Defaults.Exposed › सुधार › TLS सर्टिफिकेट स्वास्थ्य
TLS सर्टिफिकेट स्वास्थ्य को कैसे ठीक करें
आपका SSL/TLS सर्टिफिकेट वह डिजिटल ID कार्ड है जो यह साबित करता है कि विज़िटर वास्तव में आपकी वेबसाइट से बात कर रहा है — न कि किसी नकलची से — और ब्राउज़र में पैडलॉक को चालू करता है। यह जाँच देखती है कि वह सर्टिफिकेट वैध और विश्वसनीय है, जल्द समाप्त होने वाला नहीं है, और मजबूत, आधुनिक क्रिप्टोग्राफी के साथ बना है।
आपके व्यवसाय के लिए मुख्य बात: एक टूटा हुआ या समाप्त सर्टिफिकेट हर ब्राउज़र में आपकी वेबसाइट को एक पूर्ण-स्क्रीन लाल 'आपका कनेक्शन निजी नहीं है' चेतावनी से बदल देता है। अधिकांश विज़िटर तुरंत चले जाते हैं और वापस नहीं आते — ऑनलाइन बिक्री रुक जाती है, साइन-अप रुक जाते हैं, और जो कनेक्शन निजी होना चाहिए था उसे चुपचाप इंटरसेप्ट किया जा सकता है।
यह आपको क्या खर्च कर सकता है
- आपका सर्टिफिकेट सप्ताहांत में चुपचाप समाप्त हो जाता है; सोमवार तक हर विज़िटर को एक पूर्ण-पेज सुरक्षा चेतावनी मिलती है, आपके चेकआउट और संपर्क फ़ॉर्म निष्क्रिय हैं, और आप हर घंटे के लिए बिक्री खो रहे हैं जो इसे नोटिस करने और नवीनीकृत करने में लगता है।
- कैफे या होटल Wi-Fi पर भुगतान करने वाले एक ग्राहक को एक चेतावनी मिलती है कि आपका सर्टिफिकेट आपके डोमेन से मेल नहीं खाता — वे मान लेते हैं कि आपकी साइट नकली या हैक की गई है, खरीदारी छोड़ देते हैं, और दूसरों को बताते हैं कि यह 'संदिग्ध लगी'।
- एक बड़े क्लाइंट की IT टीम एक प्री-कॉन्ट्रैक्ट सुरक्षा स्कैन चलाती है, एक स्व-हस्ताक्षरित या अविश्वसनीय सर्टिफिकेट देखती है, और आपको एक जोखिम के रूप में फ्लैग करती है — सौदा किसी ऐसी चीज़ पर रुक जाता है जिसे ठीक करने में कोई लागत नहीं है।
- आपका सर्टिफिकेट एक पुराने हस्ताक्षर विधि या एक कमजोर कुंजी का उपयोग करता है; आधुनिक ब्राउज़र इस पर चेतावनी दिखाने लगते हैं, और एक सुरक्षा ऑडिट आपको उस क्रिप्टोग्राफी के लिए नीचे चिह्नित करता है जो वर्षों से अनुशंसित सूची से बाहर है।
- आप कार्ड भुगतान लेते हैं और आपका भुगतान प्रदाता आपको फिर से ऑडिट करता है; एक कमजोर कुंजी या एक समाप्त सर्टिफिकेट भुगतान-सुरक्षा नियमों को तोड़ता है और आपका ऑनलाइन चेकआउट तब तक फ्रीज हो जाता है जब तक इसे सही नहीं किया जाता।
यह क्यों मायने रखता है। सर्टिफिकेट आपकी वेबसाइट की सुरक्षा का एकमात्र सबसे दृश्यमान टुकड़ा है — जब यह स्वस्थ होता है तो अदृश्य होता है, और जब यह टूटता है तो पूरी साइट एक भयावह चेतावनी के साथ नीचे आ जाती है जो ग्राहकों को सीधे प्रतिस्पर्धियों की ओर ले जाती है। सर्टिफिकेट समाप्ति अप्रत्याशित वेबसाइट आउटेज का नंबर एक कारण है, और यह पूरी तरह से रोका जा सकता है। एक वैध सर्टिफिकेट पाना मुफ्त है, और इसे स्वस्थ रखना ज्यादातर इसे स्वचालित रूप से नवीनीकृत होने देने की बात है।
यह क्या है, सरल शब्दों में
जब कोई आपकी वेबसाइट पर जाता है, तो दो चीजें होनी चाहिए ताकि वे पासवर्ड या कार्ड नंबर टाइप करने में सुरक्षित महसूस करें। पहला, कनेक्शन एन्क्रिप्टेड होना चाहिए ताकि अजनबी इसे न पढ़ सकें। दूसरा — और यह वह हिस्सा है जिसे लोग भूल जाते हैं — विज़िटर के ब्राउज़र को यह सुनिश्चित होना चाहिए कि यह वास्तव में आपकी वेबसाइट है दूसरे छोर पर, न कि एक नकलची जिसने एक विश्वसनीय नकल बनाई है। दोनों काम करने वाली चीज़ आपका TLS सर्टिफिकेट है (अक्सर “SSL सर्टिफिकेट” कहा जाता है)।
इसे अपने डोमेन के लिए एक छेड़छाड़-प्रूफ ID कार्ड के रूप में सोचें। एक मान्यता प्राप्त प्राधिकरण इसे जारी करता है, यह आपके डोमेन नाम और एक समाप्ति तारीख के साथ मुद्रांकित होता है, और यह क्रिप्टोग्राफ़िक कुंजी रखता है जो कनेक्शन को स्क्रैम्बल करती है। जब सब कुछ जाँचता है, तो ब्राउज़र पैडलॉक दिखाता है और आपकी साइट सामान्य रूप से लोड होती है। जब ID कार्ड में कुछ गलत होता है, तो ब्राउज़र आपके विज़िटर को आश्वस्त करने के बजाय विपरीत करता है — एक पूर्ण-स्क्रीन चेतावनी फेंकता है जो प्रभावी रूप से कहती है, “यह साइट सुरक्षित नहीं हो सकती।”
यह जाँच उस ID कार्ड के स्वास्थ्य को चार चीज़ों में देखती है जो प्रत्येक स्वतंत्र रूप से इसे तोड़ती है:
- क्या यह वैध और विश्वसनीय है? — एक मान्यता प्राप्त प्राधिकरण द्वारा जारी किया गया, आपके सटीक डोमेन से मेल खाता है, स्व-हस्ताक्षरित नहीं, और समाप्त नहीं हुआ।
- क्या यह जल्द समाप्त होने वाला है? — क्योंकि एक ऐसा सर्टिफिकेट जो समाप्त हो जाता है आपकी पूरी साइट को नीचे ले जाता है।
- क्या यह एक मजबूत विधि के साथ हस्ताक्षरित है? — पुराने हस्ताक्षर एल्गोरिदम जाली बनाए जा सकते हैं।
- क्या इसकी कुंजी पर्याप्त मजबूत है? — एक कमजोर कुंजी, सिद्धांत रूप में, तोड़ी जा सकती है।
अच्छी खबर यह है: एक स्वस्थ सर्टिफिकेट पाना मुफ्त है, और इसे स्वस्थ रखना ज्यादातर इसे स्वचालित रूप से नवीनीकृत होने देने के बारे में है।
इससे आपको क्या नुकसान हो सकता है
-
सप्ताहांत आउटेज। एक सर्टिफिकेट शुक्रवार की रात देर से अपनी समाप्ति तारीख तक पहुँचता है। नवीनीकरण जो चलना चाहिए था वह नहीं चला (एक सर्वर स्थानांतरित हुआ, एक स्क्रिप्ट टूटी, किसी ने ध्यान नहीं दिया)। शनिवार सुबह तक हर विज़िटर — और हर Google क्रॉलर — आपके होमपेज के बजाय एक पूर्ण-पेज लाल चेतावनी देखता है। आपकी दुकान बंद है और आपको पता भी नहीं। तकनीकी सुधार में मिनट लगते हैं; खोए सप्ताहांत की बिक्री और जो ग्राहकों ने तय किया कि आप “बंद हो गए” वे वापस नहीं आते।
-
परित्यक्त चेकआउट। एक ग्राहक होटल Wi-Fi पर अपने फोन से खरीदारी कर रहा है। आपका सर्टिफिकेट उस डोमेन से बिल्कुल मेल नहीं खाता जो उन्होंने टाइप किया था। ब्राउज़र उन्हें चेतावनी देता है कि साइट “आपकी नकल कर रही हो सकती है”। एक गैर-तकनीकी खरीदार के लिए यह घोटाले के रूप में पढ़ा जाता है — वे टैब बंद कर देते हैं, और आपको कभी पता नहीं चलता कि बिक्री थी।
-
रुका हुआ अनुबंध। एक बड़े संभावित ग्राहक की सुरक्षा टीम हस्ताक्षर करने से पहले एक रूटीन स्कैन चलाती है। यह आपके एक सबडोमेन पर एक स्व-हस्ताक्षरित या अविश्वसनीय सर्टिफिकेट दिखाता है। भले ही बाकी सब ठीक हो, वह एकल लाल झंडा एक त्वरित अनुमोदन को एक पीछे-और-आगे में बदल देता है — एक ऐसी समस्या पर जिसे ठीक करने में कोई लागत नहीं है।
-
धीमी गति से आने वाली चेतावनी। आपका सर्टिफिकेट तकनीकी रूप से वैध है लेकिन SHA-1 के साथ हस्ताक्षरित है, एक पुरानी विधि जिसे ब्राउज़र चरण-बद्ध तरीके से हटा रहे हैं। एक ब्राउज़र अपडेट के बाद, आपके कुछ विज़िटर को ऐसी चेतावनियाँ मिलने लगती हैं जिन्हें आप अपनी अप-टू-डेट मशीन पर पुनः उत्पन्न नहीं कर सकते।
-
अनुपालन विफलता। आप कार्ड भुगतान लेते हैं। पुनः ऑडिट के दौरान, आपके प्रदाता की जाँच एक कमजोर कुंजी या एक ऐसा सर्टिफिकेट फ्लैग करती है जो समाप्त हो गया। कार्ड-सुरक्षा नियमों के लिए मजबूत, वर्तमान एन्क्रिप्शन की आवश्यकता है — इसलिए आपके ऑनलाइन भुगतान तब तक निलंबित हो जाते हैं जब तक आप फिर से जारी नहीं करते।
यह वास्तव में क्या है (चार भाग)
एक सर्टिफिकेट चार अलग-अलग तरीकों से अस्वस्थ हो सकता है, और यह पेज उन सभी को कवर करता है।
1. वैध और विश्वसनीय
यह बड़ा है — और एकमात्र हिस्सा जो एक महत्वपूर्ण, शीर्ष-वज़न जाँच है। एक सर्टिफिकेट “वैध और विश्वसनीय” केवल तभी होता है जब ये सब सत्य हों:
- यह एक मान्यता प्राप्त प्रमाणपत्र प्राधिकरण द्वारा जारी किया गया था जिस पर ब्राउज़र पहले से भरोसा करते हैं।
- यह सटीक डोमेन से मेल खाता है जिसे विज़िटर उपयोग कर रहा है — सबडोमेन सहित।
- यह स्व-हस्ताक्षरित नहीं है।
- यह वर्तमान में अपनी तारीख विंडो में है — समाप्त नहीं हुआ।
- इसकी विश्वास की श्रृंखला बरकरार है।
यदि इनमें से कोई एक विफल होता है, तो ब्राउज़र “आपका कनेक्शन निजी नहीं है” पेज दिखाते हैं।
2. जल्द समाप्त नहीं होने वाला
हर सर्टिफिकेट की एक कठोर अंतिम तारीख होती है। मुफ्त वाले आमतौर पर 90 दिन चलते हैं; पेड वाले अक्सर एक साल। तारीख के बाद, विश्वास तुरंत वाष्पित हो जाता है — कोई ग्रेस पीरियड नहीं। यह जाँच मापती है कि कितने दिन बचे हैं:
- यदि यह पहले से समाप्त हो गया है, या 7 दिनों के भीतर समाप्त होता है, तो यह महत्वपूर्ण माना जाता है।
- यदि यह 30 दिनों के भीतर समाप्त होता है और स्वतः-प्रबंधित नहीं है, तो यह अभी नवीनीकृत करने के लिए चेतावनी है।
- यदि यह स्वतः-नवीनीकरण प्रदाता (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL और समान) से है तो यह पास होता है।
अच्छा दिखता है एक स्वतः-प्रबंधित सर्टिफिकेट की तरह जो बिना किसी के छुए खुद को नवीनीकृत करता है।
3. मजबूत हस्ताक्षर एल्गोरिदम
हर सर्टिफिकेट को एक क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करके “हस्ताक्षरित” किया जाता है। पुराने एल्गोरिदम — MD5 और SHA-1 — जाली बनाने योग्य दिखाए गए हैं। यह जाँच तब पास होती है जब सर्टिफिकेट एक मजबूत, आधुनिक हस्ताक्षर उपयोग करता है: SHA-256 या मजबूत (SHA-384, SHA-512), आधुनिक ECDSA, या Ed25519/Ed448। MD5 और SHA-1 विफल होते हैं।
4. मजबूत कुंजी
सर्टिफिकेट एक क्रिप्टोग्राफ़िक कुंजी रखता है जो वास्तविक स्क्रैम्बलिंग करती है। यदि वह कुंजी बहुत छोटी है, तो आधुनिक कंप्यूटिंग शक्ति — पर्याप्त संसाधनों को देखते हुए — इसे तोड़ सकती है। स्वीकृत न्यूनतम 2048-bit RSA या 256-bit एलिप्टिक-कर्व (EC) हैं।
वैध-और-विश्वसनीय सबसे महत्वपूर्ण है जो चेतावनी पेज चलाता है। हस्ताक्षर और कुंजी शक्ति भविष्य-सबूत और ऑडिट के बारे में हैं।
इसे कैसे ठीक करें (मुफ्त, ~15 मिनट)
इस अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें — ठीक करना मुफ्त है।
चरण 1 — एक मुफ्त, विश्वसनीय सर्टिफिकेट प्राप्त करें (या बदलें)। यह एकल चरण एक साथ वैधता, हस्ताक्षर और कुंजी शक्ति ठीक करता है, क्योंकि आधुनिक मुफ्त सर्टिफिकेट डिफ़ॉल्ट रूप से SHA-256 और मजबूत कुंजियाँ उपयोग करते हैं।
- Cloudflare: SSL/TLS → Overview में, मोड को Full (Strict) पर सेट करें।
- Google Workspace / Microsoft 365 होस्टिंग या कोई cPanel होस्ट: SSL/TLS Status देखें और AutoSSL चलाएं।
- साइट बिल्डर (Squarespace, Wix, Shopify, आधुनिक WordPress होस्ट): SSL आमतौर पर डिफ़ॉल्ट रूप से चालू है।
- आपका अपना Linux सर्वर (Nginx/Apache): Certbot के साथ Let’s Encrypt इंस्टॉल करें —
sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com।
चरण 2 — नवीनीकरण स्वचालित बनाएं।
- Let’s Encrypt सर्वर पर, नवीनीकरण टाइमर सक्रिय है और इसे परीक्षण करें:
sudo certbot renew --dry-run। - Cloudflare, cPanel AutoSSL, और प्रबंधित/साइट-बिल्डर होस्ट पर, नवीनीकरण आपके लिए संभाला जाता है।
चरण 3 — सुनिश्चित करें कि यह सही नाम कवर करता है। सर्टिफिकेट को हर होस्टनाम कवर करना होगा जो ग्राहक वास्तव में उपयोग करते हैं।
चरण 4 — यदि केवल हस्ताक्षर या कुंजी शक्ति फ्लैग की गई है, तो बस फिर से जारी करें।
चरण 5 — सत्यापित करें, फिर यहाँ फिर से जाँचें।
सामान्य गलतियाँ
- “हमने एक बार SSL इंस्टॉल किया” को पूर्ण मानना। सर्टिफिकेट एक घड़ी पर समाप्त होते हैं।
wwwकवर करना लेकिन बेयर डोमेन नहीं (या इसके विपरीत)। दोनों सर्टिफिकेट पर होने चाहिए।- एक “टेस्ट” सबडोमेन पर स्व-हस्ताक्षरित सर्टिफिकेट छोड़ना जो वास्तव में सार्वजनिक है।
- यह मानना कि पेड मतलब अधिक सुरक्षित। एक मुफ्त Let’s Encrypt सर्टिफिकेट ठीक एक महंगे जितना भरोसेमंद और एन्क्रिप्टेड है।
- सर्टिफिकेट नवीनीकृत करना लेकिन सर्वर को पुनः लोड करना भूलना।
- ऑटो-नवीनीकरण जो चुपचाप विफल हो गया।
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या मैं इसे स्वयं सुलझा सकता हूँ?
आपको क्रिप्टोग्राफी समझने की ज़रूरत नहीं है। एक वैध सर्टिफिकेट मुफ्त है (Let's Encrypt और अधिकांश आधुनिक होस्ट के माध्यम से), और प्रबंधित होस्टिंग पर यह आमतौर पर स्वचालित है। नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें — अधिकांश व्यवसायों के लिए यह एक त्वरित, मुफ्त काम है, खरीदारी नहीं।
मेरी साइट पैडलॉक दिखाती है — क्या इसका मतलब है कि मेरा सर्टिफिकेट ठीक है?
पैडलॉक केवल यह कहता है कि एक सुरक्षित कनेक्शन अभी मौजूद है। यह आपको नहीं बताता कि सर्टिफिकेट जल्द समाप्त होने वाला है, कि यह एक मजबूत कुंजी पर बना है, या कि यह कल के ब्राउज़रों द्वारा अभी भी विश्वसनीय होगा। यह जाँच उन चार चीज़ों को देखती है जो वास्तव में इसे चालू रखती हैं: क्या सर्टिफिकेट वैध और विश्वसनीय है, क्या यह जल्द समाप्त हो रहा है, क्या यह एक मजबूत एल्गोरिदम के साथ हस्ताक्षरित है, और क्या इसकी कुंजी पर्याप्त मजबूत है।
क्या मुझे SSL सर्टिफिकेट के लिए भुगतान करना होगा?
नहीं। Let's Encrypt के मुफ्त सर्टिफिकेट (और Cloudflare, cPanel AutoSSL, और अधिकांश आधुनिक होस्टिंग में बिल्ट इन) हर ब्राउज़र द्वारा विश्वसनीय हैं और पेड वाले जितने ही सुरक्षित हैं। पेड सर्टिफिकेट मुख्य रूप से सपोर्ट अनुबंध, वारंटी, या विस्तारित-सत्यापन बैज खरीदते हैं — इनमें से कोई भी यह प्रभावित नहीं करता कि आपकी साइट एन्क्रिप्टेड है या विश्वसनीय है।
एक सर्टिफिकेट 'समाप्त' कैसे हो सकता है — और यह मेरी साइट को क्यों नीचे ले जाता है?
हर सर्टिफिकेट की एक निश्चित अंतिम तिथि होती है (मुफ्त वालों के लिए अक्सर 90 दिन)। उस तारीख के बाद ब्राउज़र इस पर भरोसा करने से इनकार करते हैं और आपकी साइट के बजाय एक पूर्ण-पेज चेतावनी दिखाते हैं। यह धीरे-धीरे नहीं होता — यह डेडलाइन तक पूरी तरह काम करता है, फिर पूरी तरह टूट जाता है। इसीलिए ऑटो-नवीनीकरण इतना महत्वपूर्ण है: यह उस इंसान को हटाता है जो अन्यथा भूल जाता।
'स्व-हस्ताक्षरित' सर्टिफिकेट क्या है और यह क्यों विफल होता है?
एक स्व-हस्ताक्षरित सर्टिफिकेट वह है जिसे आपने एक मान्यता प्राप्त प्राधिकरण से प्राप्त करने के बजाय स्वयं जारी किया। यह कनेक्शन एन्क्रिप्ट करता है, लेकिन कुछ भी यह नहीं बताता कि यह वास्तव में आप हैं — इसलिए ब्राउज़र इसे अविश्वसनीय मानते हैं और विज़िटर को चेतावनी देते हैं, ठीक वैसे ही जैसे वे हमलावर के नकली सर्टिफिकेट के लिए करेंगे।
'कमजोर कुंजी' और 'कमजोर हस्ताक्षर एल्गोरिदम' का मेरे व्यवसाय के लिए वास्तव में क्या मतलब है?
दोनों तरीके हैं जिनसे एक सर्टिफिकेट आज तकनीकी रूप से वैध हो सकता है लेकिन क्रिप्टोग्राफ़िक रूप से नाजुक। एक कमजोर कुंजी (2048-bit RSA या 256-bit EC से कम) सिद्धांत रूप में क्रैक की जा सकती है, जिससे हमलावर आपकी साइट का प्रतिरूपण कर सके। एक कमजोर हस्ताक्षर (SHA-1 या MD5) एक विश्वसनीय नकली सर्टिफिकेट बनाने के लिए जाली बनाया जा सकता है। आधुनिक मुफ्त सर्टिफिकेट डिफ़ॉल्ट रूप से मजबूत कुंजियाँ और हस्ताक्षर उपयोग करते हैं, इसलिए ठीक करना लगभग हमेशा बस फिर से जारी करना है — बिना किसी लागत के।