |title=टोर ब्राउज़र क्या है?|author=The Tor Project, Inc. |work=TorProject.org |access-date=30 May 2012 |archive-url=https://archive.today/20130717222709/https://www.torproject.org/projects/torbrowser.html.en |archive-date=17 July 2013 |url-status=live }}</ref>
-जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर HTTPS सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है।<ref>{{cite web |url=https://open.blogs.nytimes.com/2014/11/13/embracing-https/ |title=Https को गले लगाना|work=The New York Times |date=13 November 2014 |access-date=20 October 2018 |last1=Konigsburg |first1=Eitan |last2=Pant |first2=Rajiv |last3=Kvochko |first3=Elena |archive-url=https://web.archive.org/web/20190108190000/https://open.blogs.nytimes.com/2014/11/13/embracing-https/ |archive-date=8 January 2019 |url-status=live }}</ref><ref>{{cite web |url=https://freedom.press/news-advocacy/fifteen-months-after-the-nsa-revelations-why-arenat-more-news-organizations-using-https/ |title=एनएसए के खुलासे के पंद्रह महीने बाद, HTTPS का उपयोग करने वाले अधिक समाचार संगठन क्यों नहीं हैं?|publisher=Freedom of the Press Foundation |date=12 September 2014 |access-date=20 October 2018 |last=Gallagher |first=Kevin |archive-url=https://web.archive.org/web/20180810204919/https://freedom.press/news-advocacy/fifteen-months-after-the-nsa-revelations-why-arenat-more-news-organizations-using-https/ |archive-date=10 August 2018 |url-status=live }}</ref> भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।<ref>{{cite web |url=https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html |title=एक रैंकिंग संकेत के रूप में https|date=6 August 2014 |publisher=Google Inc. |quote=आप अपनी साइट को HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) के साथ सुरक्षित कर सकते हैं [...]|work=Google Webmaster Central Blog |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181017052432/https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html |archive-date=17 October 2018 |url-status=live }}</ref><ref>{{cite web |url=https://www.youtube.com/watch?v=cBhZ6S0PFCY |title=Google I/O 2014 - HTTPS हर जगह|publisher=Google Developers |date=26 June 2014 |access-date=20 October 2018 |last1=Grigorik |first1=Ilya |last2=Far |first2=Pierre |archive-url=https://web.archive.org/web/20181120144918/https://www.youtube.com/watch?v=cBhZ6S0PFCY |archive-date=20 November 2018 |url-status=live }}</ref><ref name=deployhttpscorrectly/>
+जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर एचटीटीपीएस सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है।<ref>{{cite web |url=https://open.blogs.nytimes.com/2014/11/13/embracing-https/ |title=Https को गले लगाना|work=The New York Times |date=13 November 2014 |access-date=20 October 2018 |last1=Konigsburg |first1=Eitan |last2=Pant |first2=Rajiv |last3=Kvochko |first3=Elena |archive-url=https://web.archive.org/web/20190108190000/https://open.blogs.nytimes.com/2014/11/13/embracing-https/ |archive-date=8 January 2019 |url-status=live }}</ref><ref>{{cite web |url=https://freedom.press/news-advocacy/fifteen-months-after-the-nsa-revelations-why-arenat-more-news-organizations-using-https/ |title=एनएसए के खुलासे के पंद्रह महीने बाद, HTTPS का उपयोग करने वाले अधिक समाचार संगठन क्यों नहीं हैं?|publisher=Freedom of the Press Foundation |date=12 September 2014 |access-date=20 October 2018 |last=Gallagher |first=Kevin |archive-url=https://web.archive.org/web/20180810204919/https://freedom.press/news-advocacy/fifteen-months-after-the-nsa-revelations-why-arenat-more-news-organizations-using-https/ |archive-date=10 August 2018 |url-status=live }}</ref> भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।<ref>{{cite web |url=https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html |title=एक रैंकिंग संकेत के रूप में https|date=6 August 2014 |publisher=Google Inc. |quote=आप अपनी साइट को HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) के साथ सुरक्षित कर सकते हैं [...]|work=Google Webmaster Central Blog |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181017052432/https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html |archive-date=17 October 2018 |url-status=live }}</ref><ref>{{cite web |url=https://www.youtube.com/watch?v=cBhZ6S0PFCY |title=Google I/O 2014 - HTTPS हर जगह|publisher=Google Developers |date=26 June 2014 |access-date=20 October 2018 |last1=Grigorik |first1=Ilya |last2=Far |first2=Pierre |archive-url=https://web.archive.org/web/20181120144918/https://www.youtube.com/watch?v=cBhZ6S0PFCY |archive-date=20 November 2018 |url-status=live }}</ref><ref name=deployhttpscorrectly/>
-HTTPS को तैनात करने से HTTP/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल SPDY) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई HTTP की एक नई पीढ़ी है।
+एचटीटीपीएस को तैनात करने से एचटीटीपी/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल स्पाइडी) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई एचटीटीपी की एक नई पीढ़ी है।
-यह HTTP के साथ HTTP सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है जिससे कि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#SSL स्ट्रिपिंग।<ref name=deployhttpscorrectly>{{cite web |title=HTTPS को सही तरीके से कैसे तैनात करें|url=https://www.eff.org/https-everywhere/deploying-https |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181010233702/https://www.eff.org/https-everywhere/deploying-https |archive-date=10 October 2018 |url-status=live |date=15 November 2010 }}</ref><ref>{{cite web |url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security |title=HTTP सख्त परिवहन सुरक्षा|work=Mozilla Developer Network |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019171534/https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security |archive-date=19 October 2018 |url-status=live }}</ref>
+यह एचटीटीपी के साथ एचटीटीपी सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है जिससे कि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#एसएसएल स्ट्रिपिंग।<ref name=deployhttpscorrectly>{{cite web |title=HTTPS को सही तरीके से कैसे तैनात करें|url=https://www.eff.org/https-everywhere/deploying-https |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181010233702/https://www.eff.org/https-everywhere/deploying-https |archive-date=10 October 2018 |url-status=live |date=15 November 2010 }}</ref><ref>{{cite web |url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security |title=HTTP सख्त परिवहन सुरक्षा|work=Mozilla Developer Network |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019171534/https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security |archive-date=19 October 2018 |url-status=live }}</ref>
-HTTPS को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-HTTP) के साथ भ्रमित नहीं होना चाहिए।
+एचटीटीपीएस को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-एचटीटीपी) के साथ भ्रमित नहीं होना चाहिए।
 === वेबसाइटों में उपयोग ===
-{{As of|2018|04}}, 33.2%<!-- percentages not show; calculated from 331889 sites stated--> एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से HTTPS का उपयोग करें,<ref>{{cite web |url=https://statoperator.com/research/https-usage-statistics-on-top-websites/ |title=शीर्ष 1M वेबसाइटों पर HTTPS उपयोग सांख्यिकी|website=StatOperator.com |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055130/https://statoperator.com/research/https-usage-statistics-on-top-websites/ |archive-date=9 February 2019 |url-status=live }}</ref> इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% HTTPS का सुरक्षित कार्यान्वयन है,<ref>{{cite web |url=https://www.ssllabs.com/ssl-pulse/ |title=क्वालिस एसएसएल लैब्स - एसएसएल पल्स|website=www.ssllabs.com |date=3 April 2018 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20171202155646/https://www.ssllabs.com/ssl-pulse/ |archive-date=2 December 2017 |url-status=live }}</ref> और 70%<!-- 78.68% for the US only--> पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) HTTPS का उपयोग करें।<ref>{{cite web |url=https://letsencrypt.org/stats/ |title=चलो आँकड़ों को एन्क्रिप्ट करते हैं|website=LetsEncrypt.org |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019221028/https://letsencrypt.org/stats/ |archive-date=19 October 2018 |url-status=live }}</ref> चूंकि 2018 में टीएलएस 1.3 की रिलीज के अतिरिक्त, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।<ref>{{Cite web |date=2020-04-06 |title=टीएलएस 1.3: मजबूत वेब एन्क्रिप्शन को धीमा अपनाना बुरे लोगों को सशक्त बना रहा है|url=https://www.helpnetsecurity.com/2020/04/06/tls-1-3-adoption/ |access-date=2022-05-23 |website=Help Net Security |language=en-US}}</ref>
+{{As of|2018|04}}, 33.2% एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से एचटीटीपीएस का उपयोग करें,<ref>{{cite web |url=https://statoperator.com/research/https-usage-statistics-on-top-websites/ |title=शीर्ष 1M वेबसाइटों पर HTTPS उपयोग सांख्यिकी|website=StatOperator.com |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055130/https://statoperator.com/research/https-usage-statistics-on-top-websites/ |archive-date=9 February 2019 |url-status=live }}</ref> इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% एचटीटीपीएस का सुरक्षित कार्यान्वयन है,<ref>{{cite web |url=https://www.ssllabs.com/ssl-pulse/ |title=क्वालिस एसएसएल लैब्स - एसएसएल पल्स|website=www.ssllabs.com |date=3 April 2018 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20171202155646/https://www.ssllabs.com/ssl-pulse/ |archive-date=2 December 2017 |url-status=live }}</ref> और 70% पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) एचटीटीपीएस का उपयोग करें।<ref>{{cite web |url=https://letsencrypt.org/stats/ |title=चलो आँकड़ों को एन्क्रिप्ट करते हैं|website=LetsEncrypt.org |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019221028/https://letsencrypt.org/stats/ |archive-date=19 October 2018 |url-status=live }}</ref> चूंकि 2018 में टीएलएस 1.3 की रिलीज के अतिरिक्त, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।<ref>{{Cite web |date=2020-04-06 |title=टीएलएस 1.3: मजबूत वेब एन्क्रिप्शन को धीमा अपनाना बुरे लोगों को सशक्त बना रहा है|url=https://www.helpnetsecurity.com/2020/04/06/tls-1-3-adoption/ |access-date=2022-05-23 |website=Help Net Security |language=en-US}}</ref>
 === ब्राउज़र एकीकरण ===
@@ Line 51: / Line 48: @@
 |File:Self-signed certificate warning on Firefox 89 screenshot.png|Most web browsers alert the user when visiting sites that have invalid security certificates.
 }}
-इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को HTTPS के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह HTTPS नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से HTTPS को सक्षम बनाता है।<ref>{{cite web |first=Peter |last=Eckersley |url=https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension |title=HTTPS हर जगह फ़ायरफ़ॉक्स एक्सटेंशन के साथ वेब को एन्क्रिप्ट करें|work=EFF blog |date=17 June 2010 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181125102636/https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension |archive-date=25 November 2018 |url-status=live }}</ref><ref>{{cite web |url=https://www.eff.org/https-everywhere |title=हर जगह https।|work=EFF projects |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20110605022218/https://www.eff.org/https-everywhere |archive-date=5 June 2011 |url-status=live |date=7 October 2011 }}</ref>
+इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को एचटीटीपीएस के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह एचटीटीपीएस नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से एचटीटीपीएस को सक्षम बनाता है।<ref>{{cite web |first=Peter |last=Eckersley |url=https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension |title=HTTPS हर जगह फ़ायरफ़ॉक्स एक्सटेंशन के साथ वेब को एन्क्रिप्ट करें|work=EFF blog |date=17 June 2010 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181125102636/https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension |archive-date=25 November 2018 |url-status=live }}</ref><ref>{{cite web |url=https://www.eff.org/https-everywhere |title=हर जगह https।|work=EFF projects |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20110605022218/https://www.eff.org/https-everywhere |archive-date=5 June 2011 |url-status=live |date=7 October 2011 }}</ref>
-एक वेब ब्राउज़र को केवल HTTPS सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है।<ref>{{Cite web|title=फ़ायरफ़ॉक्स में https-only मोड|url=https://support.mozilla.org/en-US/kb/https-only-prefs|url-status=live|access-date=12 November 2021}}</ref> संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।<ref>{{Cite web |title=Chrome सुरक्षा और सुरक्षा प्रबंधित करें - Android - Google Chrome सहायता|url=https://support.google.com/chrome/answer/10468685?hl=en&co=GENIE.Platform=Android |access-date=2022-03-07 |website=support.google.com}}</ref><ref>{{Cite web |date=2021-07-19 |title=Chrome के HTTPS-FIRST मोड पर हाथ|url=https://techdows.com/2021/07/hands-on-chromes-https-first-mode.html |access-date=2022-03-07 |website=Techdows |language=en-US}}</ref>
+एक वेब ब्राउज़र को केवल एचटीटीपीएस सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है।<ref>{{Cite web|title=फ़ायरफ़ॉक्स में https-only मोड|url=https://support.mozilla.org/en-US/kb/https-only-prefs|url-status=live|access-date=12 November 2021}}</ref> संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।<ref>{{Cite web |title=Chrome सुरक्षा और सुरक्षा प्रबंधित करें - Android - Google Chrome सहायता|url=https://support.google.com/chrome/answer/10468685?hl=en&co=GENIE.Platform=Android |access-date=2022-03-07 |website=support.google.com}}</ref><ref>{{Cite web |date=2021-07-19 |title=Chrome के HTTPS-FIRST मोड पर हाथ|url=https://techdows.com/2021/07/hands-on-chromes-https-first-mode.html |access-date=2022-03-07 |website=Techdows |language=en-US}}</ref>
 == सुरक्षा ==
 {{Main|Transport Layer Security#Security}}
-HTTPS की सुरक्षा अंतर्निहित TLS की है, जो सामान्यतः एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।चूंकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है।<ref>{{cite magazine |url=https://www.wired.com/2010/03/packet-forensics/ |title=कानून प्रवर्तन उपकरण ssl|magazine=Wired |date=24 March 2010 |first=Ryan |last=Singel |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190117142906/https://www.wired.com/2010/03/packet-forensics/ |archive-date=17 January 2019 |url-status=live }}</ref><ref>{{cite web |url=https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl |title=नए शोध से पता चलता है कि सरकारें SSL प्रमाणपत्रों को नकली कर सकती हैं|first=Seth |last=Schoen |work=EFF |date=24 March 2010 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20160104234608/https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl |archive-date=4 January 2016 |url-status=live }}</ref> इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं।<ref name=ecdhe>{{cite web |url=https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html |title=SSL: आज इंटरसेप्टेड, कल डिक्रिप्टेड|work=Netcraft |date=25 June 2013 |first=Robert |last=Duncan |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181006021916/https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html |archive-date=6 October 2018 |url-status=live }}</ref>{{Update inline|reason=Does this still hold in 2015?|date=February 2015}}
+एचटीटीपीएस की सुरक्षा अंतर्निहित टीएलएस की है, जो सामान्यतः एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।चूंकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है।<ref>{{cite magazine |url=https://www.wired.com/2010/03/packet-forensics/ |title=कानून प्रवर्तन उपकरण ssl|magazine=Wired |date=24 March 2010 |first=Ryan |last=Singel |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190117142906/https://www.wired.com/2010/03/packet-forensics/ |archive-date=17 January 2019 |url-status=live }}</ref><ref>{{cite web |url=https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl |title=नए शोध से पता चलता है कि सरकारें SSL प्रमाणपत्रों को नकली कर सकती हैं|first=Seth |last=Schoen |work=EFF |date=24 March 2010 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20160104234608/https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl |archive-date=4 January 2016 |url-status=live }}</ref> इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं।<ref name=ecdhe>{{cite web |url=https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html |title=SSL: आज इंटरसेप्टेड, कल डिक्रिप्टेड|work=Netcraft |date=25 June 2013 |first=Robert |last=Duncan |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181006021916/https://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html |archive-date=6 October 2018 |url-status=live }}</ref>{{Update inline|reason=Does this still hold in 2015?|date=February 2015}}
-HTTPS के प्रभावी होने के लिए, एक साइट को पूरी तरह से HTTPS पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री HTTP (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, HTTPS पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे HTTP पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, HTTPS के माध्यम से परोसी जाने वाली साइट पर HTTP कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को HTTPS के अतिरिक्त HTTP के साथ एक्सेस किया जाएगा।<ref name=deployhttpscorrectly/>
+एचटीटीपीएस के प्रभावी होने के लिए, एक साइट को पूरी तरह से एचटीटीपीएस पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री एचटीटीपी (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, एचटीटीपीएस पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे एचटीटीपी पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, एचटीटीपीएस के माध्यम से परोसी जाने वाली साइट पर एचटीटीपी कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को एचटीटीपीएस के अतिरिक्त एचटीटीपी के साथ एक्सेस किया जाएगा।<ref name=deployhttpscorrectly/>
 == तकनीकी ==
-=== http === से अंतर
+=== एचटीटीपी === से अंतर
-HTTPS URL HTTPS: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, HTTP URL HTTP: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।
+एचटीटीपीएस यूआरएल एचटीटीपीएस: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, एचटीटीपी यूआरएल एचटीटीपी: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।
-HTTP को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।HTTPS को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (HTTPS कार्यान्वयन के अपवाद के साथ जो SSL के पदावनति संस्करणों का उपयोग करते हैं)।
+एचटीटीपी को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।एचटीटीपीएस को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (एचटीटीपीएस कार्यान्वयन के अपवाद के साथ जो एसएसएल के पदावनति संस्करणों का उपयोग करते हैं)।
 === नेटवर्क परतें ===
-HTTP TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक HTTP संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, HTTPS एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन SSL/TLS कनेक्शन पर साधारण HTTP के उपयोग को संदर्भित करता है।
+एचटीटीपी TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक एचटीटीपी संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, एचटीटीपीएस एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन एसएसएल/टीएलएस कनेक्शन पर साधारण एचटीटीपी के उपयोग को संदर्भित करता है।
-HTTPS HTTP हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।
+एचटीटीपीएस एचटीटीपी हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।
 === सर्वर सेटअप ===
-HTTPS कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को सामान्यतः रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है जिससे कि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।
+एचटीटीपीएस कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को सामान्यतः रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है जिससे कि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।
 ==== अधिग्रहण प्रमाण पत्र ====
 कई वाणिज्यिक प्रमाणपत्र प्राधिकरण सम्मलित हैं, जो कि विस्तारित सत्यापन प्रमाणपत्रों सहित कई प्रकारों के एसएसएल/टीएलएस प्रमाणपत्रों के लिए भुगतान की पेशकश करते हैं।
-आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए,<ref name="softpedia-launch">{{cite web |url=https://news.softpedia.com/news/let-s-encrypt-launched-today-currently-protects-3-8-million-domains-502857.shtml |title=आइए आज लॉन्च किए गए एन्क्रिप्ट, वर्तमान में 3.8 मिलियन डोमेन की सुरक्षा करता है|publisher=Softpedia News |first=Catalin |last=Cimpanu |date=12 April 2016 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055129/https://news.softpedia.com/news/let-s-encrypt-launched-today-currently-protects-3-8-million-domains-502857.shtml |archive-date=9 February 2019 |url-status=live }}</ref> मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है।<ref>{{cite web |url=http://www.eweek.com/security/let-s-encrypt-effort-aims-to-improve-internet-security |title=चलो एन्क्रिप्ट प्रयास का उद्देश्य इंटरनेट सुरक्षा में सुधार करना है|publisher=Quinstreet Enterprise |website=eWeek.com |date=18 November 2014 |access-date=20 October 2018 |last=Kerner |first=Sean Michael}}</ref> इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में HTTP से HTTPS में स्विचिंग करेंगे।<ref>{{cite web |url=https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |title=2015 में लॉन्चिंग: पूरे वेब को एन्क्रिप्ट करने के लिए एक प्रमाणपत्र प्राधिकरण|publisher=[[Electronic Frontier Foundation]] |date=18 November 2014 |access-date=20 October 2018 |last=Eckersley |first=Peter |archive-url=https://web.archive.org/web/20181118160126/https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |archive-date=18 November 2018 |url-status=live }}</ref> अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।
+आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए,<ref name="softpedia-launch">{{cite web |url=https://news.softpedia.com/news/let-s-encrypt-launched-today-currently-protects-3-8-million-domains-502857.shtml |title=आइए आज लॉन्च किए गए एन्क्रिप्ट, वर्तमान में 3.8 मिलियन डोमेन की सुरक्षा करता है|publisher=Softpedia News |first=Catalin |last=Cimpanu |date=12 April 2016 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055129/https://news.softpedia.com/news/let-s-encrypt-launched-today-currently-protects-3-8-million-domains-502857.shtml |archive-date=9 February 2019 |url-status=live }}</ref> मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है।<ref>{{cite web |url=http://www.eweek.com/security/let-s-encrypt-effort-aims-to-improve-internet-security |title=चलो एन्क्रिप्ट प्रयास का उद्देश्य इंटरनेट सुरक्षा में सुधार करना है|publisher=Quinstreet Enterprise |website=eWeek.com |date=18 November 2014 |access-date=20 October 2018 |last=Kerner |first=Sean Michael}}</ref> इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में एचटीटीपी से एचटीटीपीएस में स्विचिंग करेंगे।<ref>{{cite web |url=https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |title=2015 में लॉन्चिंग: पूरे वेब को एन्क्रिप्ट करने के लिए एक प्रमाणपत्र प्राधिकरण|publisher=[[Electronic Frontier Foundation]] |date=18 November 2014 |access-date=20 October 2018 |last=Eckersley |first=Peter |archive-url=https://web.archive.org/web/20181118160126/https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |archive-date=18 November 2018 |url-status=live }}</ref> अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।
 ==== एक्सेस कंट्रोल के रूप में उपयोग करें ====
 सिस्टम का उपयोग क्लाइंट प्रमाणीकरण के लिए भी किया जा सकता है जिससे कि अधिकृत उपयोगकर्ताओं को वेब सर्वर तक पहुंच को सीमित किया जा सके।ऐसा करने के लिए, साइट व्यवस्थापक सामान्यतः प्रत्येक उपयोगकर्ता के लिए एक प्रमाण पत्र बनाता है, जिसे उपयोगकर्ता अपने ब्राउज़र में लोड करता है।सामान्यतः, प्रमाण पत्र में अधिकृत उपयोगकर्ता का नाम और ई-मेल पता होता है और उपयोगकर्ता की पहचान को सत्यापित करने के लिए प्रत्येक कनेक्शन पर सर्वर द्वारा स्वचालित रूप से चेक किया जाता है, संभवतः पासवर्ड की आवश्यकता के बिना भी।
-==== समझौता गुप्त (निजी) कुंजी ==== के स्थिति में
+==== निजी कुंजी की स्थिति में ====
-इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।HTTPS सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र।<ref name=ecdhe/>टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया। {{As of|2020|02|df=}}, 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।<ref>{{cite web |author1=Qualys SSL Labs |title=एसएसएल पल्स|url=https://www.ssllabs.com/ssl-pulse/ |access-date=25 February 2019 |archive-url=https://web.archive.org/web/20190215213454/https://www.ssllabs.com/ssl-pulse/ |archive-date=15 February 2019 |format=3 February 2019|author1-link=Qualys }}</ref>
+इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।एचटीटीपीएस सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र।<ref name="ecdhe" />टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया। {{As of|2020|02|df=}}, 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।<ref>{{cite web |author1=Qualys SSL Labs |title=एसएसएल पल्स|url=https://www.ssllabs.com/ssl-pulse/ |access-date=25 February 2019 |archive-url=https://web.archive.org/web/20190215213454/https://www.ssllabs.com/ssl-pulse/ |archive-date=15 February 2019 |format=3 February 2019|author1-link=Qualys }}</ref>
 ===== प्रमाण पत्र निरसन =====
 उदाहरण के लिए, यह समाप्त होने से पहले एक प्रमाण पत्र रद्द किया जा सकता है, क्योंकि निजी कुंजी की गोपनीयता से समझौता किया गया है।फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों के नए संस्करण,<ref>{{cite web |url=https://www.mozilla.org/en-US/privacy/ |title=मोज़िला फ़ायरफ़ॉक्स गोपनीयता नीति|publisher=[[Mozilla Foundation]] |date=27 April 2009 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181018063732/https://www.mozilla.org/en-US/privacy/ |archive-date=18 October 2018 |url-status=live }}</ref> ओपेरा (वेब ब्राउज़र),<ref>{{cite news |url=https://news.softpedia.com/news/Opera-8-launched-on-FTP-1330.shtml |title=ओपेरा 8 को एफ़टीपी पर लॉन्च किया गया|publisher=[[Softpedia]] |date=19 April 2005 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055128/https://news.softpedia.com/news/Opera-8-launched-on-FTP-1330.shtml |archive-date=9 February 2019 |url-status=live }}</ref> और विंडोज विस्टा पर इंटरनेट एक्सप्लोरर<ref>{{cite web |last=Lawrence |first=Eric |date=31 January 2006 |url=https://docs.microsoft.com/en-us/previous-versions/aa980989(v=msdn.10) |title=इंटरनेट एक्सप्लोरर 7 में HTTPS सुरक्षा सुधार 7|website=[[Microsoft Docs]] |access-date=24 October 2021}}</ref> यह सत्यापित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) को लागू करें कि यह स्थिति नहीं है।ब्राउज़र सर्टिफिकेट के सीरियल नंबर को सर्टिफिकेट अथॉरिटी या उसके प्रतिनिधि को OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के माध्यम से भेजता है और प्राधिकरण ने प्रतिक्रिया दी, ब्राउज़र को यह बताता है कि प्रमाण पत्र अभी भी मान्य है या नहीं।<ref>{{cite journal |url=https://tools.ietf.org/html/rfc2560 |title=ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल - OCSP|publisher=[[Internet Engineering Task Force]] |date=20 June 1999 |last1=Myers |first1=Michael |last2=Ankney |first2=Rich |last3=Malpani |first3=Ambarish |last4=Galperin |first4=Slava |last5=Adams |first5=Carlisle |doi=10.17487/RFC2560 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20110825095059/http://tools.ietf.org/html/rfc2560 |archive-date=25 August 2011 |url-status=live }}</ref> सीए लोगों को यह बताने के लिए एक प्रमाणपत्र निरस्तीकरण सूची भी जारी कर सकता है कि ये प्रमाण पत्र निरस्त कर दिए गए हैं।CRLs अब CA/BROWSER फोरम द्वारा आवश्यक नहीं हैं,<ref>{{cite web |url=https://cabforum.org/baseline-requirements-documents/ |title=आधारभूत आवश्यकताएँ|publisher=CAB Forum |access-date=1 November 2021 |url-status=live }}</ref> फिर भी, वे अभी भी CAS द्वारा व्यापक रूप से उपयोग किए जाते हैं।प्रमाणपत्रों की समाप्ति के तुरंत बाद इंटरनेट पर अधिकांश निरसन की स्थिति गायब हो जाती है।<ref>{{cite book|author1=Korzhitskii, Nikita|author2=Carlsson, Niklas|title=इंटरनेट पर निरसन की स्थिति|work=In proceedings of 2021 Passive and Active Measurement Conference (PAM 2021).|year=2021|arxiv=2102.04288|url=https://arxiv.org/abs/2102.04288|url-status=live}}</ref>
 === सीमाएँ ===
-SSL (सुरक्षित सॉकेट लेयर) और TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है।<ref>{{cite web |url=https://support.google.com/chrome/a/answer/6080885?hl=en |title=क्रोम उपकरणों पर क्लाइंट सर्टिफिकेट का प्रबंधन करें - व्यवसाय और शिक्षा के लिए क्रोम|website=support.google.com |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055127/https://support.google.com/chrome/a/answer/6080885?hl=en |archive-date=9 February 2019 |url-status=live }}</ref> या तो स्थिति में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।
+एसएसएल (सुरक्षित सॉकेट लेयर) और टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है।<ref>{{cite web |url=https://support.google.com/chrome/a/answer/6080885?hl=en |title=क्रोम उपकरणों पर क्लाइंट सर्टिफिकेट का प्रबंधन करें - व्यवसाय और शिक्षा के लिए क्रोम|website=support.google.com |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055127/https://support.google.com/chrome/a/answer/6080885?hl=en |archive-date=9 February 2019 |url-status=live }}</ref> या तो स्थिति में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।
-SSL/TLS एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ स्थितियों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है।<ref>{{cite web |url=https://www.exploit-db.com/docs/english/13026-the-pirate-bay-un-ssl.pdf |title=समुद्री डाकू बे अन-एसएसएल|last=Pusep |first=Stanislaw |date=31 July 2008 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180620001518/https://www.exploit-db.com/docs/english/13026-the-pirate-bay-un-ssl.pdf |archive-date=20 June 2018 |url-status=live }}</ref> यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।
+एसएसएल/टीएलएस एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ स्थितियों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है।<ref>{{cite web |url=https://www.exploit-db.com/docs/english/13026-the-pirate-bay-un-ssl.pdf |title=समुद्री डाकू बे अन-एसएसएल|last=Pusep |first=Stanislaw |date=31 July 2008 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180620001518/https://www.exploit-db.com/docs/english/13026-the-pirate-bay-un-ssl.pdf |archive-date=20 June 2018 |url-status=live }}</ref> यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।
-क्योंकि परिवहन परत सुरक्षा HTTP के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं।<ref>{{cite web |url=https://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts |title=SSL/TLS मजबूत एन्क्रिप्शन: FAQ|work=apache.org |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019105423/http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts |archive-date=19 October 2018 |url-status=live }}</ref> अतीत में, इसका मतलब यह था कि HTTPS के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान सम्मलित है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, चूंकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है।<ref>{{cite web |url=https://blogs.msdn.microsoft.com/ie/2005/10/22/upcoming-https-improvements-in-internet-explorer-7-beta-2/ |title=इंटरनेट एक्सप्लोरर 7 बीटा 2 में आगामी HTTPS सुधार|last=Lawrence |first=Eric |publisher=[[Microsoft]] |date=22 October 2005 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180920113838/https://blogs.msdn.microsoft.com/ie/2005/10/22/upcoming-https-improvements-in-internet-explorer-7-beta-2/ |archive-date=20 September 2018 |url-status=live }}</ref><ref>{{cite web |url=https://blog.ebrahim.org/2006/02/21/server-name-indication-sni/ |title=सर्वर नाम संकेत (एसएनआई)|work=inside aebrahim's head |date=21 February 2006 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180810173628/https://blog.ebrahim.org/2006/02/21/server-name-indication-sni/ |archive-date=10 August 2018 |url-status=live }}</ref><ref>{{cite web |url=https://bugzilla.mozilla.org/show_bug.cgi?id=116169 |title=टीएलएस सर्वर नाम संकेत के लिए ब्राउज़र समर्थन|access-date=20 October 2018 |last=Pierre |first=Julien |date=19 December 2001 |work=Bugzilla |publisher=Mozilla Foundation |archive-url=https://web.archive.org/web/20181008070112/https://bugzilla.mozilla.org/show_bug.cgi?id=116169 |archive-date=8 October 2018 |url-status=live }}</ref>
+क्योंकि परिवहन परत सुरक्षा एचटीटीपी के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं।<ref>{{cite web |url=https://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts |title=SSL/TLS मजबूत एन्क्रिप्शन: FAQ|work=apache.org |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20181019105423/http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts |archive-date=19 October 2018 |url-status=live }}</ref> अतीत में, इसका मतलब यह था कि एचटीटीपीएस के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान सम्मलित है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, चूंकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है।<ref>{{cite web |url=https://blogs.msdn.microsoft.com/ie/2005/10/22/upcoming-https-improvements-in-internet-explorer-7-beta-2/ |title=इंटरनेट एक्सप्लोरर 7 बीटा 2 में आगामी HTTPS सुधार|last=Lawrence |first=Eric |publisher=[[Microsoft]] |date=22 October 2005 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180920113838/https://blogs.msdn.microsoft.com/ie/2005/10/22/upcoming-https-improvements-in-internet-explorer-7-beta-2/ |archive-date=20 September 2018 |url-status=live }}</ref><ref>{{cite web |url=https://blog.ebrahim.org/2006/02/21/server-name-indication-sni/ |title=सर्वर नाम संकेत (एसएनआई)|work=inside aebrahim's head |date=21 February 2006 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180810173628/https://blog.ebrahim.org/2006/02/21/server-name-indication-sni/ |archive-date=10 August 2018 |url-status=live }}</ref><ref>{{cite web |url=https://bugzilla.mozilla.org/show_bug.cgi?id=116169 |title=टीएलएस सर्वर नाम संकेत के लिए ब्राउज़र समर्थन|access-date=20 October 2018 |last=Pierre |first=Julien |date=19 December 2001 |work=Bugzilla |publisher=Mozilla Foundation |archive-url=https://web.archive.org/web/20181008070112/https://bugzilla.mozilla.org/show_bug.cgi?id=116169 |archive-date=8 October 2018 |url-status=live }}</ref>
 एक वास्तुशिल्प दृष्टिकोण से:
-* एक SSL/TLS कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो TLS कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
+* एक एसएसएल/टीएलएस कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो टीएलएस कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
-* पारस्परिक प्रमाणीकरण के साथ SSL/TLS के लिए, SSL/TLS सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
+* पारस्परिक प्रमाणीकरण के साथ एसएसएल/टीएलएस के लिए, एसएसएल/टीएलएस सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
 * सुरक्षा पारस्परिक एसएसएल/टीएलएस के साथ अधिकतम है, लेकिन क्लाइंट-साइड पर एसएसएल/टीएलएस कनेक्शन को ठीक से समाप्त करने का कोई तरीका नहीं है और सभी संबंधित क्लाइंट एप्लिकेशन को समाप्त करने के लिए सर्वर सत्र की प्रतीक्षा करने के अतिरिक्त उपयोगकर्ता को डिस्कनेक्ट करें।
-एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला HTTPS द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है {{code|https:}} एक में लिंक {{code|http:}} लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में HTTPS को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे HTTPS का उपयोग कर रहे हैं जब वास्तव में वे HTTP का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है।<ref>{{cite web |url=https://moxie.org/software/sslstrip/index.html |title=SSLSTRIP 0.9|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180620042059/https://moxie.org/software/sslstrip/index.html |archive-date=20 June 2018 |url-status=live }}</ref> इसने HTTP में HTTP सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।
+एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला एचटीटीपीएस द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है {{code|https:}} एक में लिंक {{code|http:}} लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में एचटीटीपीएस को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे एचटीटीपीएस का उपयोग कर रहे हैं जब वास्तव में वे एचटीटीपी का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है।<ref>{{cite web |url=https://moxie.org/software/sslstrip/index.html |title=SSLSTRIP 0.9|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180620042059/https://moxie.org/software/sslstrip/index.html |archive-date=20 June 2018 |url-status=live }}</ref> इसने एचटीटीपी में एचटीटीपी सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।
-HTTPS को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में HTTPS सुरक्षा के अतिरिक्त, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य।<ref>{{cite journal |url=https://www.microsoft.com/en-us/research/publication/side-channel-leaks-in-web-applications-a-reality-today-a-challenge-tomorrow/ |title=वेब एप्लिकेशन में साइड-चैनल लीक: एक वास्तविकता आज, एक चुनौती कल|journal=Microsoft Research |publisher=[[Institute of Electrical and Electronics Engineers|IEEE]] Symposium on Security & Privacy 2010 |date=20 May 2010 |author1=Shuo Chen |author2=Rui Wang |author3=XiaoFeng Wang |author4=Kehuan Zhang |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180722120329/https://www.microsoft.com/en-us/research/publication/side-channel-leaks-in-web-applications-a-reality-today-a-challenge-tomorrow/ |archive-date=22 July 2018 |url-status=live }}</ref> यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए HTTPS की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से HTTPS द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।
-तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, HTTPS का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक HTTPS संसाधन खोलें।<ref>{{cite web |first=Matthew |last=Guaay |url=https://zapier.com/blog/open-wifi-login-page/ |title=कैसे एक सार्वजनिक वाई-फाई नेटवर्क लॉगिन पेज को खोलने के लिए मजबूर करने के लिए|date=21 September 2017 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180810143254/https://zapier.com/blog/open-wifi-login-page/ |archive-date=10 August 2018 |url-status=live }}</ref> कई वेबसाइटें, जैसे [http://neverssl.com/ neverssl.com], गारंटी देते हैं कि वे हमेशा HTTP द्वारा सुलभ रहेंगे।<ref>{{cite web |url=http://neverssl.com/ |title=Neverssl|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180901224536/http://neverssl.com/ |archive-date=1 September 2018 |url-status=live }}</ref>
+एचटीटीपीएस को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में एचटीटीपीएस सुरक्षा के अतिरिक्त, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य।<ref>{{cite journal |url=https://www.microsoft.com/en-us/research/publication/side-channel-leaks-in-web-applications-a-reality-today-a-challenge-tomorrow/ |title=वेब एप्लिकेशन में साइड-चैनल लीक: एक वास्तविकता आज, एक चुनौती कल|journal=Microsoft Research |publisher=[[Institute of Electrical and Electronics Engineers|IEEE]] Symposium on Security & Privacy 2010 |date=20 May 2010 |author1=Shuo Chen |author2=Rui Wang |author3=XiaoFeng Wang |author4=Kehuan Zhang |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180722120329/https://www.microsoft.com/en-us/research/publication/side-channel-leaks-in-web-applications-a-reality-today-a-challenge-tomorrow/ |archive-date=22 July 2018 |url-status=live }}</ref> यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए एचटीटीपीएस की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से एचटीटीपीएस द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।
+तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, एचटीटीपीएस का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक एचटीटीपीएस संसाधन खोलें।<ref>{{cite web |first=Matthew |last=Guaay |url=https://zapier.com/blog/open-wifi-login-page/ |title=कैसे एक सार्वजनिक वाई-फाई नेटवर्क लॉगिन पेज को खोलने के लिए मजबूर करने के लिए|date=21 September 2017 |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180810143254/https://zapier.com/blog/open-wifi-login-page/ |archive-date=10 August 2018 |url-status=live }}</ref> कई वेबसाइटें, जैसे [http://neverssl.com/ neverएसएसएल.com], गारंटी देते हैं कि वे हमेशा एचटीटीपी द्वारा सुलभ रहेंगे।<ref>{{cite web |url=http://neverssl.com/ |title=Neverssl|access-date=20 October 2018 |archive-url=https://web.archive.org/web/20180901224536/http://neverssl.com/ |archive-date=1 September 2018 |url-status=live }}</ref>
 == इतिहास ==
 {{Main|Transport Layer Security#History and development}}
-नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए HTTPS बनाया।<ref>{{cite book |url=https://books.google.com/books?id=FLvsis4_QhEC&pg=PA344 |title=एंबेडेड सॉफ्टवेयर: काम करता है|last=Walls |first=Colin |year=2005 |pages=344 |isbn=0-7506-7954-9 |publisher=Newnes |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055124/https://books.google.com/books?id=FLvsis4_QhEC&pg=PA344 |archive-date=9 February 2019 |url-status=live }}</ref> मूल रूप से, HTTPS का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि SSL ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) में विकसित हुआ, HTTPS को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र HTTP साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा।<ref>{{Cite web|url=https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html|title=एक सुरक्षित वेब यहाँ रहने के लिए है|website=Chromium Blog|archive-url=https://web.archive.org/web/20190424215132/https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html|archive-date=24 April 2019|access-date=22 April 2019|url-status=live}}</ref> यह कदम वेबसाइट के मालिकों को HTTPS को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।
+नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए एचटीटीपीएस बनाया।<ref>{{cite book |url=https://books.google.com/books?id=FLvsis4_QhEC&pg=PA344 |title=एंबेडेड सॉफ्टवेयर: काम करता है|last=Walls |first=Colin |year=2005 |pages=344 |isbn=0-7506-7954-9 |publisher=Newnes |access-date=20 October 2018 |archive-url=https://web.archive.org/web/20190209055124/https://books.google.com/books?id=FLvsis4_QhEC&pg=PA344 |archive-date=9 February 2019 |url-status=live }}</ref> मूल रूप से, एचटीटीपीएस का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि एसएसएल ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) में विकसित हुआ, एचटीटीपीएस को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र एचटीटीपी साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा।<ref>{{Cite web|url=https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html|title=एक सुरक्षित वेब यहाँ रहने के लिए है|website=Chromium Blog|archive-url=https://web.archive.org/web/20190424215132/https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html|archive-date=24 April 2019|access-date=22 April 2019|url-status=live}}</ref> यह कदम वेबसाइट के मालिकों को एचटीटीपीएस को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।
 == यह भी देखें ==
 * परिवहन परत सुरक्षा
-* इंटरप्लेनेटरी फाइल सिस्टम - HTTPS को बदल सकता है
+* इंटरप्लेनेटरी फाइल सिस्टम - एचटीटीपीएस को बदल सकता है
 * बुलरुन (डिक्रिप्शन प्रोग्राम){{snd}} अमेरिकी राष्ट्रीय सुरक्षा एजेंसी द्वारा संचालित एक गुप्त एंटी-एन्क्रिप्शन कार्यक्रम
 * कंप्यूटर सुरक्षा
-* HTTP सख्त परिवहन सुरक्षा
+* एचटीटीपी सख्त परिवहन सुरक्षा
 * अवसरवादी एन्क्रिप्शन
 * स्टंटल
@@ Line 128: / Line 119: @@
-==इस पृष्ठ में गुम आंतरिक लिंक की सूची==
 ==बाहरी कड़ियाँ==
 {{commons category}}
-*{{IETF RFC|8446|link=no}}: The Transport Layer Security (TLS) Protocol Version 1.3
+*{{IETF RFC|8446|link=no}}: The Transport Layer Secयूआरआईty (टीएलएस) Protocol Version 1.3
 {{Web interfaces}}

v t e Uniform Resource Identifier (URI) schemes
Official	about acct crid data file ftp geo gopher http https info ldap mailto nfs nntp sip / sips tag telnet urn view-source ws / wss xmpp
Unofficial	coffee ed2k gemini feed finger irc / irc6 / ircs ldaps magnet rsync ymsgr
Protocol list

Anonymous

Search

एचटीटीपीएस (HTTPS): Difference between revisions

Namespaces

More

Page actions

Revision as of 21:58, 14 January 2023

Contents

अवलोकन

वेबसाइटों में उपयोग

ब्राउज़र एकीकरण

सुरक्षा

तकनीकी

नेटवर्क परतें

सर्वर सेटअप

अधिग्रहण प्रमाण पत्र

एक्सेस कंट्रोल के रूप में उपयोग करें

निजी कुंजी की स्थिति में

प्रमाण पत्र निरसन

सीमाएँ

इतिहास

यह भी देखें

संदर्भ

बाहरी कड़ियाँ

Navigation

Navigation

Wiki tools

Wiki tools

Anonymous

Search

एचटीटीपीएस (HTTPS): Difference between revisions

Revision as of 21:58, 14 January 2023

अवलोकन

वेबसाइटों में उपयोग

ब्राउज़र एकीकरण

सुरक्षा

तकनीकी

नेटवर्क परतें

सर्वर सेटअप

अधिग्रहण प्रमाण पत्र

एक्सेस कंट्रोल के रूप में उपयोग करें

निजी कुंजी की स्थिति में

प्रमाण पत्र निरसन

सीमाएँ

इतिहास

यह भी देखें

संदर्भ

बाहरी कड़ियाँ

Navigation

Wiki tools

Page tools

Other projects

Hidden categories