क्यों आपको HTTP से HTTPS पर माइग्रेट करना चाहिए: एक सुरक्षित वेब बिल्डिंग

हम अब इंटरनेट पर हैंगआउट नहीं करते हैं। हम लाइव इंटरनेट पर।

हमारी भौतिक दुनिया की तरह, इंटरनेट एक मज़ेदार जगह है – यह समय के साथ, यह कई बार यादृच्छिक होता है, और कई बार यह सुरक्षित होता है। खैर, हम इसे सुरक्षित मानते हैं।

डेवलपर्स और वेबसाइट के मालिकों के रूप में, हम जिम्मेदार हैं हमारे सभी उपयोगकर्ताओं को एक सुरक्षित वेब अनुभव प्रदान करने के लिए।

उपयोगकर्ताओं के रूप में, हमने यह सब देखा है –

  • मैलवेयर इंजेक्शन
  • पॉपअप ट्रिगर सॉफ्टवेयर स्थापित करता है
  • ट्रोजन हॉर्स वायरस
  • आदि।

सौभाग्य से, कि ज्यादातर खत्म हो गया है। आधुनिक युग के ब्राउज़र डिफ़ॉल्ट रूप से इन मुद्दों का ध्यान रखते हैं।

लेकिन ब्राउज़र हैं सिर्फ एक कंटेनर जो भी सर्वर इस पर फेंकता है, उसे प्रस्तुत करता है। केवल इतना है कि यह कर सकता है। उपयोगकर्ता (और एक्सटेंशन द्वारा, वेबसाइट) हैं अभी भी कमजोर है जावास्क्रिप्ट इंजेक्शन (अधिक पढ़ें यहाँ तथा यहाँ)।

उपयोगकर्ताओं के साथ विश्वास और विश्वसनीयता का निर्माण एक लंबा रास्ता तय करता है। और इसकी वजह यह है कि मोजिला और गूगल जैसे वैश्विक नेता अपना वजन पीछे कर रहे हैं वेब को अधिक सुरक्षित जगह बनाना।

यह एक प्रमुख कारण के लिए योगदान दे रहा है HTTP वेबसाइटों से HTTPS वेबसाइटों में क्रमिक बदलाव।

HTTP क्या है और HTTPS क्या है?

शब्द- https

स्रोत: https://websitesdepot.com/google-announce-new-security-measure-website-owners-ttps/

इससे पहले कि हम गहरा गोता लगाएँ, आइए HTTP और HTTPS की त्वरित समझ प्राप्त करें।

ये हैं सबसे अक्सर इस्तेमाल किया प्रोटोकॉल वेब पर।

एचटीटीपी:

  • हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल – पाठ आधारित संदेश भेजने और प्राप्त करने के लिए एक सरल प्रोटोकॉल।

HTTPS:

  • हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित – HTTP के समान प्रोटोकॉल, लेकिन पाठ एन्क्रिप्ट किया गया है।

HTTP और HTTPS की बेहतर समझ विकसित करने के लिए यह विस्तृत अवलोकन पढ़ें।

कैसे HTTPS खाई को पाटता है:

http-vs-https

स्रोत

गूगल (और बहुत सारे) के लिए प्रतिबद्ध हैं वेब को अधिक सुरक्षित बनाना सभी उपयोगकर्ताओं के लिए।

2014 में, Google उनके पास था हर जगह एचटीटीपीएस जब उन्होंने घोषणा की रैंकिंग संकेत के रूप में HTTPS तथा असुरक्षित पृष्ठों पर सुरक्षित पृष्ठों को अनुक्रमित करना शुरू कर दिया

Google की अनुक्रमण शर्तें:

  1. इसमें असुरक्षित निर्भरता नहीं होनी चाहिए।
  2. इसे robots.txt द्वारा क्रॉल करने से अवरुद्ध नहीं किया गया है।
  3. यह उपयोगकर्ताओं को एक असुरक्षित HTTP पृष्ठ पर या उसके माध्यम से पुनर्निर्देशित नहीं करना चाहिए।
  4. इसका HTTP पेज से rel = “canonical” लिंक नहीं होना चाहिए।
  5. इसमें एक noindex रोबोट मेटा टैग नहीं होना चाहिए।
  6. इसमें HTTP URL पर होस्ट की रूपरेखा नहीं होनी चाहिए।
  7. साइटमैप HTTPS URL को सूचीबद्ध करता है या URL के HTTP संस्करण को सूचीबद्ध नहीं करता है।
  8. सर्वर के पास वैध TLS प्रमाणपत्र है।

पहली शर्त एक महत्वपूर्ण आवश्यकता है।

पृष्ठ में “असुरक्षित निर्भरताएँ” शामिल नहीं होनी चाहिए। कई पेज असुरक्षित चित्र, एम्बेड, वीडियो, आदि शामिल करें।

एसएसएल डिफ़ॉल्ट रूप से

स्रोत: https://www.keycdn.com/blog/http-to-https/

बिल्टविथ के आंकड़ों के अनुसार, केवल आसपास शीर्ष 100,000 वेबसाइटों में 6.3% एसएसएल का उपयोग कर रहे हैं।

less_than_1

Google रैंकिंग को बढ़ावा देने के अलावा, वहाँ हैं कई अन्य कारण आपको HTTPS को अपनी वेबसाइट प्रोटोकॉल के रूप में चुनने पर विचार करना चाहिए।

कुछ अतिरिक्त लाभ:

  1. अधिक सुरक्षा– HTTPS के ऊपर चलना महत्वपूर्ण कारण है सुरक्षा के कारण! ई-कॉमर्स और अन्य लेन-देन साइटों के लिए आपको SSL प्रमाणपत्र की आवश्यकता होती है क्योंकि वे हैं संवेदनशील जानकारी संसाधित करना। अन्य साइटों के लिए, HTTPS में जाने का एक बड़ा कारण है वर्डप्रेस लॉगिन पेज। यदि आप HTTPS कनेक्शन से अधिक नहीं चल रहे हैं, तो आपका उपयोगकर्ता नाम और पासवर्ड इंटरनेट पर स्पष्ट पाठ में भेजा जाता है। कोई भी विभिन्न प्रकार के मुफ्त टूल का उपयोग करके असुरक्षित कनेक्शन पर वर्डप्रेस लॉगिन को सूँघ और पकड़ सकता है।
  2. बेहतर रेफरल डेटा– प्रवास का एक और अच्छा कारण यह है कि Google Analytics में रेफरल डेटा अवरुद्ध है। यदि आपकी वेबसाइट HTTP पर है और आप किसी भी HTTPS वेबसाइट पर वायरल जाते हैं, तो रेफ़र डेटा पूरी तरह से खो जाएगा और HTTPS वेबसाइट से ट्रैफ़िक “डायरेक्ट ट्रैफ़िक” के तहत समाप्त हो सकता है (जो बहुत उपयोगी नहीं है)। यदि कोई व्यक्ति HTTPS से HTTPS में जा रहा है, तो रेफरर अभी भी पारित किया जाएगा।
  3. एसएसएल ट्रस्ट और विश्वसनीयता बनाता है HTTPS में जाने के लिए, आपको एक SSL प्रमाणपत्र की आवश्यकता होती है। एक एसएसएल प्रमाणपत्र आपके आगंतुकों के साथ विश्वास और विश्वसनीयता बनाता है। आगंतुकों को देखने के लिए करते हैं हरा पैडल एक वेबसाइट पर यह देता हैएसएसएल ट्रस्ट आपके आगंतुकों को यह बताना ज़रूरी है कि आप एक सुरक्षित साइट हैं और उनकी जानकारी सुरक्षित रहेगी।

एचटीटीपीएस में प्रवास के आसपास आम मिथक

स्क्रीनशॉट (387)

चलिए आगे बढ़ते हैं और इन मिथकों का भंडाफोड़ करते हैं।

  1. मेरी साइट HTTPS के लिए पर्याप्त महत्वपूर्ण नहीं है।

अधिक से अधिक, प्रकाशक कहते हैं कि उनके गुण संवेदनशील उपयोगकर्ता डेटा (लॉगिन जानकारी, भुगतान इत्यादि) को संभाल नहीं पाते हैं, इसलिए वे HTTPS के साथ दूर कर सकते हैं।

यह ध्यान रखने के लिए महत्वपूर्ण है जावास्क्रिप्ट-आधारित विज्ञापन इंजेक्शन उपयोगकर्ता अनुभव को मारने के लिए अच्छी तरह से जाना जाता है।

इसके अलावा, HTTP पर चल रहा है वेब डेवलपर्स को प्रतिबंधित करता है सहित प्रमुख एपीआई का उपयोग करने से:

  • जियोलोकेशन: यदि आप HTTP पर हैं, तो आप उपयोगकर्ता के स्थान की तलाश नहीं कर सकते।
  • वेब पुश अधिसूचना: पुश सूचनाएं केवल HTTPS पर उपलब्ध हैं।
  • GetUserMedia: यदि आप HTTP पर हैं, तो आप उपयोगकर्ता के कैमरा / माइक्रोफ़ोन के उपयोग की अनुमति को ट्रिगर नहीं कर सकते।
  • HTTP / 2: सभी प्रमुख ब्राउज़र HTTPS के लिए HTTP / 2 का समर्थन करते हैं।
  • ईएमई और ऐप कैश: जिसे जल्द दूर किया जाए।
  1. HTTPS मेरी साइट को धीमा कर देगा।

काफी कुछ डेवलपर्स ने HTTPS में प्रवासन के बाद के नकारात्मक परिणामों को देखा है।

यह कहते हुए कि, जब 2010 में जीमेल को HTTP में माइग्रेट किया गया था, तब था कोई ध्यान देने योग्य प्रदर्शन प्रभाव नहीं।

यहां Gmail प्रवासन से लेकर HTTPS तक के आँकड़े दिए गए हैं:

स्क्रीनशॉट (389)

नकारात्मक परिणाम अक्सर एक के कारण होते हैं अनुकूलन की कमी जैसे HTTP / 2 में जाना।

हमें HTTPS और प्रदर्शन के बारे में बात करने के तरीके को अपडेट करना होगा।

  1. मैं अपनी साइट को HTTPS में स्थानांतरित कर सकता हूं, लेकिन उन 3 पार्टियों के बारे में जो मैं निर्भर करता हूं?

प्रकाशकों के लिए एक और बड़ी चिंता उनकी वेबसाइट पर मुख्य रूप से विज्ञापनों में तीसरे पक्ष की सामग्री के संदर्भ में है [most often the only source of monetization]।

HTTPS के साथ एक महत्वपूर्ण बाधा यह है कि यदि आप HTTPS में जाते हैं, आपकी सभी सामग्री (तृतीय पक्ष सामग्री सहित) को HTTPS पर भी परोसा जाना है।

  • नोट: Google AdSense और Ad Exchange अनुरोध हैं पहले से HTTPS पर सेवा दी जा रही है।

को लेकर भी चिंता है 3 पार्टी सेवा प्रदाताओं के बीच भागीदारी HTTP रेफरर हेडर पर निर्भर करें। जब कोई उपयोगकर्ता HTTPS साइट से HTTP पार्टनर साइट के लिंक का अनुसरण करता है, तो ब्राउज़र करेगा उनके रेफर हेडर को स्ट्रिप करें गोपनीयता कारणों से।

एक वेब प्लेटफ़ॉर्म सुविधा है जिसे कहा जाता है संदर्भ नीति इससे मदद मिलती है।

प्रकाशक कर सकते हैं एक रेफरल पॉलिसी सेट करें अपने भागीदारों को यह देखने के लिए कि उनकी साइट से कौन सा ट्रैफ़िक आ रहा है, लेकिन वे उस पूर्ण URL को नहीं देखेंगे जो उपयोगकर्ता देख रहा था, इसलिए उपयोगकर्ता की गोपनीयता बनाए रखी जाती है।

फिर एक तरह की सामान्य समस्या कहा जाता है मिश्रित सामग्री

मिश्रित सामग्री की समस्या है HTTPS पर गैर-सुरक्षित HTTP सामग्री लोड करना।

यह महत्वपूर्ण है क्योंकि गैर-सुरक्षित उप संसाधन वास्तव में हो सकते हैं सुरक्षा से समझौता करें एक सुरक्षित HTTPS साइट की। ब्राउज़र वास्तव में इस सामग्री को ब्लॉक कर देंगे और उस HTTPS साइट की सुरक्षा को पूरी तरह से मिटा देंगे।

प्रकाशक वेबसाइट (यानी ब्लॉग) में बहुत सारे पुराने समाचार लेख होते हैं जो तीसरे पक्ष की छवियों से लिंक होते हैं जो HTTPS से अधिक उपलब्ध नहीं हैं। ये चित्र कहलाते हैं निष्क्रिय सामग्री और ब्राउज़र अभी भी उन्हें लोड करने की अनुमति देंगे।

HTTPS साइट को पूरी तरह से तोड़ा नहीं जाएगा, लेकिन वह ग्रीन लॉक चला जाएगा।

स्क्रीनशॉट (401)

पूरा वीडियो:

यह हेडर मूल रूप से प्रकाशकों के लिए एक रास्ता है ब्राउज़र पर मुखर सभी सामग्री को HTTPS पर लोड किया जाना चाहिए और प्रकाशक चाहते हैं रिपोर्ट प्राप्त करें किसी भी सामग्री के बारे में जो कि नहीं है।

सामग्री सुरक्षा नीति प्रकाशकों को उनके गुणों में मिश्रित सामग्री खोजने और ठीक करने की अनुमति देता है।

क्रोम में भी एक है DevTools सुरक्षा पैनल सेवा समस्याओं को खोजने और ठीक करने के लिए जितना संभव हो उतना आसान बनाएं HTTPS कॉन्फ़िगरेशन के साथ ऐसे मिश्रित सामग्री मुद्दे।

अनिवार्य रूप से, तीसरे पक्ष के प्रदाता HTTPS का समर्थन करना चाहिए आपकी साइट को पूरी तरह से स्थानांतरित करने के लिए।

बार बार पूछे जाने वाले प्रश्न

  • यह संपूर्ण संचार कैसे होता है?

ssl1

जब कोई क्लाइंट / ब्राउज़र HTTPS से अधिक सुरक्षित सत्र के लिए अनुरोध करता है, तो सर्वर SSL प्रमाणपत्र के साथ प्रतिक्रिया करता है।

क्लाइंट एंड से एक अनुरोध किया जाता है और सर्वर सर्टिफिकेट और सर्वर की सार्वजनिक कुंजी के साथ प्रतिक्रिया करता है। क्लाइंट / ब्राउज़र तो वैधता की जाँच करता है सीए द्वारा हस्ताक्षरित एसएसएल प्रमाणपत्र। फिर क्लाइंट / ब्राउज़र एक भेजता है एन्क्रिप्टेड सत्र कुंजी सर्वर की सार्वजनिक कुंजी के साथ अब सर्वर अपनी निजी कुंजी के साथ सत्र कुंजी को डी-क्राय करता है।

इसके साथ, एक सुरक्षित डेटा ट्रांसफर के लिए एक सुरक्षित सत्र बनाया जाता है।

  • HTTPS से अधिक सुरक्षित डेटा कैसे भेजा जाता है?

HTTPS का उपयोग करके भेजे गए डेटा को ट्रांसपोर्ट लेयर सिक्योरिटी प्रोटोकॉल (TLS) के माध्यम से सुरक्षित किया जाता है, जो प्रदान करता है तीन प्रमुख परतें आपकी जानकारी के लिए सुरक्षा:

  1. एन्क्रिप्शन – बाज के डेटा को सुरक्षित रखने के लिए उसे एन्क्रिप्टेड से एन्क्रिप्ट करना। एन्क्रिप्शन यह सुनिश्चित करता है कि ब्राउज़ करते समय, कोई भी वार्तालाप में घुसपैठ नहीं कर सकता, पृष्ठों पर गतिविधियों को ट्रैक कर सकता है, या किसी भी जानकारी तक पहुंच प्राप्त कर सकता है।
  2. डेटा अखंडता – इस साधन हस्तांतरण के दौरान डेटा से समझौता नहीं किया जा सकता है और डेटा में किए गए किसी भी परिवर्तन का आसानी से पता नहीं लगाया जा सकता है।
  3. प्रमाणीकरण – इस यह सुनिश्चित करता है कि उपयोगकर्ता सही वेबसाइट पर हैं। HTTPS प्रमाणीकरण से बचाता है बीच वाला व्यक्ति हमलों और उपयोगकर्ता विश्वास बनाता है।

यहां अक्सर पूछे जाने वाले प्रश्नों की पूरी सूची है

अपना एसएसएल प्रमाणपत्र प्राप्त करना

कई विकल्प हैं जिनका लाभ उठाया जा सकता है एसएसएल प्रमाण पत्र HTTP से HTTPS पर जाते समय।

यहाँ तीन महान विकल्प हैं:

स्विच बनाते समय करने योग्य बातें

http से https

सबसे पहले, SSL प्रमाणपत्र खरीदें और सक्रिय करें यदि आप पहले से ही नहीं है।

प्रवास के दौरान, प्रक्रिया में कुछ बाधाएँ आ सकती हैं।

जब Google आपकी वेबसाइट के HTTP संस्करण को क्रॉल करना शुरू करता है और उत्पन्न होता है तो त्रुटियां हो सकती हैं सामग्री दोहराव मुद्दोंएचटीटीपीएस और एचटीटीपी के दोनों संस्करणों के पेज दिखाए गए और एचटीटीपी और एचटीटीपीएस पर दिखाए जा रहे पेज के विभिन्न संस्करण।

HTTPS का उपयोग करने में नुकसान

इन अन्य की जाँच करें HTTPS / TLS का उपयोग करने में आम नुकसान।

HTTPS की ओर जाते समय सर्वोत्तम प्रथाएँ:

HTTPS_Fig1

स्रोत

  1. मजबूत सुरक्षा प्रमाणपत्रों का उपयोग करना। अपनी वेबसाइट के लिए HTTPS को सक्षम करने का एक हिस्सा, आपको एक सुरक्षा प्रमाणपत्र (SSL प्रमाणपत्र) प्राप्त करना होगा। प्रमाण पत्र ए द्वारा जारी किया जाता है प्रमाणपत्र अधिकार (CA) जो यह सत्यापित करने के लिए कदम उठाता है कि आपका वेब पता वास्तव में आपके संगठन का है। अपना प्रमाणपत्र सेट करते समय, 2048-बिट कुंजी का चयन करके उच्च स्तर की सुरक्षा सुनिश्चित करें। यदि आपके पास पहले से ही एक कमजोर कुंजी (1024-बिट) के साथ एक प्रमाण पत्र है, अपग्रेड एक शानदार तरीका होगा।
  2. अपने उपयोगकर्ताओं और खोज इंजनों को पुनर्निर्देशित करें HTTPS पेज या सर्वर-साइड 301 HTTP रीडायरेक्ट के साथ संसाधन।
  3. HTTP का समर्थन करने वाले वेब सर्वर का उपयोग करें सख्त परिवहन सुरक्षा (HSTS) और सुनिश्चित करें कि यह सक्षम है।

HTTPS स्विच करने के लिए पूरे HTTP के पीछे का विचार आपकी व्यक्तिगत जानकारी को सुनिश्चित करते हुए एक सुरक्षित वेब अनुभव प्रदान करना है निजी रहता है और दुरुपयोग नहीं होता है।

कुछ भी और सब कुछ आपके या आपके अंतिम उपयोगकर्ताओं के लिए व्यक्तिगत हो सकता है।

भले ही आप खोज रहे हों “भारत में Nexus 5 की लागत”, वह खोज आपके लिए निजी हो सकती है। चाहे आप ब्राउज़ कर रहे हों या कोई उत्पाद खोज रहे हों या कोई लेख पढ़ रहे हों, आप आम तौर पर आप जो कर रहे हैं वह नहीं चाहते सार्वजनिक जानकारी के लिए। विशेष रूप से व्यक्तिगत जानकारी, बैंकों और लेनदेन की जानकारी के लिए, HTTPS एक आवश्यकता और एक उद्योग मानक बन गया है।

हालांकि HTTPS माइग्रेशन है अत्यधिक सिफारिशित और अधिकांश वेबसाइट डेवलपर्स द्वारा पीछा किया जा रहा है, अंतिम निर्णय आप पर निर्भर करता है। जो लोग इस सुरक्षित वेब प्रथा का पालन करने के लिए तैयार हैं, वे अपने एसएसएल प्रमाणपत्र को पकड़कर HTTPS के साथ शुरुआत करें उस हरे पैडलॉक को पाकर प्रसन्नता होगी अपनी वेबसाइट पर

क्या आपने HTTPS में स्विच किया है? मुझे नीचे टिप्पणी में बताये।

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top