Defaults.Exposed › सुधार › आधुनिक एन्क्रिप्शन (TLS संस्करण और सिफर)
आधुनिक एन्क्रिप्शन (TLS संस्करण और सिफर) को कैसे ठीक करें
TLS वह ताला है जो आपके विज़िटरों और आपकी वेबसाइट के बीच बहने वाले डेटा को स्क्रैम्बल करता है। दो चीजें उस ताले को भरोसेमंद बनाती हैं: TLS के एक आधुनिक संस्करण का उपयोग करना (पुराने, टूटे हुए नहीं), और मजबूत सिफर (वास्तविक स्क्रैम्बलिंग नुस्खा)। यह पेज दोनों को कवर करता है — साथ ही कुछ संबंधित सेटिंग जो आपके ग्रेड को प्रभावित नहीं करतीं लेकिन जानने योग्य हैं।
आपके व्यवसाय के लिए मुख्य बात: यदि आपकी साइट पुराने एन्क्रिप्शन या कमजोर सिफर पर चलती है, तो आपके ग्राहक जो निजी विवरण टाइप करते हैं — लॉगिन, कार्ड नंबर, संपर्क जानकारी — साझा नेटवर्क पर चुपचाप इंटरसेप्ट और पढ़े जा सकते हैं, और आप उन सुरक्षा जाँचों में विफल हो सकते हैं जो बैंक, भुगतान प्रसंस्करणकर्ता, और बड़े क्लाइंट अब आपके साथ व्यवसाय करने से पहले आवश्यक बनाते हैं।
यह आपको क्या खर्च कर सकता है
- एक ग्राहक होटल या कैफे Wi-Fi पर भुगतान या साइन इन करता है, एक पुराना कनेक्शन या कमजोर सिफर उस नेटवर्क पर एक अजनबी को उनका कार्ड और पासवर्ड रियल टाइम में पढ़ने देता है, और धोखाधड़ी — और क्रोधित फोन कॉल — सीधे आपकी साइट पर वापस आती है।
- आप कार्ड भुगतान लेने के लिए आवेदन करते हैं (या आपका भुगतान प्रदाता आपको फिर से ऑडिट करता है) और अस्वीकार कर दिए जाते हैं क्योंकि पुराना TLS या एक प्रतिबंधित सिफर भुगतान-सुरक्षा नियमों को तोड़ता है।
- एक बड़े क्लाइंट की IT टीम हस्ताक्षर करने से पहले एक रूटीन सुरक्षा स्कैन चलाती है, देखती है कि आपकी साइट अभी भी टूटे हुए एन्क्रिप्शन की अनुमति देती है, और आपको एक जोखिम के रूप में फ्लैग करती है।
- एक डेटा-सुरक्षा शिकायत या उल्लंघन आपकी डेस्क पर आता है और नियामकों का पहला सवाल होता है कि क्या आपने ग्राहक डेटा 'उचित रूप से' सुरक्षित किया था।
- आपकी साइट पैडलॉक दिखाती है, इसलिए हर कोई मान लेता है कि यह पूरी तरह सुरक्षित है, और यह अंतराल वर्षों तक किसी का ध्यान नहीं जाता।
यह क्यों मायने रखता है। सुरक्षित एन्क्रिप्शन अदृश्य है; पुराना या कमजोर एन्क्रिप्शन एक देनदारी है जो चुपचाप बैठती है जब तक यह आपको एक ग्राहक, एक अनुबंध, या एक अनुपालन पास नहीं खर्च करती। TLS संस्करण और सिफर जाँच वे दो भाग हैं जो वास्तव में आपके ग्रेड को प्रभावित करते हैं, और दोनों आमतौर पर एक एकल मुफ्त सेटिंग हैं — पुराने, टूटे हुए विकल्पों को चालू रखने का कोई फायदा नहीं है।
सरल शब्दों में
जब कोई आपकी वेबसाइट पर जाता है, तो वे जो कुछ भी टाइप करते हैं — लॉगिन, कार्ड नंबर, नाम, फोन नंबर, संदेश — ट्रांजिट में स्क्रैम्बल किए जाते हैं ताकि अजनबी उन्हें न पढ़ सकें। वह स्क्रैम्बलिंग करने वाली तकनीक को TLS कहा जाता है (आप इसे SSL भी सुन सकते हैं, इसका पुराना नाम)। उस स्क्रैम्बलिंग को वास्तव में सुरक्षित होने के लिए, दो चीजें सही होनी चाहिए:
- TLS संस्करण — आप तकनीक की किस पीढ़ी का उपयोग कर रहे हैं। प्रारंभिक संस्करण (TLS 1.0 और 1.1) वर्षों से सार्वजनिक रूप से टूटे हुए हैं; सुरक्षित वाले हैं TLS 1.2 और TLS 1.3।
- सिफर — वह विशिष्ट नुस्खा जो TLS स्क्रैम्बलिंग करने के लिए उपयोग करता है। कुछ सिफर (जैसे RC4, DES और 3DES) क्रैक किए जा चुके हैं और अब प्रतिबंधित हैं; आधुनिक सिफर अभी भी मजबूत हैं।
इससे आपको क्या नुकसान हो सकता है
- एक ग्राहक सार्वजनिक Wi-Fi पर लूटा जाता है। कोई होटल, कैफे या हवाई अड्डे से अपने खाते में लॉग इन करता है या भुगतान करता है। क्योंकि आपकी साइट अभी भी एक पुराने TLS संस्करण या एक कमजोर सिफर की अनुमति देती है, उसी नेटवर्क पर एक अजनबी कनेक्शन को टूटने योग्य विकल्प तक डाउनग्रेड करने के लिए बाध्य करता है और उनका पासवर्ड और कार्ड नंबर रियल टाइम में पढ़ता है।
- आपके कार्ड भुगतान बंद हो जाते हैं। भुगतान-सुरक्षा नियम (PCI DSS) न्यूनतम TLS 1.2 की आवश्यकता करते हैं और RC4 जैसे कमजोर सिफर को स्पष्ट रूप से प्रतिबंधित करते हैं।
- एक सुरक्षा समीक्षा में एक सौदा रुक जाता है। एक बड़े क्लाइंट के हस्ताक्षर करने से पहले, उनकी IT टीम एक रूटीन स्कैन चलाती है। यह तुरंत फ्लैग करता है कि आपकी साइट अभी भी टूटे हुए एन्क्रिप्शन को स्वीकार करती है।
- एक नियामक असुविधाजनक सवाल पूछता है। किसी भी शिकायत या उल्लंघन के बाद, एक डेटा-सुरक्षा प्राधिकरण सबसे पहले यह जानना चाहता है कि आपने व्यक्तिगत डेटा “उचित रूप से” सुरक्षित किया था या नहीं।
- यह वर्षों तक पैडलॉक के पीछे छिपा रहता है।
यह वास्तव में क्या है
TLS संस्करण
एक साइट TLS का केवल एक संस्करण समर्थन नहीं करती — यह एक साथ कई प्रदान कर सकती है और प्रत्येक विज़िटर के ब्राउज़र को चुनने देती है। खतरा यह है कि पुराने, टूटे हुए संस्करण अच्छे के साथ-साथ एक खुले पिछले दरवाजे के रूप में बैठ सकते हैं: एक हमलावर एक विज़िटर के कनेक्शन को TLS 1.0 या 1.1 तक “डाउनग्रेड” करने के लिए बाध्य कर सकता है और फिर उन संस्करणों में ज्ञात कमजोरियों का शोषण कर सकता है।
- TLS 1.3 (1.2 के साथ या बिना), और कोई लेगेसी नहीं: सबसे अच्छा परिणाम। पूर्ण अंक।
- केवल TLS 1.2, कोई 1.3 नहीं: सुरक्षित और पास, लेकिन आप सबसे नए, सबसे तेज़ संस्करण को छोड़ रहे हैं।
- TLS 1.0 या 1.1 अभी भी स्वीकृत: स्वचालित विफल, शून्य स्कोर और महत्वपूर्ण फ्लैग।
सिफर
एक बार संस्करण चुना जाने के बाद, TLS एक सिफर चुनता है। अधिकांश आधुनिक सिफर मजबूत हैं। कुछ टूटे हुए हैं और कभी उपयोग नहीं किए जाने चाहिए: RC4, DES, 3DES, NULL, EXPORT-ग्रेड सिफर, और गुमनाम सिफर।
तीन सूचनात्मक अतिरिक्त
तीन संबंधित आइटम रिपोर्ट किए जाते हैं लेकिन आपके ग्रेड को प्रभावित नहीं करते — वे सूचनात्मक के रूप में फ्लैग हैं:
- TLS कम्प्रेशन (CRIME अटैक): एक पुरानी सुविधा जिसे आधुनिक वेब सर्वर में वर्षों से डिफ़ॉल्ट रूप से अक्षम किया गया है।
- OCSP स्टेपलिंग: एक प्रदर्शन और गोपनीयता सुविधा जहाँ आपका सर्वर प्री-फेच करता है कि इसका सर्टिफिकेट रद्द नहीं किया गया है।
- सुरक्षित पुनः-वार्ता: एक पुराने दोष के लिए एक सुधार जो TLS 1.3 ने पूरी तरह से हटा दिया।
इसे कैसे ठीक करें (मुफ्त, ~30 मिनट)
इसे अपने IT व्यक्ति को सौंपें — ठीक करना मुफ्त है।
सबसे सरल विश्वसनीय दृष्टिकोण Mozilla के SSL Configuration Generator पर एक ज्ञात-अच्छा कॉन्फ़िग उत्पन्न करना है https://ssl-config.mozilla.org/ पर और “Intermediate” प्रोफ़ाइल चुनना।
प्लेटफॉर्म के अनुसार:
- Cloudflare या एक प्रबंधित होस्ट — आमतौर पर एक या दो क्लिक। Cloudflare में: SSL/TLS → Edge Certificates → Minimum TLS Version → TLS 1.2।
- Nginx। आधुनिक-केवल संस्करण और एक स्पष्ट मजबूत सिफर सूची सेट करें, फिर पुनः लोड करें:
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; ssl_prefer_server_ciphers on; - Apache। पुराने संस्करणों को अक्षम करें और एक मजबूत सिफर सूची पिन करें, फिर पुनः प्रारंभ करें:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384 SSLHonorCipherOrder on - Windows / IIS। मुफ्त IIS Crypto टूल उपयोग करें TLS 1.0 और 1.1 को अक्षम करने के लिए।
- सत्यापित करें, फिर यहाँ फिर से जाँचें।
सामान्य गलतियाँ
- “हमारे पास पैडलॉक है, इसलिए हम ठीक हैं।” पैडलॉक केवल यह साबित करता है कि एक सुरक्षित कनेक्शन मौजूद है।
- संस्करण ठीक करना लेकिन सिफर नहीं (या इसके विपरीत)। TLS 1.0/1.1 को अक्षम करने से स्वचालित रूप से RC4 या 3DES नहीं हटता।
- “लेगेसी” या “पुराने-ब्राउज़र संगतता” टॉगल चालू छोड़ना।
- सर्वर को वास्तव में पुनः लोड/पुनः प्रारंभ करना भूलना।
- एक सर्वर कॉन्फ़िगर करना लेकिन उन सभी को नहीं।
याद रखने वाली बात
TLS संस्करण और सिफर वे दो भाग हैं जो वास्तव में आपके ग्रेड को प्रभावित करते हैं, और दोनों उन विकल्पों को बंद करने पर आते हैं जो वर्षों से सार्वजनिक रूप से टूटे हुए हैं। ठीक करना मुफ्त है, यह आमतौर पर प्रति सर्वर एक आधुनिक कॉन्फ़िगरेशन लाइन है।
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या मैं इसे स्वयं संभाल सकता हूँ?
आपको तकनीकी विवरण समझने की जरूरत नहीं है। अधिकांश आधुनिक होस्टिंग पर यह एक या दो सेटिंग हैं, और यह मुफ्त है। नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें।
क्या आधुनिक एन्क्रिप्शन पर स्विच करने से पुराने ग्राहकों के ब्राउज़र काम करना बंद कर देंगे?
व्यवहार में, नहीं। लगभग पिछले दशक से हर आधुनिक ब्राउज़र और फोन पहले से ही नए एन्क्रिप्शन और मजबूत सिफर का उपयोग डिफ़ॉल्ट रूप से करता है। पुराने संस्करणों या कमजोर सिफर पर निर्भर एकमात्र चीजें स्वयं पुरानी और असुरक्षित हैं।
मेरी साइट पैडलॉक के साथ ठीक लोड होती है — यह अभी भी फ्लैग क्यों हो रहा है?
पैडलॉक केवल यह कहता है कि एक सुरक्षित कनेक्शन मौजूद है; यह नहीं बताता कि इसके पीछे TLS का कौन सा संस्करण या सिफर है। आपकी साइट एक बिल्कुल सामान्य पैडलॉक दिखा सकती है जबकि चुपचाप अभी भी एक पुराने टूटे संस्करण या एक प्रतिबंधित सिफर को अच्छे के साथ-साथ स्वीकार कर रही है।
TLS संस्करण और सिफर के बीच क्या अंतर है?
TLS संस्करण को उस लॉक की पीढ़ी के रूप में सोचें जिसे आप उपयोग कर रहे हैं, और सिफर को वह विशिष्ट नुस्खा जो डेटा को स्क्रैम्बल करने के लिए उपयोग करता है। आपके पास एक आधुनिक लॉक (TLS 1.2 या 1.3) हो सकता है लेकिन अभी भी एक पुराना, क्रैक करने योग्य नुस्खा (जैसे RC4 या 3DES) चालू हो सकता है। दोनों को सही होना चाहिए।
OCSP स्टेपलिंग और TLS कम्प्रेशन के बारे में क्या — क्या वे मेरे ग्रेड को प्रभावित करते हैं?
नहीं। वे (सुरक्षित पुनः-वार्ता के साथ) केवल सूचनात्मक हैं — हम उन पर रिपोर्ट करते हैं क्योंकि वे प्रदर्शन और रक्षा-में-गहराई के लिए महत्वपूर्ण हैं, लेकिन वे आपके स्कोर को प्रभावित नहीं करते। आधुनिक वेब सर्वरों और किसी भी CDN जैसे Cloudflare पर ये डिफ़ॉल्ट रूप से सही तरीके से संभाले जाते हैं।
क्या इसे ठीक करना वास्तव में मुफ्त है?
हाँ। पुराने TLS संस्करणों और कमजोर सिफरों को अक्षम करना, और इन सुरक्षाओं को सक्षम करना, आपके मौजूदा सर्वर या होस्टिंग पर कॉन्फ़िगरेशन परिवर्तन हैं।