SSL क्या है और आपको इसकी देखभाल क्यों करनी चाहिए?

HTTP से HTTPS में बदलने के बारे में पिछली रिपोर्ट में, यह सिंगल सॉकेट लेयर (SSL) पर संक्षिप्त रूप से छुआ था। संक्षेप में, एसएसएल और उसके उत्तराधिकारी, ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) को सुरक्षित रूप से ऑनलाइन संचालित करने की आवश्यकता है।

इस लेख में, आइए इस प्रश्न का उत्तर देने के बारे में ध्यान दें कि "SSL क्या है" और यह भी कि SSL / TLS आपकी संवेदनशील जानकारी की सुरक्षा कैसे करता है।

आपको एसएसएल / टीएलएस के बारे में क्यों ध्यान रखना चाहिए?

हालांकि, "कैसे" में जाने से पहले, "Why" पर एक नज़र डालते हैं कि आप पहले स्थान पर SSL / TLS का उपयोग क्यों करना चाहते हैं।

$config[code] not found

इन दिनों, डेटा सुरक्षा सुनहरा है। जिस किसी के पास उसकी पहचान थी, वह आपको बता सकता है। आपकी जानकारी को सुरक्षित रखने की कुंजी यह है कि इसे किसी ऐसी जगह सुरक्षित रखा जाए जहां कोई और इसे देख न सके।

दुर्भाग्य से, यह ऑनलाइन संभव नहीं है। जब आप ऑनलाइन जानकारी स्थानांतरित करते हैं, तो वहाँ है हमेशा इस प्रक्रिया में कुछ बिंदु जहां आप और आपके ग्राहक दोनों डेटा को नियंत्रित करते हैं।

आप देखते हैं, जबकि आपका ग्राहक उस डिवाइस को सुरक्षित कर सकता है जिस पर आपका ब्राउज़र चलता है और आप अपने वेब सर्वर को सुरक्षित कर सकते हैं, ऑनलाइन दुनिया के पाइप आपके दोनों हाथों से बाहर हैं।

चाहे वह केबल कंपनी, फोन कंपनी या सरकार द्वारा संचालित अंडरसीट केबल हो, आपके ग्राहकों का डेटा ऑनलाइन किसी और के हाथों से गुजरेगा और इसीलिए इसे SSL / TLS का उपयोग करके एन्क्रिप्ट करने की आवश्यकता है।

ऑनलाइन जानकारी सुरक्षित करने के लिए आप एसएसएल / टीएलएस का उपयोग कर सकते हैं।

• क्रेडिट कार्ड लेनदेन
• वेबसाइट लॉगिन
• आगे और पीछे निजी और व्यक्तिगत जानकारी पास करना
• अपने ईमेल को स्नूपर्स से सुरक्षित करना।

हां, यदि आप ऑनलाइन व्यापार करते हैं, तो एसएसएल / टीएलएस आपकी निरंतर सफलता के लिए महत्वपूर्ण है। क्यूं कर? इसलिये:

• आपके ग्राहकों को सुरक्षित महसूस करने की आवश्यकता होती है जब वे आपके साथ ऑनलाइन व्यापार करते हैं या वे आपके साथ व्यापार नहीं करते हैं; तथा
• आपके पास अपने ग्राहक के साथ एक संवेदनशील जानकारी की रक्षा करने की जिम्मेदारी है जिसे उन्होंने आपके साथ साझा करने के लिए चुना है।

इसके बाद, आइए नजर डालते हैं कि एसएसएल / टीएलएस कैसे काम करता है।

सार्वजनिक, सार्वजनिक और सत्र कुंजी हैं, उह … कुंजी

जब आप अपने संवेदनशील डेटा को ऑनलाइन प्रसारित करने के लिए एसएसएल / टीएलएस का उपयोग करते हैं, तो आपका ब्राउज़र और सुरक्षित वेब सर्वर इसे जोड़ने के लिए दो अलग-अलग कुंजियों का उपयोग करके एक सुरक्षित कनेक्शन सेट करता है: एक सार्वजनिक और एक निजी कुंजी। एक बार कनेक्शन होने के बाद, तीसरे प्रकार की कुंजी, सत्र कुंजी, का उपयोग एन्क्रिप्ट और डिक्रिप्ट की गई जानकारी को आगे और पीछे करने के लिए किया जाता है।

$config[code] not found

यहां देखिए यह कैसे काम करता है:

1. जब आप एक सुरक्षित से कनेक्ट करते हैं (उदाहरण के लिए amazon.com), "हैंडशेक" प्रक्रिया शुरू होती है:
   1. सबसे पहले, सर्वर आपके ब्राउज़र को एसएसएल / टीएलएस प्रमाणपत्र और साथ ही इसे सार्वजनिक कुंजी के रूप में पारित करेगा;
   2. आपका ब्राउज़र तब सर्वर के प्रमाण पत्र की जांच करेगा कि क्या वह ऐसे कारकों का उपयोग करके उस पर भरोसा कर सकता है जैसे कि प्रमाण पत्र एक विश्वसनीय स्रोत द्वारा जारी किया गया था और यदि प्रमाणपत्र समाप्त नहीं हुआ है।
   3. यदि एसएसएल / टीएलएस पर भरोसा किया जा सकता है, तो आपका ब्राउज़र सर्वर को एक पावती भेज देगा, जिससे यह पता चल सकेगा कि यह तैयार है। वह संदेश सर्वर की सार्वजनिक कुंजी का उपयोग करके एन्क्रिप्ट किया जाएगा और केवल सर्वर की निजी कुंजी का उपयोग करके डिक्रिप्ट किया जा सकता है। उस पावती में शामिल करना आपके ब्राउज़र की सार्वजनिक कुंजी है।
      1. यदि सर्वर पर भरोसा नहीं किया जा सकता है, तो आपको अपने ब्राउज़र में एक चेतावनी दिखाई देगी। आप हमेशा चेतावनी को अनदेखा कर सकते हैं, लेकिन यह बुद्धिमान नहीं है।
   4. सर्वर तब सत्र कुंजी बनाता है। अपने ब्राउज़र में भेजने से पहले, यह आपकी सार्वजनिक कुंजी का उपयोग करके संदेश को एन्क्रिप्ट करता है ताकि केवल आपका ब्राउज़र, अपनी निजी कुंजी का उपयोग करके, इसे डिक्रिप्ट कर सके।
2. अब जबकि हैंडशेक खत्म हो गया है और दोनों पक्षकारों ने सुरक्षित रूप से सत्र कुंजी प्राप्त की है, तो आपका ब्राउज़र और सर्वर एक सुरक्षित कनेक्शन साझा करते हैं। आपके ब्राउज़र और सर्वर दोनों ही संवेदनशील डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए सत्र कुंजी का उपयोग करते हैं क्योंकि यह ऑनलाइन पर आगे-पीछे भेजा जाता है।
   1. सत्र समाप्त होने के बाद, सत्र कुंजी को छोड़ दिया जाता है। यहां तक ​​कि अगर आप एक घंटे बाद कनेक्ट करते हैं, तो आपको शुरुआत से ही इस प्रक्रिया से गुजरना होगा, जिसके परिणामस्वरूप एक नया सत्र कुंजी आएगा।

आकर महत्त्व रखता है

सभी तीन प्रकार की कुंजियों में संख्याओं के लंबे तार होते हैं। स्ट्रिंग जितनी लंबी होगी, एन्क्रिप्शन उतना ही सुरक्षित होगा। नीचे की ओर, एक लंबी स्ट्रिंग में डेटा को एन्क्रिप्ट और डिक्रिप्ट करने में अधिक समय लगता है और सर्वर और आपके ब्राउज़र के संसाधनों दोनों पर अधिक दबाव डालता है।

यही कारण है कि सत्र कुंजियाँ मौजूद हैं। सत्र कुंजी सार्वजनिक और निजी दोनों की तुलना में बहुत कम है। परिणाम: बहुत तेजी से एन्क्रिप्शन और डिक्रिप्शन लेकिन कम सुरक्षा।

प्रतीक्षा - कम सुरक्षा? क्या यह बुरा नहीं है? ज़रुरी नहीं।

हटाए जाने से पहले सत्र कुंजी केवल कुछ समय के लिए मौजूद होती है। और जब तक वे अन्य दो प्रकार की कुंजियों के रूप में लंबे समय तक नहीं होते, तब तक वे उस समय के लिए हैकिंग को रोकने के लिए पर्याप्त सुरक्षित होते हैं जब आपके ब्राउज़र और सुरक्षित सर्वर के बीच संबंध मौजूद होता है।

एन्क्रिप्शन एल्गोरिदम

सार्वजनिक और निजी दोनों कुंजियाँ तीन एन्क्रिप्शन एल्गोरिदम में से एक का उपयोग करके बनाई गई हैं।

हम यहां बहुत गहरे नहीं जा रहे हैं, आपको एन्क्रिप्शन एल्गोरिदम को पूरी तरह से समझने के लिए शाब्दिक रूप से एक गणित की डिग्री (शायद कई) की आवश्यकता है, लेकिन यह मूल बातें जानने के लिए आसान है जब यह उस प्रकार को चुनने का समय आता है जो आपकी खुद की वेबसाइट का उपयोग करें।

तीन प्राथमिक एल्गोरिदम हैं:

• आरएसए - इसके रचनाकारों के नाम पर (रॉन) आरivest, आदि एसहैमर, और लियोनार्ड एdlema), RSA 1977 से आस-पास रहा है। RSA गणनाओं की एक श्रृंखला में दो यादृच्छिक अभाज्य संख्याओं का उपयोग करके चाबियाँ बनाता है। और अधिक जानें…
• डिजिटल सिग्नेचर एल्गोरिथम (डीएसए) - राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा निर्मित, डीएसए दो-चरणीय प्रक्रिया का उपयोग करके चाबियाँ बनाता है जो गणना की एक श्रृंखला में "क्रैप्टोग्राफ़िक हैश फ़ंक्शन" का उपयोग करता है। और अधिक जानें…
• अण्डाकार वक्र क्रिप्टोग्राफी (EEC) - ईईसी गणनाओं की एक जटिल श्रृंखला में "अण्डाकार वक्रों के बीजीय संरचना" का उपयोग करके चाबियाँ बनाता है। और अधिक जानें…

$config[code] not found

आपको कौन सा एन्क्रिप्शन एल्गोरिथम चुनना चाहिए?

एक तरफ गणित, जो उपयोग करने के लिए सबसे अच्छा एन्क्रिप्शन एल्गोरिथ्म है?

वर्तमान में, ECC शीर्ष पर आ रही है। गणित के लिए धन्यवाद, ईसीसी एल्गोरिथ्म के साथ बनाई गई कुंजियां कम हैं जबकि अभी भी उतनी ही सुरक्षित हैं जितनी अधिक कुंजी। हाँ, ECC "मोबाइल फोन या टैबलेट" जैसे कम शक्तिशाली उपकरणों पर सुरक्षित कनेक्शन के लिए आदर्श "नियम मामलों" को तोड़ता है।

सबसे अच्छा दृष्टिकोण एक हाइब्रिड हो सकता है, जहां आपका सर्वर सभी तीन प्रकार के एल्गोरिदम को स्वीकार कर सकता है, इसलिए यह उस पर जो भी फेंका जाता है उसे संभाल सकता है। इस दृष्टिकोण के दो डाउनसाइड हो सकते हैं:

1. सर्वर केवल ECC के विपरीत RSA, DSA और ECC को संभालने वाले अधिक संसाधनों का उपयोग करता है; तथा
2. आपका एसएसएल / टीएलएस प्रमाणपत्र प्रदाता आपसे अधिक शुल्क ले सकता है। हालाँकि चारों ओर देखें, बहुत विश्वसनीय प्रदाता हैं जो तीनों का उपयोग करने के लिए अतिरिक्त शुल्क नहीं लेते हैं।

TLS को अभी भी SSL क्यों कहा जाता है?

जैसा कि हमने इस पोस्ट में सबसे ऊपर बताया, TLS SSL का उत्तराधिकारी है। जबकि SSL अभी भी उपयोग में है, TLS एक अधिक परिष्कृत समाधान है और SSL से ग्रस्त कई सुरक्षा छेदों को प्लग करता है।

अधिकांश होस्टिंग कंपनियां और एसएसएल / टीएलएस प्रमाणपत्र प्रदाता अभी भी "टीएलएस प्रमाणपत्र" के बजाय "एसएसएल प्रमाणपत्र" शब्द का उपयोग करते हैं।

हालांकि स्पष्ट रहें, बेहतर होस्टिंग और सर्टिफिकेट प्रदाता वास्तव में टीएलएस प्रमाणपत्रों का उपयोग कर रहे हैं - वे सिर्फ नाम नहीं बदलना चाहते हैं क्योंकि यह उनके ग्राहकों को भ्रमित करेगा।

निष्कर्ष

सिंगल सॉकेट लेयर (एसएसएल), और इसके उत्तराधिकारी, ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) को सुरक्षित रूप से ऑनलाइन संचालित करने की आवश्यकता है। "कुंजी" नामक संख्याओं के लंबे तारों का उपयोग करते हुए, एसएसएल / टीएलएस उन कनेक्शनों को सक्षम करता है जहां आपके और आपके ग्राहक की जानकारी को भेजे जाने से पहले एन्क्रिप्ट किया जाता है और उसके आने पर डिक्रिप्ट किया जाता है।

नीचे पंक्ति: यदि आप ऑनलाइन व्यापार करते हैं, तो एसएसएल / टीएलएस आपकी निरंतर सफलता के लिए महत्वपूर्ण है क्योंकि यह आपके और आपके ग्राहकों दोनों की सुरक्षा करते हुए विश्वास बनाता है।

शटरस्टॉक के माध्यम से सुरक्षा फोटो

More in: क्या है 5 टिप्पणियाँ 5