Defaults.Exposed

Defaults.Exposedसुधार › आधुनिक एन्क्रिप्शन (TLS संस्करण और सिफर)

आधुनिक एन्क्रिप्शन (TLS संस्करण और सिफर) को कैसे ठीक करें

TLS वह ताला है जो आपके विज़िटरों और आपकी वेबसाइट के बीच बहने वाले डेटा को स्क्रैम्बल करता है। दो चीजें उस ताले को भरोसेमंद बनाती हैं: TLS के एक आधुनिक संस्करण का उपयोग करना (पुराने, टूटे हुए नहीं), और मजबूत सिफर (वास्तविक स्क्रैम्बलिंग नुस्खा)। यह पेज दोनों को कवर करता है — साथ ही कुछ संबंधित सेटिंग जो आपके ग्रेड को प्रभावित नहीं करतीं लेकिन जानने योग्य हैं।

आपके व्यवसाय के लिए मुख्य बात: यदि आपकी साइट पुराने एन्क्रिप्शन या कमजोर सिफर पर चलती है, तो आपके ग्राहक जो निजी विवरण टाइप करते हैं — लॉगिन, कार्ड नंबर, संपर्क जानकारी — साझा नेटवर्क पर चुपचाप इंटरसेप्ट और पढ़े जा सकते हैं, और आप उन सुरक्षा जाँचों में विफल हो सकते हैं जो बैंक, भुगतान प्रसंस्करणकर्ता, और बड़े क्लाइंट अब आपके साथ व्यवसाय करने से पहले आवश्यक बनाते हैं।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। सुरक्षित एन्क्रिप्शन अदृश्य है; पुराना या कमजोर एन्क्रिप्शन एक देनदारी है जो चुपचाप बैठती है जब तक यह आपको एक ग्राहक, एक अनुबंध, या एक अनुपालन पास नहीं खर्च करती। TLS संस्करण और सिफर जाँच वे दो भाग हैं जो वास्तव में आपके ग्रेड को प्रभावित करते हैं, और दोनों आमतौर पर एक एकल मुफ्त सेटिंग हैं — पुराने, टूटे हुए विकल्पों को चालू रखने का कोई फायदा नहीं है।

सरल शब्दों में

जब कोई आपकी वेबसाइट पर जाता है, तो वे जो कुछ भी टाइप करते हैं — लॉगिन, कार्ड नंबर, नाम, फोन नंबर, संदेश — ट्रांजिट में स्क्रैम्बल किए जाते हैं ताकि अजनबी उन्हें न पढ़ सकें। वह स्क्रैम्बलिंग करने वाली तकनीक को TLS कहा जाता है (आप इसे SSL भी सुन सकते हैं, इसका पुराना नाम)। उस स्क्रैम्बलिंग को वास्तव में सुरक्षित होने के लिए, दो चीजें सही होनी चाहिए:

  1. TLS संस्करण — आप तकनीक की किस पीढ़ी का उपयोग कर रहे हैं। प्रारंभिक संस्करण (TLS 1.0 और 1.1) वर्षों से सार्वजनिक रूप से टूटे हुए हैं; सुरक्षित वाले हैं TLS 1.2 और TLS 1.3
  2. सिफर — वह विशिष्ट नुस्खा जो TLS स्क्रैम्बलिंग करने के लिए उपयोग करता है। कुछ सिफर (जैसे RC4, DES और 3DES) क्रैक किए जा चुके हैं और अब प्रतिबंधित हैं; आधुनिक सिफर अभी भी मजबूत हैं।

इससे आपको क्या नुकसान हो सकता है

यह वास्तव में क्या है

TLS संस्करण

एक साइट TLS का केवल एक संस्करण समर्थन नहीं करती — यह एक साथ कई प्रदान कर सकती है और प्रत्येक विज़िटर के ब्राउज़र को चुनने देती है। खतरा यह है कि पुराने, टूटे हुए संस्करण अच्छे के साथ-साथ एक खुले पिछले दरवाजे के रूप में बैठ सकते हैं: एक हमलावर एक विज़िटर के कनेक्शन को TLS 1.0 या 1.1 तक “डाउनग्रेड” करने के लिए बाध्य कर सकता है और फिर उन संस्करणों में ज्ञात कमजोरियों का शोषण कर सकता है।

सिफर

एक बार संस्करण चुना जाने के बाद, TLS एक सिफर चुनता है। अधिकांश आधुनिक सिफर मजबूत हैं। कुछ टूटे हुए हैं और कभी उपयोग नहीं किए जाने चाहिए: RC4, DES, 3DES, NULL, EXPORT-ग्रेड सिफर, और गुमनाम सिफर।

तीन सूचनात्मक अतिरिक्त

तीन संबंधित आइटम रिपोर्ट किए जाते हैं लेकिन आपके ग्रेड को प्रभावित नहीं करते — वे सूचनात्मक के रूप में फ्लैग हैं:

इसे कैसे ठीक करें (मुफ्त, ~30 मिनट)

इसे अपने IT व्यक्ति को सौंपें — ठीक करना मुफ्त है।

सबसे सरल विश्वसनीय दृष्टिकोण Mozilla के SSL Configuration Generator पर एक ज्ञात-अच्छा कॉन्फ़िग उत्पन्न करना है https://ssl-config.mozilla.org/ पर और “Intermediate” प्रोफ़ाइल चुनना।

प्लेटफॉर्म के अनुसार:

  1. Cloudflare या एक प्रबंधित होस्ट — आमतौर पर एक या दो क्लिक। Cloudflare में: SSL/TLS → Edge Certificates → Minimum TLS Version → TLS 1.2
  2. Nginx। आधुनिक-केवल संस्करण और एक स्पष्ट मजबूत सिफर सूची सेट करें, फिर पुनः लोड करें:
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    
  3. Apache। पुराने संस्करणों को अक्षम करें और एक मजबूत सिफर सूची पिन करें, फिर पुनः प्रारंभ करें:
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder on
    
  4. Windows / IIS। मुफ्त IIS Crypto टूल उपयोग करें TLS 1.0 और 1.1 को अक्षम करने के लिए।
  5. सत्यापित करें, फिर यहाँ फिर से जाँचें।

सामान्य गलतियाँ

याद रखने वाली बात

TLS संस्करण और सिफर वे दो भाग हैं जो वास्तव में आपके ग्रेड को प्रभावित करते हैं, और दोनों उन विकल्पों को बंद करने पर आते हैं जो वर्षों से सार्वजनिक रूप से टूटे हुए हैं। ठीक करना मुफ्त है, यह आमतौर पर प्रति सर्वर एक आधुनिक कॉन्फ़िगरेशन लाइन है।

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या मैं इसे स्वयं संभाल सकता हूँ?

आपको तकनीकी विवरण समझने की जरूरत नहीं है। अधिकांश आधुनिक होस्टिंग पर यह एक या दो सेटिंग हैं, और यह मुफ्त है। नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या होस्टिंग चलाता है उसे सौंपें।

क्या आधुनिक एन्क्रिप्शन पर स्विच करने से पुराने ग्राहकों के ब्राउज़र काम करना बंद कर देंगे?

व्यवहार में, नहीं। लगभग पिछले दशक से हर आधुनिक ब्राउज़र और फोन पहले से ही नए एन्क्रिप्शन और मजबूत सिफर का उपयोग डिफ़ॉल्ट रूप से करता है। पुराने संस्करणों या कमजोर सिफर पर निर्भर एकमात्र चीजें स्वयं पुरानी और असुरक्षित हैं।

मेरी साइट पैडलॉक के साथ ठीक लोड होती है — यह अभी भी फ्लैग क्यों हो रहा है?

पैडलॉक केवल यह कहता है कि एक सुरक्षित कनेक्शन मौजूद है; यह नहीं बताता कि इसके पीछे TLS का कौन सा संस्करण या सिफर है। आपकी साइट एक बिल्कुल सामान्य पैडलॉक दिखा सकती है जबकि चुपचाप अभी भी एक पुराने टूटे संस्करण या एक प्रतिबंधित सिफर को अच्छे के साथ-साथ स्वीकार कर रही है।

TLS संस्करण और सिफर के बीच क्या अंतर है?

TLS संस्करण को उस लॉक की पीढ़ी के रूप में सोचें जिसे आप उपयोग कर रहे हैं, और सिफर को वह विशिष्ट नुस्खा जो डेटा को स्क्रैम्बल करने के लिए उपयोग करता है। आपके पास एक आधुनिक लॉक (TLS 1.2 या 1.3) हो सकता है लेकिन अभी भी एक पुराना, क्रैक करने योग्य नुस्खा (जैसे RC4 या 3DES) चालू हो सकता है। दोनों को सही होना चाहिए।

OCSP स्टेपलिंग और TLS कम्प्रेशन के बारे में क्या — क्या वे मेरे ग्रेड को प्रभावित करते हैं?

नहीं। वे (सुरक्षित पुनः-वार्ता के साथ) केवल सूचनात्मक हैं — हम उन पर रिपोर्ट करते हैं क्योंकि वे प्रदर्शन और रक्षा-में-गहराई के लिए महत्वपूर्ण हैं, लेकिन वे आपके स्कोर को प्रभावित नहीं करते। आधुनिक वेब सर्वरों और किसी भी CDN जैसे Cloudflare पर ये डिफ़ॉल्ट रूप से सही तरीके से संभाले जाते हैं।

क्या इसे ठीक करना वास्तव में मुफ्त है?

हाँ। पुराने TLS संस्करणों और कमजोर सिफरों को अक्षम करना, और इन सुरक्षाओं को सक्षम करना, आपके मौजूदा सर्वर या होस्टिंग पर कॉन्फ़िगरेशन परिवर्तन हैं।