Defaults.Exposed

Defaults.Exposedसुधार › TLS सर्टिफिकेट स्वास्थ्य

TLS सर्टिफिकेट स्वास्थ्य को कैसे ठीक करें

आपका SSL/TLS सर्टिफिकेट वह डिजिटल ID कार्ड है जो यह साबित करता है कि विज़िटर वास्तव में आपकी वेबसाइट से बात कर रहा है — न कि किसी नकलची से — और ब्राउज़र में पैडलॉक को चालू करता है। यह जाँच देखती है कि वह सर्टिफिकेट वैध और विश्वसनीय है, जल्द समाप्त होने वाला नहीं है, और मजबूत, आधुनिक क्रिप्टोग्राफी के साथ बना है।

आपके व्यवसाय के लिए मुख्य बात: एक टूटा हुआ या समाप्त सर्टिफिकेट हर ब्राउज़र में आपकी वेबसाइट को एक पूर्ण-स्क्रीन लाल 'आपका कनेक्शन निजी नहीं है' चेतावनी से बदल देता है। अधिकांश विज़िटर तुरंत चले जाते हैं और वापस नहीं आते — ऑनलाइन बिक्री रुक जाती है, साइन-अप रुक जाते हैं, और जो कनेक्शन निजी होना चाहिए था उसे चुपचाप इंटरसेप्ट किया जा सकता है।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। सर्टिफिकेट आपकी वेबसाइट की सुरक्षा का एकमात्र सबसे दृश्यमान टुकड़ा है — जब यह स्वस्थ होता है तो अदृश्य होता है, और जब यह टूटता है तो पूरी साइट एक भयावह चेतावनी के साथ नीचे आ जाती है जो ग्राहकों को सीधे प्रतिस्पर्धियों की ओर ले जाती है। सर्टिफिकेट समाप्ति अप्रत्याशित वेबसाइट आउटेज का नंबर एक कारण है, और यह पूरी तरह से रोका जा सकता है। एक वैध सर्टिफिकेट पाना मुफ्त है, और इसे स्वस्थ रखना ज्यादातर इसे स्वचालित रूप से नवीनीकृत होने देने की बात है।

यह क्या है, सरल शब्दों में

जब कोई आपकी वेबसाइट पर जाता है, तो दो चीजें होनी चाहिए ताकि वे पासवर्ड या कार्ड नंबर टाइप करने में सुरक्षित महसूस करें। पहला, कनेक्शन एन्क्रिप्टेड होना चाहिए ताकि अजनबी इसे न पढ़ सकें। दूसरा — और यह वह हिस्सा है जिसे लोग भूल जाते हैं — विज़िटर के ब्राउज़र को यह सुनिश्चित होना चाहिए कि यह वास्तव में आपकी वेबसाइट है दूसरे छोर पर, न कि एक नकलची जिसने एक विश्वसनीय नकल बनाई है। दोनों काम करने वाली चीज़ आपका TLS सर्टिफिकेट है (अक्सर “SSL सर्टिफिकेट” कहा जाता है)।

इसे अपने डोमेन के लिए एक छेड़छाड़-प्रूफ ID कार्ड के रूप में सोचें। एक मान्यता प्राप्त प्राधिकरण इसे जारी करता है, यह आपके डोमेन नाम और एक समाप्ति तारीख के साथ मुद्रांकित होता है, और यह क्रिप्टोग्राफ़िक कुंजी रखता है जो कनेक्शन को स्क्रैम्बल करती है। जब सब कुछ जाँचता है, तो ब्राउज़र पैडलॉक दिखाता है और आपकी साइट सामान्य रूप से लोड होती है। जब ID कार्ड में कुछ गलत होता है, तो ब्राउज़र आपके विज़िटर को आश्वस्त करने के बजाय विपरीत करता है — एक पूर्ण-स्क्रीन चेतावनी फेंकता है जो प्रभावी रूप से कहती है, “यह साइट सुरक्षित नहीं हो सकती।”

यह जाँच उस ID कार्ड के स्वास्थ्य को चार चीज़ों में देखती है जो प्रत्येक स्वतंत्र रूप से इसे तोड़ती है:

अच्छी खबर यह है: एक स्वस्थ सर्टिफिकेट पाना मुफ्त है, और इसे स्वस्थ रखना ज्यादातर इसे स्वचालित रूप से नवीनीकृत होने देने के बारे में है।

इससे आपको क्या नुकसान हो सकता है

यह वास्तव में क्या है (चार भाग)

एक सर्टिफिकेट चार अलग-अलग तरीकों से अस्वस्थ हो सकता है, और यह पेज उन सभी को कवर करता है।

1. वैध और विश्वसनीय

यह बड़ा है — और एकमात्र हिस्सा जो एक महत्वपूर्ण, शीर्ष-वज़न जाँच है। एक सर्टिफिकेट “वैध और विश्वसनीय” केवल तभी होता है जब ये सब सत्य हों:

यदि इनमें से कोई एक विफल होता है, तो ब्राउज़र “आपका कनेक्शन निजी नहीं है” पेज दिखाते हैं।

2. जल्द समाप्त नहीं होने वाला

हर सर्टिफिकेट की एक कठोर अंतिम तारीख होती है। मुफ्त वाले आमतौर पर 90 दिन चलते हैं; पेड वाले अक्सर एक साल। तारीख के बाद, विश्वास तुरंत वाष्पित हो जाता है — कोई ग्रेस पीरियड नहीं। यह जाँच मापती है कि कितने दिन बचे हैं:

अच्छा दिखता है एक स्वतः-प्रबंधित सर्टिफिकेट की तरह जो बिना किसी के छुए खुद को नवीनीकृत करता है।

3. मजबूत हस्ताक्षर एल्गोरिदम

हर सर्टिफिकेट को एक क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करके “हस्ताक्षरित” किया जाता है। पुराने एल्गोरिदम — MD5 और SHA-1 — जाली बनाने योग्य दिखाए गए हैं। यह जाँच तब पास होती है जब सर्टिफिकेट एक मजबूत, आधुनिक हस्ताक्षर उपयोग करता है: SHA-256 या मजबूत (SHA-384, SHA-512), आधुनिक ECDSA, या Ed25519/Ed448। MD5 और SHA-1 विफल होते हैं।

4. मजबूत कुंजी

सर्टिफिकेट एक क्रिप्टोग्राफ़िक कुंजी रखता है जो वास्तविक स्क्रैम्बलिंग करती है। यदि वह कुंजी बहुत छोटी है, तो आधुनिक कंप्यूटिंग शक्ति — पर्याप्त संसाधनों को देखते हुए — इसे तोड़ सकती है। स्वीकृत न्यूनतम 2048-bit RSA या 256-bit एलिप्टिक-कर्व (EC) हैं।

वैध-और-विश्वसनीय सबसे महत्वपूर्ण है जो चेतावनी पेज चलाता है। हस्ताक्षर और कुंजी शक्ति भविष्य-सबूत और ऑडिट के बारे में हैं।

इसे कैसे ठीक करें (मुफ्त, ~15 मिनट)

इस अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें — ठीक करना मुफ्त है।

चरण 1 — एक मुफ्त, विश्वसनीय सर्टिफिकेट प्राप्त करें (या बदलें)। यह एकल चरण एक साथ वैधता, हस्ताक्षर और कुंजी शक्ति ठीक करता है, क्योंकि आधुनिक मुफ्त सर्टिफिकेट डिफ़ॉल्ट रूप से SHA-256 और मजबूत कुंजियाँ उपयोग करते हैं।

चरण 2 — नवीनीकरण स्वचालित बनाएं।

चरण 3 — सुनिश्चित करें कि यह सही नाम कवर करता है। सर्टिफिकेट को हर होस्टनाम कवर करना होगा जो ग्राहक वास्तव में उपयोग करते हैं।

चरण 4 — यदि केवल हस्ताक्षर या कुंजी शक्ति फ्लैग की गई है, तो बस फिर से जारी करें।

चरण 5 — सत्यापित करें, फिर यहाँ फिर से जाँचें।

सामान्य गलतियाँ

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या मैं इसे स्वयं सुलझा सकता हूँ?

आपको क्रिप्टोग्राफी समझने की ज़रूरत नहीं है। एक वैध सर्टिफिकेट मुफ्त है (Let's Encrypt और अधिकांश आधुनिक होस्ट के माध्यम से), और प्रबंधित होस्टिंग पर यह आमतौर पर स्वचालित है। नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें — अधिकांश व्यवसायों के लिए यह एक त्वरित, मुफ्त काम है, खरीदारी नहीं।

मेरी साइट पैडलॉक दिखाती है — क्या इसका मतलब है कि मेरा सर्टिफिकेट ठीक है?

पैडलॉक केवल यह कहता है कि एक सुरक्षित कनेक्शन अभी मौजूद है। यह आपको नहीं बताता कि सर्टिफिकेट जल्द समाप्त होने वाला है, कि यह एक मजबूत कुंजी पर बना है, या कि यह कल के ब्राउज़रों द्वारा अभी भी विश्वसनीय होगा। यह जाँच उन चार चीज़ों को देखती है जो वास्तव में इसे चालू रखती हैं: क्या सर्टिफिकेट वैध और विश्वसनीय है, क्या यह जल्द समाप्त हो रहा है, क्या यह एक मजबूत एल्गोरिदम के साथ हस्ताक्षरित है, और क्या इसकी कुंजी पर्याप्त मजबूत है।

क्या मुझे SSL सर्टिफिकेट के लिए भुगतान करना होगा?

नहीं। Let's Encrypt के मुफ्त सर्टिफिकेट (और Cloudflare, cPanel AutoSSL, और अधिकांश आधुनिक होस्टिंग में बिल्ट इन) हर ब्राउज़र द्वारा विश्वसनीय हैं और पेड वाले जितने ही सुरक्षित हैं। पेड सर्टिफिकेट मुख्य रूप से सपोर्ट अनुबंध, वारंटी, या विस्तारित-सत्यापन बैज खरीदते हैं — इनमें से कोई भी यह प्रभावित नहीं करता कि आपकी साइट एन्क्रिप्टेड है या विश्वसनीय है।

एक सर्टिफिकेट 'समाप्त' कैसे हो सकता है — और यह मेरी साइट को क्यों नीचे ले जाता है?

हर सर्टिफिकेट की एक निश्चित अंतिम तिथि होती है (मुफ्त वालों के लिए अक्सर 90 दिन)। उस तारीख के बाद ब्राउज़र इस पर भरोसा करने से इनकार करते हैं और आपकी साइट के बजाय एक पूर्ण-पेज चेतावनी दिखाते हैं। यह धीरे-धीरे नहीं होता — यह डेडलाइन तक पूरी तरह काम करता है, फिर पूरी तरह टूट जाता है। इसीलिए ऑटो-नवीनीकरण इतना महत्वपूर्ण है: यह उस इंसान को हटाता है जो अन्यथा भूल जाता।

'स्व-हस्ताक्षरित' सर्टिफिकेट क्या है और यह क्यों विफल होता है?

एक स्व-हस्ताक्षरित सर्टिफिकेट वह है जिसे आपने एक मान्यता प्राप्त प्राधिकरण से प्राप्त करने के बजाय स्वयं जारी किया। यह कनेक्शन एन्क्रिप्ट करता है, लेकिन कुछ भी यह नहीं बताता कि यह वास्तव में आप हैं — इसलिए ब्राउज़र इसे अविश्वसनीय मानते हैं और विज़िटर को चेतावनी देते हैं, ठीक वैसे ही जैसे वे हमलावर के नकली सर्टिफिकेट के लिए करेंगे।

'कमजोर कुंजी' और 'कमजोर हस्ताक्षर एल्गोरिदम' का मेरे व्यवसाय के लिए वास्तव में क्या मतलब है?

दोनों तरीके हैं जिनसे एक सर्टिफिकेट आज तकनीकी रूप से वैध हो सकता है लेकिन क्रिप्टोग्राफ़िक रूप से नाजुक। एक कमजोर कुंजी (2048-bit RSA या 256-bit EC से कम) सिद्धांत रूप में क्रैक की जा सकती है, जिससे हमलावर आपकी साइट का प्रतिरूपण कर सके। एक कमजोर हस्ताक्षर (SHA-1 या MD5) एक विश्वसनीय नकली सर्टिफिकेट बनाने के लिए जाली बनाया जा सकता है। आधुनिक मुफ्त सर्टिफिकेट डिफ़ॉल्ट रूप से मजबूत कुंजियाँ और हस्ताक्षर उपयोग करते हैं, इसलिए ठीक करना लगभग हमेशा बस फिर से जारी करना है — बिना किसी लागत के।