Defaults.Exposed › सुधार › HTTPS और forced-secure redirect
HTTPS और forced-secure redirect को कैसे ठीक करें
HTTPS browser bar में padlock है — यह आपकी वेबसाइट और आपके ग्राहकों के बीच यात्रा करने वाली हर चीज़ को encrypt करता है ताकि इसे transit में पढ़ा या छेड़छाड़ नहीं किया जा सके। Forced-secure redirect सुनिश्चित करता है कि visitors उस encrypted version पर स्वचालित रूप से उतरते हैं, यहाँ तक कि जब वे 'https://' के बिना आपका पता टाइप करते हैं। साथ में वे एकल सबसे बुनियादी चीज हैं जो एक वेबसाइट को सुरक्षित माने जाने के लिए चाहिए।
आपके व्यवसाय के लिए मुख्य बात: HTTPS के बिना, एक ग्राहक जो कुछ भी आपको भेजता है — हर पासवर्ड, कार्ड नंबर और संदेश — readable text के रूप में internet पार करता है, और Chrome, Edge, Safari और Firefox सभी visitors के लिए हर पंक्ति से पहले आपकी साइट 'Not secure' stamp करते हैं। Redirect के बिना, यहाँ तक कि वे साइटें जिनके पास certificate है, पहली विज़िट असुरक्षित छोड़ती हैं। दोनों आपका trust, बिक्री और search ranking खर्च करते हैं — और दोनों मिनटों में मुफ्त fix हैं।
यह आपको क्या खर्च कर सकता है
- एक पहली बार visitor page load होते ही एक बड़ी 'Not secure' चेतावनी देखता है। अधिकांश मानते हैं कि site नकली, टूटी या असुरक्षित है और एक competitor के पास चले जाते हैं।
- एक ग्राहक एक café, hotel या airport से एक unencrypted connection पर अपने कार्ड विवरण दर्ज करता है या login करता है।
- एक बड़े क्लाइंट की खरीद या सुरक्षा टीम हस्ताक्षर करने से पहले एक त्वरित scan चलाती है, कोई HTTPS या missing forced-secure redirect नहीं देखती।
- Google आपको competitors से नीचे rank करता है जो HTTPS serve करते हैं, इसलिए आप वर्षों तक चुपचाप search traffic खोते हैं।
- एक regulator या आपका payment provider unencrypted personal या card data भेजना एक reportable failure मानता है।
यह क्यों मायने रखता है। HTTPS web security की मंज़िल नहीं, फर्श है — यही padlock दिखाता है और जो भी आपके ग्राहक भेजते हैं उसे रास्ते में पढ़े या बदले जाने से रोकता है। Forced-secure redirect वह gap बंद करता है जो certificate अकेले खुला छोड़ता है: लोग लगभग कभी 'https://' टाइप नहीं करते, इसलिए redirect के बिना उनकी पहली request secure version load होने से पहले unprotected यात्रा करती है।
इसे कैसे ठीक करें, चरण दर चरण
- एक certificate प्राप्त करें. एक मुफ्त TLS certificate प्राप्त करें — अधिकांश hosts और CDNs Let's Encrypt स्वचालित रूप से जारी करते हैं।
- Install और bind करें. Certificate apply करें ताकि आपकी site port 443 पर serve हो।
- HTTP को HTTPS पर redirect करें. 301 redirect के साथ सभी plain-HTTP requests को HTTPS version पर force करें।
- Mixed content fix करें. HTTP पर अभी भी load होने वाली कोई भी images, scripts या links update करें ताकि padlock नहीं टूटे।
- सत्यापित करें कि यह काम किया. Recheck करें यह पुष्टि करने के लिए कि site बिना errors के valid HTTPS serve करती है।
यह क्या है, सरल शब्दों में
HTTPS आपकी वेबसाइट का secure, encrypted version है — जो address bar में padlock दिखाता है। जब एक visitor HTTPS पर है, तो उनके browser और आपकी site के बीच जो कुछ भी गुज़रता है (pages जो वे देखते हैं, forms जो वे भरते हैं, उनके passwords, उनके कार्ड विवरण) scrambled है ताकि बीच में कोई भी इसे पढ़ या बदल न सके।
यह सही तरीके से करने के दो भाग हैं, और हम दोनों की जाँच करते हैं:
- क्या HTTPS बिल्कुल उपलब्ध है? क्या आपकी site के पास एक working security certificate है? यह दोनों में से अधिक गंभीर है — इसके बिना कोई encryption नहीं है।
- क्या आपकी site visitors को उस पर force करती है? लगभग कोई भी “https://” हाथ से नहीं टाइप करता। एक forced-secure redirect स्वचालित रूप से उस request को encrypted version पर bounce करता है।
आप दोनों चाहते हैं। Redirect के बिना certificate एक locked front door है जिसके आसपास visitors बस चल सकते हैं।
व्यावसायिक दांव
यह संकेत है कि एक वेबसाइट सुरक्षित है या नहीं — और महत्वपूर्ण रूप से, यह ऐसा है जो आपके ग्राहक खुद देख सकते हैं। हर आधुनिक browser (Chrome, Edge, Safari, Firefox) बिना HTTPS साइट को address bar में “Not secure” label करता है।
यह आपको क्या नुकसान पहुंचा सकता है
-
शांत bounce। एक संभावित ग्राहक search result या ad से click through करता है, और page “Not secure” badge के साथ load होता है। वे email नहीं करते पूछने के लिए क्यों; वे बस tab बंद करते हैं।
-
एक intercepted login या payment। एक ग्राहक hotel या café पर साझा WiFi पर sign in करता है या checkout करता है। Connection encrypt नहीं होने के कारण, कोई nearby उनका password या कार्ड नंबर plain text में capture करता है।
-
रुका सौदा। एक बड़ा संभावित ग्राहक sign करने के लिए तैयार है, लेकिन उनकी procurement process में आपकी वेबसाइट की quick security जाँच शामिल है।
-
धीमी ranking leak। दो businesses एक ही चीज़ offer करती हैं; एक secure HTTPS serve करती है और एक नहीं। Search engines secure वाली को थोड़ा ऊपर nudge करते हैं।
-
Content जो आपने कभी नहीं लिखी inject की गई। एक unencrypted connection पर, बीच में कोई भी — एक dodgy public network — visitors के pages लोड होते समय fake pop-ups, scam offers या malware insert कर सकता है।
यह वास्तव में क्या है
जब एक browser HTTPS पर एक website से connect करता है, तो दो चीजें होती हैं। पहले, site एक certificate प्रस्तुत करती है। दूसरे, browser और server encryption key पर सहमत होते हैं।
अच्छा कैसा दिखता है: एक valid, trusted certificate ताकि हर page पर padlock दिखे, और हर plain-HTTP request स्वचालित रूप से HTTPS version पर redirect हो (अधिमानतः एक permanent “301” redirect के साथ)।
इसे कैसे ठीक करें (मुफ्त, ~15 मिनट)
इस अनुभाग को अपने IT व्यक्ति या होस्टिंग provider के support को सौंपें — सुधार मुफ्त है।
1. एक certificate प्राप्त करें ताकि HTTPS काम करे (padlock):
- Cloudflare: यदि आपकी site Cloudflare के पीछे है, तो SSL संभाला जाता है। SSL/TLS mode “Full” (या “Full (strict)”) पर सेट करें।
- Website builders और managed hosting (Squarespace, Wix, Shopify, आदि): HTTPS automatically provided है।
- cPanel hosting: SSL/TLS Status खोलें और AutoSSL run करें।
- अपना server (VPS): Let’s Encrypt के साथ Certbot install करें —
sudo certbot --nginx -d yourdomain.com।
2. हर visitor को HTTPS पर force करें (redirect):
- Cloudflare: SSL/TLS → Edge Certificates → “Always Use HTTPS” चालू करें।
- Website builders: अपनी site settings में “Force HTTPS” या “Secure (HTTPS)” toggle खोजें।
- Nginx: port 80 पर एक server block जोड़ें —
return 301 https://$host$request_uri;। - Apache (.htaccess):
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] - IIS (Windows hosting): URL Rewrite module install करें और एक “HTTP to HTTPS” redirect rule जोड़ें।
दोनों चालू होने के बाद, test करें: plain http:// के साथ अपना address type करें और पुष्टि करें कि browser स्वचालित रूप से padlocked https:// version पर jump करता है।
सामान्य गलतियाँ
- Certificate installed, लेकिन कोई redirect नहीं। सबसे आम gap।
- Mixed content। आपका page HTTPS पर load होता है लेकिन एक पुराने
http://address से एक image, script या font खींचता है। - Temporary (302) redirect permanent (301) के बजाय। एक 302 visitors के लिए काम करता है लेकिन search engines को बताता है कि move temporary है।
- केवल bare domain redirect करना, “www” नहीं (या उल्टे)।
- Certificate expire होने देना।
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जिसे मैं खुद संभाल सकता हूँ?
आपको किसी भी विवरण को समझने की जरूरत नहीं है। यह दोनों हिस्से जो भी आपकी वेबसाइट या hosting चलाता है उसके द्वारा switch on किए जाते हैं, और अधिकांश आधुनिक platforms पर यह एक मुफ्त certificate plus एक single toggle है।
मेरी site पर padlock पहले से दिखता है — क्या मैं पूरा हो गया?
संभवतः नहीं। Padlock का मतलब है आपका secure (HTTPS) version मौजूद है, लेकिन यह guarantee नहीं करता कि visitors उस पर भेजे जाते हैं। Padlock जाँच और redirect जाँच दो अलग चीजें हैं — आप दोनों चाहते हैं।
क्या एक certificate महंगा या renew करने में मुश्किल है?
नहीं। Let's Encrypt के मुफ्त certificates हर major browser द्वारा trusted हैं और स्वचालित रूप से खुद renew करते हैं। Paid certificates मौजूद हैं लेकिन एक typical business website के लिए कोई अतिरिक्त सुरक्षा नहीं देते।
हम अपनी site पर payments या logins नहीं लेते — क्या यह अभी भी मायने रखता है?
हाँ। Browsers बिना HTTPS site को 'Not secure' mark करते हैं चाहे वह क्या करती हो, इसलिए यहाँ तक कि एक brochure site trust और search ranking खोती है।
क्या forced redirect चालू करने से मेरी site टूट सकती है?
यह तब तक safe है जब तक आपका secure version पहले से काम करता है। केवल देखने की चीज़ mixed content है, जिसे spot और fix करना आसान है।
इस और HSTS के बीच क्या अंतर है?
यह page HTTPS होने और visitors को उस पर भेजने के बारे में है। HSTS एक और कदम है जो browsers को याद दिलाता है कि आपकी site HTTPS-only है। पहले HTTPS और redirect सही करें; HSTS ऊपर से बनाता है।