एचटीटीपीएस (HTTPS)

From Vigyanwiki
Revision as of 19:59, 30 December 2022 by alpha>Indicwiki (Created page with "{{pp-pc1}} {{short description|Extension of the HTTP communications protocol to support TLS encryption}} {{pp-pc}} {{Use dmy dates|date=November 2021}} {{IPstack}} {{HTTP}}...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

Lua error in Module:Effective_protection_level at line 16: attempt to index field 'FlaggedRevs' (a nil value).

Lua error in Module:Effective_protection_level at line 16: attempt to index field 'FlaggedRevs' (a nil value).

Internet protocol suite
Application layer
Transport layer
Internet layer
Link layer
HTTP
HTTP logo.svg
Request methods
Header fields
Response status codes
Security access control methods
Security vulnerabilities

हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) का एक एक्सटेंशन है।यह कंप्यूटर नेटवर्क पर सुरक्षित संचार के लिए क्रिप्टोग्राफी का उपयोग करता है, और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है।[1][2] HTTPS में, संचार प्रोटोकॉल को ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) या, पूर्व में, सुरक्षित सॉकेट लेयर (SSL) का उपयोग करके एन्क्रिप्ट किया जाता है।इसलिए प्रोटोकॉल को TLS पर HTTP के रूप में भी संदर्भित किया जाता है,[3] या SSL पर HTTP।

HTTPS के लिए प्रमुख प्रेरणाएं एक्सेस की गई वेबसाइट के प्रमाणीकरण हैं, और पारगमन के दौरान एक्सचेंज किए गए डेटा की सूचना गोपनीयता और डेटा अखंडता की सुरक्षा।यह मैन-इन-द-मिडिल हमलों से बचाता है, और एक क्लाइंट और सर्वर के बीच संचार के संचालन के द्विदिश ब्लॉक सिफर मोड को ईव्सड्रॉपिंग और छेड़छाड़-स्पष्ट#छेड़छाड़ के खिलाफ संचार की रक्षा करता है।[4][5] HTTPS के प्रमाणीकरण पहलू को सर्वर-साइड public_key_certificate पर हस्ताक्षर करने के लिए एक विश्वसनीय तीसरे पक्ष की आवश्यकता होती है।यह ऐतिहासिक रूप से एक महंगा ऑपरेशन था, जिसका मतलब था कि पूरी तरह से प्रमाणित HTTPS कनेक्शन आमतौर पर केवल सुरक्षित भुगतान लेनदेन सेवाओं और वर्ल्ड वाइड वेब पर अन्य सुरक्षित कॉर्पोरेट सूचना प्रणालियों पर पाए गए थे।2016 में, वेब ब्राउज़र डेवलपर्स के समर्थन के साथ इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के एक अभियान ने प्रोटोकॉल को अधिक प्रचलित किया।[6] HTTPS अब मूल गैर-सुरक्षित HTTP की तुलना में वेब उपयोगकर्ताओं द्वारा अधिक बार उपयोग किया जाता है, मुख्य रूप से सभी प्रकार की वेबसाइटों पर पृष्ठ प्रामाणिकता की रक्षा के लिए;सुरक्षित खाते;और उपयोगकर्ता संचार, पहचान और वेब ब्राउज़िंग निजी रखने के लिए।

अवलोकन

Further information: Transport Layer Security
File:Internet2.jpg
HTTPS योजना और वर्ल्ड वाइड वेब डोमेन नाम लेबल के साथ शुरुआत

यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (URI) स्कीम HTTPS में HTTP स्कीम के समान उपयोग सिंटैक्स है।हालांकि, HTTPS ट्रैफ़िक की सुरक्षा के लिए SSL/TLS की एक अतिरिक्त एन्क्रिप्शन परत का उपयोग करने के लिए ब्राउज़र को संकेत देता है।SSL/TLS विशेष रूप से HTTP के लिए अनुकूल है, क्योंकि यह कुछ सुरक्षा प्रदान कर सकता है, भले ही संचार का केवल एक पक्ष प्रमाणीकरण हो।यह इंटरनेट पर HTTP लेनदेन के साथ मामला है, जहां आमतौर पर केवल वेब सर्वर को प्रमाणित किया जाता है (सर्वर के सार्वजनिक कुंजी प्रमाणपत्र की जांच करने वाले क्लाइंट द्वारा)।

HTTPS एक असुरक्षित नेटवर्क पर एक सुरक्षित चैनल बनाता है।यह ईव्सड्रॉपिंग और मैन-इन-द-मिडिल हमलों से उचित सुरक्षा सुनिश्चित करता है, बशर्ते कि पर्याप्त सिफर सूट का उपयोग किया जाता है और सर्वर प्रमाणपत्र सत्यापित और विश्वसनीय है।

क्योंकि HTTPS पिग्गीबैक HTTP पूरी तरह से TLS के शीर्ष पर है, अंतर्निहित HTTP प्रोटोकॉल की संपूर्णता को एन्क्रिप्ट किया जा सकता है।इसमें अनुरोध का URL, क्वेरी पैरामीटर, हेडर और कुकीज़ शामिल हैं (जिसमें अक्सर उपयोगकर्ता के बारे में जानकारी की पहचान होती है)।हालाँकि, क्योंकि वेबसाइट के पते और पोर्ट (कंप्यूटर नेटवर्किंग) नंबर आवश्यक रूप से अंतर्निहित टीसीपी/आईपी प्रोटोकॉल का हिस्सा हैं, HTTPS उनके प्रकटीकरण की रक्षा नहीं कर सकता है।व्यवहार में इसका मतलब है कि एक सही ढंग से कॉन्फ़िगर किए गए वेब सर्वर पर भी, ईव्सड्रॉपर्स वेब सर्वर के आईपी पते और पोर्ट नंबर का अनुमान लगा सकते हैं, और कभी -कभी डोमेन नाम भी (जैसे www.example.org, लेकिन बाकी URL नहीं)एक उपयोगकर्ता के साथ संचारित डेटा की मात्रा और संचार की अवधि के साथ संवाद कर रहा है, हालांकि संचार की सामग्री नहीं है।[4]

वेब ब्राउज़रों को पता है कि प्रमाणपत्र प्राधिकरण के आधार पर HTTPS वेबसाइटों पर भरोसा कैसे किया जाए जो उनके सॉफ़्टवेयर में पूर्व-स्थापित आते हैं।प्रमाणपत्र प्राधिकरण इस तरह से वेब ब्राउज़र रचनाकारों द्वारा मान्य प्रमाण पत्र प्रदान करने के लिए भरोसा किया जा रहा है।इसलिए, एक उपयोगकर्ता को किसी वेबसाइट पर HTTPS कनेक्शन पर भरोसा करना चाहिए यदि और केवल यदि सभी निम्नलिखित हैं:

  • उपयोगकर्ता का भरोसा है कि उनका डिवाइस, ब्राउज़र की मेजबानी और ब्राउज़र को स्वयं प्राप्त करने के लिए विधि, समझौता नहीं किया जाता है (यानी कोई आपूर्ति श्रृंखला हमला नहीं है)।
  • उपयोगकर्ता विश्वास करता है कि ब्राउज़र सॉफ्टवेयर सही ढंग से HTTPS को सही ढंग से पूर्व-स्थापित प्रमाणपत्र अधिकारियों के साथ लागू करता है।
  • उपयोगकर्ता केवल वैध वेबसाइटों के लिए प्रमाणपत्र प्राधिकरण पर भरोसा करता है (यानी प्रमाणपत्र प्राधिकरण से समझौता नहीं किया गया है और प्रमाण पत्रों का कोई गलत अनुमान नहीं है)।
  • वेबसाइट एक वैध प्रमाण पत्र प्रदान करती है, जिसका अर्थ है कि यह एक विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित था।
  • प्रमाण पत्र सही ढंग से वेबसाइट की पहचान करता है (जैसे, जब ब्राउज़र https://example.com पर जाता है, तो प्राप्त प्रमाणपत्र उदाहरण के लिए ठीक से है।
  • उपयोगकर्ता का भरोसा है कि प्रोटोकॉल की एन्क्रिप्शन लेयर (एसएसएल/टीएलएस) ईव्सड्रॉपर्स के खिलाफ पर्याप्त रूप से सुरक्षित है।

HTTPS विशेष रूप से असुरक्षित नेटवर्क और नेटवर्क पर महत्वपूर्ण है जो छेड़छाड़ के अधीन हो सकता है।असुरक्षित नेटवर्क, जैसे कि सार्वजनिक वाई-फाई एक्सेस पॉइंट्स, किसी को भी उसी स्थानीय नेटवर्क पर पैकेट एनालाइज़र के लिए अनुमति देते हैं। पैकेट-सिनिफ़ और एचटीटीपीएस द्वारा संरक्षित संवेदनशील जानकारी की खोज करें।इसके अतिरिक्त, कुछ फ्री-टू-यूज़ और पेड वायरलेस लैन नेटवर्क को अन्य वेबसाइटों पर अपने स्वयं के विज्ञापनों की सेवा करने के लिए पैकेट इंजेक्शन में संलग्न करके वेबपेजों के साथ छेड़छाड़ देखी गई है।इस अभ्यास का कई मायनों में दुर्भावनापूर्ण रूप से शोषण किया जा सकता है, जैसे कि वेबपृष्ठों पर मैलवेयर को इंजेक्ट करके और उपयोगकर्ताओं की निजी जानकारी चोरी करना।[7] TOR (नेटवर्क) पर कनेक्शन के लिए HTTPS भी महत्वपूर्ण है, क्योंकि दुर्भावनापूर्ण टॉर नोड्स अन्यथा एक असुरक्षित फैशन में उनके माध्यम से गुजरने वाली सामग्री को नुकसान या बदल सकते हैं और कनेक्शन में मैलवेयर को इंजेक्ट करते हैं।यह एक कारण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन और टीओआर परियोजना ने हर जगह HTTPS का विकास शुरू किया,[4]जो टोर ब्राउज़र में शामिल है।[8] जैसा कि वैश्विक जन निगरानी और अपराधियों को व्यक्तिगत जानकारी चुराने के बारे में अधिक जानकारी सामने आती है, सभी वेबसाइटों पर HTTPS सुरक्षा का उपयोग इंटरनेट कनेक्शन के प्रकार की परवाह किए बिना तेजी से महत्वपूर्ण हो रहा है।[9][10] भले ही व्यक्तिगत पृष्ठों के बारे में मेटाडेटा, जो उपयोगकर्ता के दौरे को संवेदनशील नहीं माना जा सकता है, जब एकत्र किया जाता है तो यह उपयोगकर्ता के बारे में बहुत कुछ प्रकट कर सकता है और उपयोगकर्ता की गोपनीयता से समझौता कर सकता है।[11][12][13]

HTTPS को तैनात करने से HTTP/2 (या इसके पूर्ववर्ती, अब-वंचित प्रोटोकॉल SPDY) का उपयोग करने की अनुमति मिलती है, जो कि पेज लोड समय, आकार और विलंबता को कम करने के लिए डिज़ाइन की गई HTTP की एक नई पीढ़ी है।

यह HTTP के साथ HTTP सख्त परिवहन सुरक्षा (HSTS) का उपयोग करने की सिफारिश की जाती है ताकि उपयोगकर्ताओं को मानव-इन-मध्य हमलों से बचाने के लिए, विशेष रूप से Moxie Marlinspike#SSL स्ट्रिपिंग।[13][14] HTTPS को RFC 2660 में निर्दिष्ट शायद ही कभी उपयोग किए जाने वाले सुरक्षित हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (S-HTTP) के साथ भ्रमित नहीं होना चाहिए।

वेबसाइटों में उपयोग

As of April 2018, 33.2% एलेक्सा शीर्ष 1,000,000 वेबसाइटों में डिफ़ॉल्ट रूप से HTTPS का उपयोग करें,[15] इंटरनेट के 137,971 सबसे लोकप्रिय वेबसाइटों में से 57.1% HTTPS का सुरक्षित कार्यान्वयन है,[16] और 70% पेज लोड (फ़ायरफ़ॉक्स टेलीमेट्री द्वारा मापा गया) HTTPS का उपयोग करें।[17] हालांकि 2018 में टीएलएस 1.3 की रिलीज के बावजूद, गोद लेना धीमा हो गया है, कई अभी भी पुराने टीएलएस 1.2 प्रोटोकॉल पर बने हुए हैं।[18]


ब्राउज़र एकीकरण

अधिकांश वेब ब्राउज़र एक चेतावनी प्रदर्शित करते हैं यदि वे एक अमान्य प्रमाण पत्र प्राप्त करते हैं।पुराने ब्राउज़र, जब एक अमान्य प्रमाण पत्र के साथ एक साइट से जुड़ते हैं, तो उपयोगकर्ता को एक संवाद बॉक्स के साथ पेश करते हुए पूछते हैं कि क्या वे जारी रखना चाहते हैं।नए ब्राउज़र पूरी खिड़की पर एक चेतावनी प्रदर्शित करते हैं।नए ब्राउज़र भी एड्रेस बार में साइट की सुरक्षा जानकारी को प्रमुखता से प्रदर्शित करते हैं।विस्तारित सत्यापन प्रमाणपत्र प्रमाणपत्र जानकारी पर कानूनी इकाई को दिखाते हैं।अधिकांश ब्राउज़र एक साइट पर जाने पर उपयोगकर्ता को एक चेतावनी भी प्रदर्शित करते हैं जिसमें एन्क्रिप्टेड और अनएन्क्रिप्टेड सामग्री का मिश्रण होता है।इसके अतिरिक्त, कई सामग्री-नियंत्रण सॉफ़्टवेयर निषिद्ध वेबसाइटों पर जाने पर एक सुरक्षा चेतावनी देते हैं।

Comparison between different kinds of SSL/TLS certificates
(Using Firefox as an example)

  • Many web browsers, including Firefox (shown here), use the address bar to tell the user that their connection is secure, an Extended Validation Certificate should identify the legal entity for the certificate.

  • HTTPS on Firefox 89 screenshot.png

    When accessing a site only with a common certificate, on the address bar of Firefox and other browsers, a "lock" sign appears.

  • Self-signed certificate warning on Firefox 89 screenshot.png

    Most web browsers alert the user when visiting sites that have invalid security certificates.

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन, यह बताते हुए कि एक आदर्श दुनिया में, प्रत्येक वेब अनुरोध को HTTPS के लिए डिफ़ॉल्ट किया जा सकता है, ने मोज़िला फ़ायरफ़ॉक्स, Google क्रोम, क्रोमियम (वेब ब्राउज़र), और एंड्रॉइड (ऑपरेटिंग सिस्टम) के लिए हर जगह HTTPS नामक एक ऐड-ऑन प्रदान किया है,जो सैकड़ों बार -बार उपयोग की जाने वाली वेबसाइटों के लिए डिफ़ॉल्ट रूप से HTTPS को सक्षम बनाता है।[19][20] एक वेब ब्राउज़र को केवल HTTPS सामग्री को लोड करने के लिए मजबूर करना फ़ायरफ़ॉक्स में संस्करण 83 में शुरू किया गया है।[21] संस्करण 94 से शुरू होकर, Google Chrome हमेशा ब्राउज़र की सेटिंग्स में टॉगल होने पर सुरक्षित कनेक्शन का उपयोग करने में सक्षम है।[22][23]


सुरक्षा

Main article: Transport Layer Security § Security

HTTPS की सुरक्षा अंतर्निहित TLS की है, जो आमतौर पर एक अल्पकालिक सत्र कुंजी उत्पन्न करने के लिए दीर्घकालिक सार्वजनिक-कुंजी क्रिप्टोग्राफी और निजी कुंजी का उपयोग करती है, जिसका उपयोग तब क्लाइंट और सर्वर के बीच डेटा प्रवाह को एन्क्रिप्ट करने के लिए किया जाता है।X.509 सर्टिफिकेट का उपयोग सर्वर (और कभी -कभी क्लाइंट के साथ -साथ) को प्रमाणित करने के लिए किया जाता है।परिणामस्वरूप, प्रमाणपत्र प्राधिकरण और सार्वजनिक कुंजी प्रमाणपत्र प्रमाण पत्र और उसके मालिक के बीच संबंध को सत्यापित करने के लिए आवश्यक हैं, साथ ही प्रमाण पत्र की वैधता को उत्पन्न करने, हस्ताक्षर करने और प्रशासित करने के लिए।हालांकि यह ट्रस्ट के एक वेब के माध्यम से पहचान को सत्यापित करने की तुलना में अधिक फायदेमंद हो सकता है, 2013 के मास निगरानी के खुलासे ने प्रमाण पत्र अधिकारियों पर ध्यान आकर्षित किया, जो एक संभावित कमजोर बिंदु के रूप में मानव-इन-द-मिडिल हमलों की अनुमति देता है।[24][25] इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता है, जो यह सुनिश्चित करती है कि अतीत में दर्ज किए गए एन्क्रिप्ट किए गए संचार को पुनर्प्राप्त नहीं किया जा सकता है और भविष्य में लंबे समय तक गुप्त कुंजियों या पासवर्डों को डिक्रिप्ट किया जाना चाहिए।सभी वेब सर्वर आगे गोपनीयता प्रदान नहीं करते हैं।[26][needs update] HTTPS के प्रभावी होने के लिए, एक साइट को पूरी तरह से HTTPS पर होस्ट किया जाना चाहिए।यदि साइट की कुछ सामग्री HTTP (स्क्रिप्ट या छवियों, उदाहरण के लिए) पर लोड की जाती है, या यदि केवल एक निश्चित पृष्ठ जिसमें संवेदनशील जानकारी होती है, जैसे कि लॉग-इन पेज, HTTPS पर लोड किया जाता है जबकि बाकी साइट लोड की जाती हैसादे HTTP पर, उपयोगकर्ता हमलों और निगरानी के लिए असुरक्षित होगा।इसके अतिरिक्त, HTTPS के माध्यम से परोसी जाने वाली साइट पर HTTP कुकी को सुरक्षित कुकी सक्षम होना चाहिए।उस साइट पर जिस पर संवेदनशील जानकारी हो, उपयोगकर्ता और सत्र हर बार उस साइट को HTTPS के बजाय HTTP के साथ एक्सेस किया जाएगा।[13]


तकनीकी

=== http === से अंतर HTTPS URL HTTPS: // से शुरू होता है और डिफ़ॉल्ट रूप से TCP और UDP पोर्ट नंबर 443 की सूची का उपयोग करें, जबकि, HTTP URL HTTP: // से शुरू होता है और डिफ़ॉल्ट रूप से पोर्ट 80 का उपयोग करता है।

HTTP को एन्क्रिप्ट नहीं किया गया है और इस प्रकार यह मानव-इन-द-मिडिल और ईव्सड्रॉपिंग हमलों के लिए असुरक्षित है, जो हमलावरों को वेबसाइट खातों और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, और मैलवेयर या विज्ञापनों को इंजेक्ट करने के लिए वेबपेजों को संशोधित कर सकता है।HTTPS को इस तरह के हमलों का सामना करने के लिए डिज़ाइन किया गया है और उन्हें उनके खिलाफ सुरक्षित माना जाता है (HTTPS कार्यान्वयन के अपवाद के साथ जो SSL के पदावनति संस्करणों का उपयोग करते हैं)।

नेटवर्क परतें

HTTP TCP/IP मॉडल की उच्चतम परत पर संचालित होता है- एप्लिकेशन लेयर;जैसा कि ट्रांसपोर्ट लेयर सिक्योरिटी सिक्योरिटी प्रोटोकॉल (एक ही परत के कम सबलेयर के रूप में काम कर रहा है), जो ट्रांसमिशन से पहले एक HTTP संदेश को एन्क्रिप्ट करता है और आगमन पर एक संदेश को डिक्रिप्ट करता है।सख्ती से, HTTPS एक अलग प्रोटोकॉल नहीं है, लेकिन एन्क्रिप्शन SSL/TLS कनेक्शन पर साधारण HTTP के उपयोग को संदर्भित करता है।

HTTPS HTTP हेडर और अनुरोध/प्रतिक्रिया डेटा सहित सभी संदेश सामग्री को एन्क्रिप्ट करता है।नीचे दिए गए #limitations अनुभाग में वर्णित संभावित चुने हुए-सिफर्टेक्स्ट अटैक क्रिप्टोग्राफिक अटैक के अपवाद के साथ, एक हमलावर को यह पता लगाने में सक्षम होना चाहिए कि दो दलों के बीच एक कनेक्शन हो रहा है, साथ ही उनके डोमेन नाम और आईपी पते भी हैं।

सर्वर सेटअप

HTTPS कनेक्शन स्वीकार करने के लिए एक वेब सर्वर तैयार करने के लिए, व्यवस्थापक को वेब सर्वर के लिए एक सार्वजनिक कुंजी प्रमाण पत्र बनाना होगा।इस प्रमाणपत्र को वेब ब्राउज़र के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा बिना किसी चेतावनी के स्वीकार करने के लिए हस्ताक्षरित किया जाना चाहिए।प्राधिकरण प्रमाणित करता है कि प्रमाणपत्र धारक वेब सर्वर का ऑपरेटर है जो इसे प्रस्तुत करता है।वेब ब्राउज़रों को आम तौर पर रूट प्रमाणपत्र की सूची के साथ वितरित किया जाता है ताकि वे उनके द्वारा हस्ताक्षरित प्रमाणपत्रों को सत्यापित कर सकें।

अधिग्रहण प्रमाण पत्र

कई वाणिज्यिक प्रमाणपत्र प्राधिकरण मौजूद हैं, जो कि विस्तारित सत्यापन प्रमाणपत्रों सहित कई प्रकारों के एसएसएल/टीएलएस प्रमाणपत्रों के लिए भुगतान की पेशकश करते हैं।

आइए एन्क्रिप्ट, अप्रैल 2016 में लॉन्च किए गए,[27] मुफ्त और स्वचालित सेवा प्रदान करता है जो वेबसाइटों को बुनियादी एसएसएल/टीएलएस प्रमाणपत्र प्रदान करता है।[28] इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के अनुसार, आइए एन्क्रिप्ट एक कमांड जारी करने के रूप में, या एक बटन पर क्लिक करने के रूप में HTTP से HTTPS में स्विचिंग करेंगे।[29] अधिकांश वेब होस्ट और क्लाउड प्रदाताओं ने अब लीवरेज का लाभ उठाते हैं, अपने ग्राहकों को मुफ्त प्रमाण पत्र प्रदान करते हैं।

एक्सेस कंट्रोल के रूप में उपयोग करें

सिस्टम का उपयोग क्लाइंट प्रमाणीकरण के लिए भी किया जा सकता है ताकि अधिकृत उपयोगकर्ताओं को वेब सर्वर तक पहुंच को सीमित किया जा सके।ऐसा करने के लिए, साइट व्यवस्थापक आमतौर पर प्रत्येक उपयोगकर्ता के लिए एक प्रमाण पत्र बनाता है, जिसे उपयोगकर्ता अपने ब्राउज़र में लोड करता है।आम तौर पर, प्रमाण पत्र में अधिकृत उपयोगकर्ता का नाम और ई-मेल पता होता है और उपयोगकर्ता की पहचान को सत्यापित करने के लिए प्रत्येक कनेक्शन पर सर्वर द्वारा स्वचालित रूप से चेक किया जाता है, संभवतः पासवर्ड की आवश्यकता के बिना भी।

==== समझौता गुप्त (निजी) कुंजी ==== के मामले में इस संदर्भ में एक महत्वपूर्ण संपत्ति आगे की गोपनीयता (पीएफएस) है।HTTPS सत्र को स्थापित करने के लिए उपयोग किए जाने वाले दीर्घकालिक असममित गुप्त कुंजियों में से एक को रखने से अल्पकालिक सत्र कुंजी को प्राप्त करना आसान नहीं होना चाहिए, फिर बातचीत को डिक्रिप्ट करने के लिए, यहां तक कि बाद के समय में भी।डिफी -हेलमैन की एक्सचेंज (डीएचई) और इलिप्टिक कर्व डिफी -हेलमैन की एक्सचेंज (ईसीडीएचएच) 2013 में एकमात्र योजनाएं हैं जिन्हें उस संपत्ति के लिए जाना जाता है।2013 में, फ़ायरफ़ॉक्स, ओपेरा और क्रोमियम ब्राउज़र सत्रों के केवल 30% ने इसका उपयोग किया, और लगभग 0% Apple के सफारी (वेब ब्राउज़र) और इंटरनेट एक्सप्लोरर सत्र।[26]टीएलएस 1.3, अगस्त 2018 में प्रकाशित, आगे की गोपनीयता के बिना सिफर के लिए समर्थन गिरा दिया। As of February 2020, 96.6% वेब सर्वर ने सर्वेक्षण किया, आगे की गोपनीयता के कुछ रूप का समर्थन किया, और 52.1% अधिकांश ब्राउज़रों के साथ आगे की गोपनीयता का उपयोग करेंगे।[30]


प्रमाण पत्र निरसन

उदाहरण के लिए, यह समाप्त होने से पहले एक प्रमाण पत्र रद्द किया जा सकता है, क्योंकि निजी कुंजी की गोपनीयता से समझौता किया गया है।फ़ायरफ़ॉक्स जैसे लोकप्रिय ब्राउज़रों के नए संस्करण,[31] ओपेरा (वेब ब्राउज़र),[32] और विंडोज विस्टा पर इंटरनेट एक्सप्लोरर[33] यह सत्यापित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) को लागू करें कि यह मामला नहीं है।ब्राउज़र सर्टिफिकेट के सीरियल नंबर को सर्टिफिकेट अथॉरिटी या उसके प्रतिनिधि को OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के माध्यम से भेजता है और प्राधिकरण ने प्रतिक्रिया दी, ब्राउज़र को यह बताता है कि प्रमाण पत्र अभी भी मान्य है या नहीं।[34] सीए लोगों को यह बताने के लिए एक प्रमाणपत्र निरस्तीकरण सूची भी जारी कर सकता है कि ये प्रमाण पत्र निरस्त कर दिए गए हैं।CRLs अब CA/BROWSER फोरम द्वारा आवश्यक नहीं हैं,[35] फिर भी, वे अभी भी CAS द्वारा व्यापक रूप से उपयोग किए जाते हैं।प्रमाणपत्रों की समाप्ति के तुरंत बाद इंटरनेट पर अधिकांश निरसन की स्थिति गायब हो जाती है।[36]


सीमाएँ

SSL (सुरक्षित सॉकेट लेयर) और TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) एन्क्रिप्शन को दो मोड में कॉन्फ़िगर किया जा सकता है: सरल और पारस्परिक।सरल मोड में, प्रमाणीकरण केवल सर्वर द्वारा किया जाता है।पारस्परिक संस्करण को उपयोगकर्ता को उपयोगकर्ता प्रमाणीकरण के लिए वेब ब्राउज़र में व्यक्तिगत क्लाइंट प्रमाणपत्र स्थापित करने की आवश्यकता होती है।[37] या तो मामले में, सुरक्षा का स्तर सॉफ़्टवेयर के कार्यान्वयन और उपयोग में सिफर के कार्यान्वयन की शुद्धता पर निर्भर करता है।

SSL/TLS एक वेब क्रॉलर द्वारा साइट के अनुक्रमण को नहीं रोकता है, और कुछ मामलों में एन्क्रिप्टेड संसाधन के समान संसाधन पहचानकर्ता को केवल इंटरसेप्टेड अनुरोध/प्रतिक्रिया आकार जानकर अनुमान लगाया जा सकता है।[38] यह एक हमलावर को प्लेनटेक्स्ट (सार्वजनिक रूप से उपलब्ध स्थिर सामग्री), और सिफरटेक्स्ट (स्थैतिक सामग्री के एन्क्रिप्टेड संस्करण) तक पहुंचने की अनुमति देता है, जो एक चुने हुए-सिफर्टेक्स्ट हमले की अनुमति देता है।

क्योंकि परिवहन परत सुरक्षा HTTP के नीचे एक प्रोटोकॉल स्तर पर संचालित होती है और उच्च-स्तरीय प्रोटोकॉल का कोई ज्ञान नहीं है, टीएलएस सर्वर केवल किसी विशेष पते और पोर्ट संयोजन के लिए एक प्रमाण पत्र प्रस्तुत कर सकते हैं।[39] अतीत में, इसका मतलब यह था कि HTTPS के साथ वर्चुअल होस्टिंग#NAME- आधारित नाम-आधारित वर्चुअल होस्टिंग का उपयोग करना संभव नहीं था।सर्वर नेम इंडिकेशन (एसएनआई) नामक एक समाधान मौजूद है, जो कनेक्शन को एन्क्रिप्ट करने से पहले सर्वर को होस्टनाम भेजता है, हालांकि कई पुराने ब्राउज़र इस एक्सटेंशन का समर्थन नहीं करते हैं।SNI के लिए समर्थन फ़ायरफ़ॉक्स 2, ओपेरा (वेब ब्राउज़र) 8, सफारी (वेब ब्राउज़र) 2.1, Google Chrome 6, और इंटरनेट एक्सप्लोरर 7 विंडोज विस्टा पर उपलब्ध है।[40][41][42] एक वास्तुशिल्प दृष्टिकोण से:

  • एक SSL/TLS कनेक्शन पहले फ्रंट मशीन द्वारा प्रबंधित किया जाता है जो TLS कनेक्शन शुरू करता है।यदि, किसी भी कारण (रूटिंग, ट्रैफ़िक अनुकूलन, आदि) के लिए, यह फ्रंट मशीन एप्लिकेशन सर्वर नहीं है और इसे डेटा को समझना है, तो समाधान सर्वर को उपयोगकर्ता प्रमाणीकरण जानकारी या प्रमाण पत्र का प्रचार करने के लिए समाधान मिल जाएंगे, जिसे आवश्यकता हैपता है कि कौन जुड़ा हुआ है।
  • पारस्परिक प्रमाणीकरण के साथ SSL/TLS के लिए, SSL/TLS सत्र पहले सर्वर द्वारा प्रबंधित किया जाता है जो कनेक्शन शुरू करता है।उन स्थितियों में जहां एन्क्रिप्शन को जंजीर सर्वर के साथ प्रचारित किया जाना है, सत्र टाइमआउट प्रबंधन को लागू करने के लिए बेहद मुश्किल हो जाता है।
  • सुरक्षा पारस्परिक एसएसएल/टीएलएस के साथ अधिकतम है, लेकिन क्लाइंट-साइड पर एसएसएल/टीएलएस कनेक्शन को ठीक से समाप्त करने का कोई तरीका नहीं है और सभी संबंधित क्लाइंट एप्लिकेशन को समाप्त करने के लिए सर्वर सत्र की प्रतीक्षा करने के अलावा उपयोगकर्ता को डिस्कनेक्ट करें।

एसएसएल स्ट्रिपिंग नामक एक परिष्कृत प्रकार का मैन-इन-द-मिडिल अटैक 2009 ब्लैक हैट ब्रीफिंग में प्रस्तुत किया गया था।इस प्रकार का हमला HTTPS द्वारा प्रदान की गई सुरक्षा को बदलकर बदल देता है https: एक में लिंक http: लिंक, इस तथ्य का लाभ उठाते हुए कि कुछ इंटरनेट उपयोगकर्ता वास्तव में HTTPS को अपने ब्राउज़र इंटरफ़ेस में टाइप करते हैं: वे एक लिंक पर क्लिक करके एक सुरक्षित साइट पर जाते हैं, और इस तरह यह सोचकर मूर्ख बनाया जाता है कि वे HTTPS का उपयोग कर रहे हैं जब वास्तव में वे HTTP का उपयोग कर रहे हैं।हमलावर तब ग्राहक के साथ स्पष्ट रूप से संवाद करता है।[43] इसने HTTP में HTTP सख्त परिवहन सुरक्षा नामक एक प्रतिवाद के विकास को प्रेरित किया।

HTTPS को ट्रैफ़िक विश्लेषण हमलों की एक श्रृंखला के लिए असुरक्षित दिखाया गया है।ट्रैफ़िक विश्लेषण हमले एक प्रकार का साइड-चैनल हमला है जो एन्क्रिप्टेड ट्रैफ़िक के बारे में गुणों का अनुमान लगाने के लिए ट्रैफ़िक के समय और आकार में भिन्नता पर निर्भर करता है।ट्रैफ़िक विश्लेषण संभव है क्योंकि एसएसएल/टीएलएस एन्क्रिप्शन ट्रैफ़िक की सामग्री को बदलता है, लेकिन ट्रैफ़िक के आकार और समय पर कम से कम प्रभाव पड़ता है।मई 2010 में, माइक्रोसॉफ्ट रिसर्च और इंडियाना यूनिवर्सिटी ब्लूमिंगटन के शोधकर्ताओं के एक शोध पत्र ने पाया कि विस्तृत संवेदनशील उपयोगकर्ता डेटा को पैकेट आकार जैसे साइड चैनलों से अनुमान लगाया जा सकता है।शोधकर्ताओं ने पाया कि, हेल्थकेयर, कराधान, निवेश और वेब खोज में कई हाई-प्रोफाइल, टॉप-ऑफ-द-लाइन वेब अनुप्रयोगों में HTTPS सुरक्षा के बावजूद, एक ईव्सड्रॉपर उपयोगकर्ता की बीमारियों/दवाओं/सर्जरी का अनुमान लगा सकता है, उसकी/उसकी पारिवारिक आय, और निवेश रहस्य।[44] यद्यपि इस काम ने ट्रैफ़िक विश्लेषण के लिए HTTPS की भेद्यता का प्रदर्शन किया, लेखकों द्वारा प्रस्तुत दृष्टिकोण को मैनुअल विश्लेषण की आवश्यकता थी और विशेष रूप से HTTPS द्वारा संरक्षित वेब अनुप्रयोगों पर ध्यान केंद्रित किया गया।

तथ्य यह है कि Google, याहू!, और अमेज़ॅन सहित अधिकांश आधुनिक वेबसाइटें, HTTPS का उपयोग करती हैं, कई उपयोगकर्ताओं के लिए समस्याओं का कारण बनती हैं, जो सार्वजनिक वाई-फाई हॉट स्पॉट तक पहुंचने की कोशिश कर रहे हैं, क्योंकि एक वाई-फाई हॉट स्पॉट लॉगिन पेज लोड करने में विफल रहता है यदि उपयोगकर्ता की कोशिश करता है तो उपयोगकर्ता लोड करने में विफल रहता है।एक HTTPS संसाधन खोलें।[45] कई वेबसाइटें, जैसे neverssl.com, गारंटी देते हैं कि वे हमेशा HTTP द्वारा सुलभ रहेंगे।[46]


इतिहास

Main article: Transport Layer Security § History and development

नेटस्केप कम्युनिकेशंस ने 1994 में अपने नेटस्केप नेविगेटर वेब ब्राउज़र के लिए HTTPS बनाया।[47] मूल रूप से, HTTPS का उपयोग सुरक्षित सॉकेट लेयर प्रोटोकॉल के साथ किया गया था।जैसा कि SSL ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) में विकसित हुआ, HTTPS को औपचारिक रूप से RFC 2818 द्वारा मई 2000 में निर्दिष्ट किया गया था। Google ने फरवरी 2018 में घोषणा की कि इसका क्रोम ब्राउज़र HTTP साइटों को जुलाई 2018 के बाद सुरक्षित नहीं करेगा।[48] यह कदम वेबसाइट के मालिकों को HTTPS को लागू करने के लिए प्रोत्साहित करना था, जो कि वर्ल्ड वाइड वेब को अधिक सुरक्षित बनाने के प्रयास के रूप में था।

यह भी देखें

  • परिवहन परत सुरक्षा
  • इंटरप्लेनेटरी फाइल सिस्टम - HTTPS को बदल सकता है
  • बुलरुन (डिक्रिप्शन प्रोग्राम) – अमेरिकी राष्ट्रीय सुरक्षा एजेंसी द्वारा संचालित एक गुप्त एंटी-एन्क्रिप्शन कार्यक्रम
  • कंप्यूटर सुरक्षा
  • HTTP सख्त परिवहन सुरक्षा
  • अवसरवादी एन्क्रिप्शन
  • स्टंटल

संदर्भ

  1. "HTTPS के साथ अपनी साइट को सुरक्षित करें". Google Support. Google Inc. Archived from the original on 1 March 2015. Retrieved 20 October 2018.
  2. "HTTPS क्या है?". Comodo CA Limited. Archived from the original on 12 February 2015. Retrieved 20 October 2018. हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) HTTP का सुरक्षित संस्करण है [...]
  3. "https URI Scheme". HTTP शब्दार्थ. IETF. June 2022. sec. 4.2.2. doi:10.17487/RFC9110. RFC 9110.
  4. 4.0 4.1 4.2 "Https हर जगह faq". 8 November 2016. Archived from the original on 14 November 2018. Retrieved 20 October 2018.
  5. "वेबसाइटों के लिए डिफ़ॉल्ट प्रोटोकॉल https के उपयोग के आँकड़े, जुलाई 2019". w3techs.com. Archived from the original on 1 August 2019. Retrieved 20 July 2019.
  6. "वेब को एन्क्रिप्ट करना". Electronic Frontier Foundation. Archived from the original on 18 November 2019. Retrieved 19 November 2019.
  7. "होटल वाईफाई जावास्क्रिप्ट इंजेक्शन". JustInsomnia. 3 April 2012. Archived from the original on 18 November 2018. Retrieved 20 October 2018.
  8. The Tor Project, Inc. "टोर ब्राउज़र क्या है?". TorProject.org. Archived from the original on 17 July 2013. Retrieved 30 May 2012.
  9. Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13 November 2014). "Https को गले लगाना". The New York Times. Archived from the original on 8 January 2019. Retrieved 20 October 2018.
  10. Gallagher, Kevin (12 September 2014). "एनएसए के खुलासे के पंद्रह महीने बाद, HTTPS का उपयोग करने वाले अधिक समाचार संगठन क्यों नहीं हैं?". Freedom of the Press Foundation. Archived from the original on 10 August 2018. Retrieved 20 October 2018.
  11. "एक रैंकिंग संकेत के रूप में https". Google Webmaster Central Blog. Google Inc. 6 August 2014. Archived from the original on 17 October 2018. Retrieved 20 October 2018. आप अपनी साइट को HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) के साथ सुरक्षित कर सकते हैं [...]
  12. Grigorik, Ilya; Far, Pierre (26 June 2014). "Google I/O 2014 - HTTPS हर जगह". Google Developers. Archived from the original on 20 November 2018. Retrieved 20 October 2018.
  13. 13.0 13.1 13.2 "HTTPS को सही तरीके से कैसे तैनात करें". 15 November 2010. Archived from the original on 10 October 2018. Retrieved 20 October 2018.
  14. "HTTP सख्त परिवहन सुरक्षा". Mozilla Developer Network. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
  15. "शीर्ष 1M वेबसाइटों पर HTTPS उपयोग सांख्यिकी". StatOperator.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
  16. "क्वालिस एसएसएल लैब्स - एसएसएल पल्स". www.ssllabs.com. 3 April 2018. Archived from the original on 2 December 2017. Retrieved 20 October 2018.
  17. "चलो आँकड़ों को एन्क्रिप्ट करते हैं". LetsEncrypt.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
  18. "टीएलएस 1.3: मजबूत वेब एन्क्रिप्शन को धीमा अपनाना बुरे लोगों को सशक्त बना रहा है". Help Net Security (in English). 6 April 2020. Retrieved 23 May 2022.
  19. Eckersley, Peter (17 June 2010). "HTTPS हर जगह फ़ायरफ़ॉक्स एक्सटेंशन के साथ वेब को एन्क्रिप्ट करें". EFF blog. Archived from the original on 25 November 2018. Retrieved 20 October 2018.
  20. "हर जगह https।". EFF projects. 7 October 2011. Archived from the original on 5 June 2011. Retrieved 20 October 2018.
  21. "फ़ायरफ़ॉक्स में https-only मोड". Retrieved 12 November 2021.{{cite web}}: CS1 maint: url-status (link)
  22. "Chrome सुरक्षा और सुरक्षा प्रबंधित करें - Android - Google Chrome सहायता". support.google.com. Retrieved 7 March 2022.
  23. "Chrome के HTTPS-FIRST मोड पर हाथ". Techdows (in English). 19 July 2021. Retrieved 7 March 2022.
  24. Singel, Ryan (24 March 2010). "कानून प्रवर्तन उपकरण ssl". Wired. Archived from the original on 17 January 2019. Retrieved 20 October 2018.
  25. Schoen, Seth (24 March 2010). "नए शोध से पता चलता है कि सरकारें SSL प्रमाणपत्रों को नकली कर सकती हैं". EFF. Archived from the original on 4 January 2016. Retrieved 20 October 2018.
  26. 26.0 26.1 Duncan, Robert (25 June 2013). "SSL: आज इंटरसेप्टेड, कल डिक्रिप्टेड". Netcraft. Archived from the original on 6 October 2018. Retrieved 20 October 2018.
  27. Cimpanu, Catalin (12 April 2016). "आइए आज लॉन्च किए गए एन्क्रिप्ट, वर्तमान में 3.8 मिलियन डोमेन की सुरक्षा करता है". Softpedia News. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
  28. Kerner, Sean Michael (18 November 2014). "चलो एन्क्रिप्ट प्रयास का उद्देश्य इंटरनेट सुरक्षा में सुधार करना है". eWeek.com. Quinstreet Enterprise. Retrieved 20 October 2018.
  29. Eckersley, Peter (18 November 2014). "2015 में लॉन्चिंग: पूरे वेब को एन्क्रिप्ट करने के लिए एक प्रमाणपत्र प्राधिकरण". Electronic Frontier Foundation. Archived from the original on 18 November 2018. Retrieved 20 October 2018.
  30. Qualys SSL Labs. "एसएसएल पल्स". Archived from the original (3 February 2019) on 15 February 2019. Retrieved 25 February 2019.
  31. "मोज़िला फ़ायरफ़ॉक्स गोपनीयता नीति". Mozilla Foundation. 27 April 2009. Archived from the original on 18 October 2018. Retrieved 20 October 2018.
  32. "ओपेरा 8 को एफ़टीपी पर लॉन्च किया गया". Softpedia. 19 April 2005. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
  33. Lawrence, Eric (31 January 2006). "इंटरनेट एक्सप्लोरर 7 में HTTPS सुरक्षा सुधार 7". Microsoft Docs. Retrieved 24 October 2021.
  34. Myers, Michael; Ankney, Rich; Malpani, Ambarish; Galperin, Slava; Adams, Carlisle (20 June 1999). "ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल - OCSP". Internet Engineering Task Force. doi:10.17487/RFC2560. Archived from the original on 25 August 2011. Retrieved 20 October 2018. {{cite journal}}: Cite journal requires |journal= (help)
  35. "आधारभूत आवश्यकताएँ". CAB Forum. Retrieved 1 November 2021.{{cite web}}: CS1 maint: url-status (link)
  36. Korzhitskii, Nikita; Carlsson, Niklas (2021). इंटरनेट पर निरसन की स्थिति. arXiv:2102.04288. {{cite book}}: |work= ignored (help)CS1 maint: url-status (link)
  37. "क्रोम उपकरणों पर क्लाइंट सर्टिफिकेट का प्रबंधन करें - व्यवसाय और शिक्षा के लिए क्रोम". support.google.com. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
  38. Pusep, Stanislaw (31 July 2008). "समुद्री डाकू बे अन-एसएसएल" (PDF). Archived (PDF) from the original on 20 June 2018. Retrieved 20 October 2018.
  39. "SSL/TLS मजबूत एन्क्रिप्शन: FAQ". apache.org. Archived from the original on 19 October 2018. Retrieved 20 October 2018.
  40. Lawrence, Eric (22 October 2005). "इंटरनेट एक्सप्लोरर 7 बीटा 2 में आगामी HTTPS सुधार". Microsoft. Archived from the original on 20 September 2018. Retrieved 20 October 2018.
  41. "सर्वर नाम संकेत (एसएनआई)". inside aebrahim's head. 21 February 2006. Archived from the original on 10 August 2018. Retrieved 20 October 2018.
  42. Pierre, Julien (19 December 2001). "टीएलएस सर्वर नाम संकेत के लिए ब्राउज़र समर्थन". Bugzilla. Mozilla Foundation. Archived from the original on 8 October 2018. Retrieved 20 October 2018.
  43. "SSLSTRIP 0.9". Archived from the original on 20 June 2018. Retrieved 20 October 2018.
  44. Shuo Chen; Rui Wang; XiaoFeng Wang; Kehuan Zhang (20 May 2010). "वेब एप्लिकेशन में साइड-चैनल लीक: एक वास्तविकता आज, एक चुनौती कल". Microsoft Research. IEEE Symposium on Security & Privacy 2010. Archived from the original on 22 July 2018. Retrieved 20 October 2018.
  45. Guaay, Matthew (21 September 2017). "कैसे एक सार्वजनिक वाई-फाई नेटवर्क लॉगिन पेज को खोलने के लिए मजबूर करने के लिए". Archived from the original on 10 August 2018. Retrieved 20 October 2018.
  46. "Neverssl". Archived from the original on 1 September 2018. Retrieved 20 October 2018.
  47. Walls, Colin (2005). एंबेडेड सॉफ्टवेयर: काम करता है. Newnes. p. 344. ISBN 0-7506-7954-9. Archived from the original on 9 February 2019. Retrieved 20 October 2018.
  48. "एक सुरक्षित वेब यहाँ रहने के लिए है". Chromium Blog. Archived from the original on 24 April 2019. Retrieved 22 April 2019.


इस पृष्ठ में गुम आंतरिक लिंक की सूची

बाहरी कड़ियाँ

File:Commons-logo.svg
Wikimedia Commons has media related to [[commons:Category:एचटीटीपीएस (HTTPS)|एचटीटीपीएस (HTTPS)]].
  • RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3

श्रेणी: हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल श्रेणी: क्रिप्टोग्राफिक प्रोटोकॉल श्रेणी: सुरक्षित संचार श्रेणी: उरी योजनाएं श्रेणी: परिवहन परत सुरक्षा श्रेणी: १ ९९ ४ में कंप्यूटर से संबंधित परिचय]

Retrieved from ‘https://www.vigyanwiki.in/index.php?title=एचटीटीपीएस_(HTTPS)&oldid=66414