HTTPS वेबसाइट आगंतुकों को सुरक्षित रखता है, लेकिन यह सही नहीं है।  यहां बताया गया है कि HTTPS को हैकर्स से बचाने के लिए HSTS पर्दे के पीछे कैसे काम करता है।

HSTS क्या है और यह हैकर्स से HTTPS को कैसे बचाता है?

विज्ञापन आपने यह सुनिश्चित कर लिया होगा कि आपकी वेबसाइटों में SSL सक्षम है, और आपके ब्राउज़र में सुंदर सुरक्षा पैडलॉक हरा है। हालाँकि, आप HTTP के छोटे सुरक्षा आदमी, HTTP सख्त परिवहन सुरक्षा (HSTS) के बारे में भूल गए होंगे। HSTS क्या है, और यह आपकी साइट को सुरक्षित रखने में कैसे मदद कर सकता है? HTTPS क्या है? हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) एक वेबसाइट (HTTP) का एक सुरक्षित संस्करण है। एन्क्रिप्शन को सुरक्षित सॉकेट लेयर (एसएसएल) प्रोटोकॉल का उपयोग करके सक्षम किया गया है और एसएसएल प्रमाणपत्र के साथ मान्य किया गया है। जब आप किसी HTTPS वेबसाइट से जुड़ते हैं, तो वेबसाइट और उपयोगकर्ता

विज्ञापन

आपने यह सुनिश्चित कर लिया होगा कि आपकी वेबसाइटों में SSL सक्षम है, और आपके ब्राउज़र में सुंदर सुरक्षा पैडलॉक हरा है। हालाँकि, आप HTTP के छोटे सुरक्षा आदमी, HTTP सख्त परिवहन सुरक्षा (HSTS) के बारे में भूल गए होंगे।

HSTS क्या है, और यह आपकी साइट को सुरक्षित रखने में कैसे मदद कर सकता है?

HTTPS क्या है?

HTTPS HSTS पर निर्भर करता है

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर (HTTPS) एक वेबसाइट (HTTP) का एक सुरक्षित संस्करण है। एन्क्रिप्शन को सुरक्षित सॉकेट लेयर (एसएसएल) प्रोटोकॉल का उपयोग करके सक्षम किया गया है और एसएसएल प्रमाणपत्र के साथ मान्य किया गया है। जब आप किसी HTTPS वेबसाइट से जुड़ते हैं, तो वेबसाइट और उपयोगकर्ता के बीच स्थानांतरित जानकारी एन्क्रिप्टेड होती है।

यह एन्क्रिप्शन आपको मैन-इन-द-मिडिल-अटैक्स (MITM) के माध्यम से डेटा चोरी से बचाने में मदद करता है। सुरक्षा की अतिरिक्त परत भी आपकी वेबसाइट की प्रतिष्ठा को थोड़ा सुधारने में मदद करती है। SEO: 5 सर्च इंजन ऑप्टिमाइजेशन गाइड जो आपको शुरू करने में मदद करते हैं एसईओ: 5 सर्च इंजन ऑप्टिमाइजेशन गाइड्स जो आपकी मदद करते हैं सर्च इंजन की महारत ज्ञान, अनुभव और बहुत सारे परीक्षण लेती है। और त्रुटि। आप वेब पर उपलब्ध कई एसईओ गाइडों की मदद से बुनियादी बातों को सीखना शुरू कर सकते हैं और सामान्य एसईओ गलतियों से आसानी से बच सकते हैं। अधिक पढ़ें । वास्तव में, SSL प्रमाणपत्र जोड़ना इतना आसान है, कि कई वेब होस्ट इसे डिफ़ॉल्ट रूप से आपकी साइट पर मुफ्त में जोड़ देंगे! उस ने कहा, HTTPS में अभी भी कुछ खामियां हैं जिन्हें HSTS ठीक करने में मदद कर सकता है।

HSTS क्या है?

HSTS एक प्रतिक्रिया हैडर है जो एक ब्राउज़र को सूचित करता है जो सक्षम वेबसाइटों को केवल HTTPS के माध्यम से एक्सेस किया जा सकता है। यह आपके ब्राउज़र को केवल वेबसाइट के HTTPS संस्करण और उस पर किसी भी संसाधन तक पहुँचने में सक्षम बनाता है।

आपको पता नहीं चल सकता है कि आपने अपना एसएसएल प्रमाणपत्र सही ढंग से सेट किया है और अपनी वेबसाइट के लिए एचटीटीपीएस को सक्षम किया है, कि HTTP संस्करण अभी भी उपलब्ध है। यह तब भी सच है जब आपने 301 स्थायी पुनर्निर्देशन का उपयोग करके अग्रेषित किया है।

हालाँकि HSTS नीति थोड़ी देर के लिए रही है, लेकिन इसे केवल जुलाई 2016 में Google द्वारा औपचारिक रूप से रोल आउट किया गया था। यही कारण है कि आपने अभी तक इसके बारे में नहीं सुना है।

एचएसटीएस को सक्षम करने से एसएसएल प्रोटोकॉल हमलों और कुकी का अपहरण बंद हो जाएगा, व्हाट ए कुकी एंड व्हाट डू इट टू डू टू माई प्राइवेसी? [MakeUseOf बताते हैं] क्या एक कुकी है और यह मेरी गोपनीयता के साथ क्या करना है? [MakeUseOf बताते हैं] ज्यादातर लोग जानते हैं कि इंटरनेट पर बिखरे हुए कुकीज़ हैं, जो भी उन्हें पहले खा सकते हैं, खाने के लिए तैयार और तैयार हैं। रुको क्या? यह सही नहीं हो सकता। हां, कुकीज़ हैं ... एसएसएल-सक्षम वेबसाइटों में अधिक दो अतिरिक्त कमजोरियां पढ़ें। और एक वेबसाइट को अधिक सुरक्षित बनाने के अलावा, एचएसटीएस लोडिंग प्रक्रिया में एक कदम को हटाकर साइटों को जल्दी लोड करेगा।

SSL स्ट्रिपिंग क्या है?

यद्यपि HTTPS HTTP से एक बहुत बड़ा सुधार है, लेकिन इसे हैक किए जाने के लिए अयोग्य नहीं है। एसएसएल स्ट्रिपिंग उन वेबसाइटों के लिए एक बहुत ही सामान्य MITM हैक है जो उपयोगकर्ताओं को अपनी वेबसाइट के HTTPS संस्करण से HTTP भेजने के लिए पुनर्निर्देशन का उपयोग करता है।

301 (स्थायी) और 302 (अस्थायी) पुनर्निर्देशित मूल रूप से इस तरह काम करता है:

  1. एक उपयोगकर्ता अपने ब्राउज़र के एड्रेस बार में google.com टाइप करता है।
  2. ब्राउज़र शुरू में http://google.com को डिफ़ॉल्ट के रूप में लोड करने का प्रयास करता है।
  3. "Google.com" को https://google.com पर 301 स्थायी रीडायरेक्ट के साथ स्थापित किया गया है।
  4. ब्राउज़र रीडायरेक्ट देखता है और इसके बजाय https://google.com लोड करता है।

SSL स्ट्रिपिंग के साथ, हैकर पुनर्निर्देशित अनुरोध को ब्लॉक करने के लिए चरण 3 और चरण 4 के बीच के समय का उपयोग कर सकता है और ब्राउज़र को वेबसाइट के सुरक्षित (HTTPS) संस्करण को लोड करने से रोक सकता है। जब आप वेबसाइट के अनएन्क्रिप्टेड वर्जन को एक्सेस कर रहे होते हैं, तो आपके द्वारा दर्ज किया गया कोई भी डेटा चोरी हो सकता है।

हैकर आपको उस वेबसाइट की एक प्रति पर भी पुनर्निर्देशित कर सकता है जिसे आप एक्सेस करने की कोशिश कर रहे हैं, और जैसे ही आप इसे सुरक्षित रखते हैं, वैसे ही आपके सभी डेटा पर कब्जा कर लेते हैं।

Google ने कुछ प्रकार के पुनर्निर्देशन को रोकने के लिए Chrome में चरण लागू किए हैं। हालाँकि, HSTS को सक्षम करना कुछ ऐसा होना चाहिए जो आप अभी से अपनी सभी वेबसाइटों के लिए डिफ़ॉल्ट रूप से करें।

HSTS को सक्षम करने से SSL स्ट्रिपिंग कैसे बंद होती है?

HSTS सक्षम करना ब्राउज़र को किसी वेबसाइट के सुरक्षित संस्करण को लोड करने के लिए मजबूर करता है, और HTTP कनेक्शन को खोलने के लिए किसी भी पुनर्निर्देशित और किसी अन्य कॉल को अनदेखा करता है। यह पुनर्निर्देशन भेद्यता को बंद करता है जो एक 301 और 302 पुनर्निर्देशित के साथ मौजूद है।

एचएसटीएस के लिए भी एक नकारात्मक पक्ष है, और वह यह है कि किसी उपयोगकर्ता के ब्राउज़र को एचएसटीएस हेडर को कम से कम एक बार देखने से पहले देखना होगा ताकि वह भविष्य की यात्राओं के लिए इसका लाभ उठा सके। इसका मतलब यह है कि उन्हें एचटीटीएस-सक्षम वेबसाइट पर जाने के बाद पहली बार असुरक्षित रूप से HTTP> HTTPS प्रक्रिया से गुजरना होगा।

इससे निपटने के लिए, क्रोम उन वेबसाइटों की एक सूची को लोड करता है जिनमें HSTS सक्षम है। उपयोगकर्ता यदि आवश्यक (सरल) मानदंडों को फिट करते हैं, तो वे खुद को प्रीलोड सूची में HSTS- सक्षम वेबसाइटों को जमा कर सकते हैं।

एचएसटीएस प्रीलोड चेक

इस सूची में जोड़ दी गई वेबसाइटों को क्रोम अपडेट के भविष्य के संस्करणों में हार्डकोड किया जाएगा। यह सुनिश्चित करता है कि Chrome के अपडेट किए गए संस्करणों में आपकी HSTS सक्षम वेबसाइटों पर जाने वाले सभी लोग सुरक्षित रहेंगे।

फ़ायरफ़ॉक्स, ओपेरा, सफारी और इंटरनेट एक्सप्लोरर की अपनी एचएसटीएस प्रीलोड सूची है, लेकिन वे hstspotload.org पर क्रोम सूची पर आधारित हैं।

अपनी वेबसाइट पर HSTS को कैसे सक्षम करें

अपनी वेबसाइट पर HSTS को सक्षम करने के लिए आपको सबसे पहले एक वैध SSL प्रमाणपत्र की आवश्यकता होती है 7 कारण आपकी साइट को एक SSL प्रमाणपत्र की आवश्यकता होती है 7 कारण आपकी साइट को SSL प्रमाणपत्र की आवश्यकता होती है यदि आप एक मामूली ब्लॉग या पूर्ण ई-कॉमर्स विकसित कर रहे हैं तो यह कोई फर्क नहीं पड़ता। साइट: आपको एक एसएसएल प्रमाणपत्र की आवश्यकता होती है। यहाँ कुछ व्यावहारिक कारण हैं। अधिक पढ़ें । यदि आप एक के बिना HSTS को सक्षम करते हैं, तो आपकी साइट किसी भी आगंतुक के लिए अनुपलब्ध होगी, इसलिए सुनिश्चित करें कि आपकी वेबसाइट और कोई भी उप डोमेन जारी रखने से पहले HTTPS पर काम कर रहे हैं।

HSTS को सक्षम करना बहुत आसान है। आपको बस अपनी साइट पर .htaccess फ़ाइल में एक हेडर जोड़ने की आवश्यकता है। आपको जो शीर्ष लेख जोड़ना है वह है:

 Strict-Transport-Security: max-age=31536000; includeSubDomains 

यह एक वर्ष की अधिकतम आयु एक्सेस कुकी जोड़ता है (कुकी क्या है? कुकीज़ सभी खराब नहीं हैं: आपके ब्राउज़र पर उन्हें छोड़ने के लिए 6 कारण हैं। कुकीज़ आपके ब्राउज़र पर सक्षम नहीं हैं सभी खराब हैं: आपके ब्राउज़र पर उन्हें सक्षम करने के लिए 6 कारण कुकीज़ वास्तव में हैं यह सब बुरा है? क्या वे आपकी सुरक्षा और गोपनीयता को खतरे में डाल रहे हैं, या कुकीज़ को सक्षम करने के अच्छे कारण हैं? और पढ़ें), जिसमें आपकी वेबसाइट और किसी भी उप डोमेन शामिल हैं। एक बार जब कोई ब्राउज़र वेबसाइट पर पहुँच जाता है, तो वह एक वर्ष के लिए वेबसाइट के असुरक्षित HTTP संस्करण तक पहुँचने में असमर्थ होगा। सुनिश्चित करें कि इस डोमेन के सभी उप डोमेन को एसएसएल प्रमाणपत्र में शामिल किया गया है, और एचटीटीपीएस सक्षम है। यदि आप इसे भूल जाते हैं, तो .htaccess फ़ाइल को सहेजने के बाद उप-डोमेन पहुँच योग्य नहीं होंगे।

ऐसी वेबसाइटें शामिल हैं, जो इसमें शामिल हैं, जिसमें SSDDomains विकल्प हैं, जो विज़िटर को कुकीज़ में हेरफेर करने के लिए उप-डोमेन की अनुमति देकर गोपनीयता लीक को उजागर कर सकती हैं। इसमें शामिल किए गएSubDomains सक्षम होने के साथ, ये कुकी से संबंधित हमले संभव नहीं होंगे।

नोट: एक वर्ष की अधिकतम आयु जोड़ने से पहले, अपनी पूरी वेबसाइट को पहले उपयोग करते हुए पांच मिनट की अधिकतम आयु के साथ परीक्षण करें: अधिकतम आयु = 300;

Google यह भी अनुशंसा करता है कि आप अपनी वेबसाइट और उसके प्रदर्शन (ट्रैफ़िक) का परीक्षण एक सप्ताह और एक महीने के मान के साथ-साथ अधिकतम दो वर्ष की आयु को लागू करने से पहले करें।

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains 

एचएसटीएस प्रीलोड सूची बनाना

अब तक आपको एचएसटीएस से परिचित होना चाहिए और आपकी साइट के लिए इसका उपयोग करना क्यों महत्वपूर्ण है। अपने वेबसाइट आगंतुकों को ऑनलाइन सुरक्षित रखना आपकी साइट की योजना का एक मुख्य तत्व होना चाहिए।

Chrome और अन्य ब्राउज़र का उपयोग करने वाले HSTS प्रीलोड सूची के लिए योग्य होने के लिए, आपकी वेबसाइट को निम्नलिखित आवश्यकताओं को पूरा करना होगा:

  1. एक मान्य एसएसएल प्रमाणपत्र परोसें।
  2. यदि आप पोर्ट 80 पर सुन रहे हैं, तो उसी होस्ट पर HTTP से HTTPS पर रीडायरेक्ट करें।
  3. HTTPS पर सभी उप-डोमेन परोसें। विशेष रूप से, आपको www.subdomain के लिए HTTPS का समर्थन करना चाहिए यदि उस उपडोमेन के लिए DNS रिकॉर्ड मौजूद है।
  4. HTTPS अनुरोधों के लिए बेस डोमेन पर एक HSTS हेडर परोसें:
    • अधिकतम आयु कम से कम 31536000 सेकंड (1 वर्ष) होनी चाहिए।
    • शामिल करने के निर्देश को निर्दिष्ट किया जाना चाहिए।
    • प्रीलोड निर्देश निर्दिष्ट किया जाना चाहिए।
    • यदि आप अपने HTTPS साइट से एक अतिरिक्त रीडायरेक्ट परोस रहे हैं, तो उस रीडायरेक्ट में अभी भी HSTS हेडर होना चाहिए (पेज के बजाय इसे रीडायरेक्ट करने के लिए)।

यदि आप अपनी वेबसाइट को एचएसटीएस प्रीलोड सूची में जोड़ना चाहते हैं, तो सुनिश्चित करें कि आप आवश्यक प्रीलोड टैग जोड़ें। "प्रीलोड" विकल्प दर्शाता है कि आप चाहते हैं कि आपकी वेबसाइट Chrome की HSTS प्रीलोड सूची में जुड़ जाए। प्रतिक्रिया शीर्षलेख .htaccess में इस तरह दिखना चाहिए:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload 

हम अनुशंसा करते हैं कि आप अपनी वेबसाइट को hstspreload.org पर जोड़ें। आवश्यकताओं को पूरा करना बहुत आसान है, और यह आपकी वेबसाइट के आगंतुकों की रक्षा करने में मदद करेगा, और संभावित रूप से आपकी वेबसाइट की खोज इंजन रैंकिंग में सुधार कैसे करेगा? कैसे खोज इंजन काम करते हो? बहुत से लोगों के लिए, Google इंटरनेट है। यकीनन यह इंटरनेट के बाद से ही सबसे महत्वपूर्ण आविष्कार है। और जबकि खोज इंजन बहुत बदल गए हैं, अंतर्निहित सिद्धांत अभी भी समान हैं। अधिक पढ़ें ।

इसके बारे में अधिक जानें: HSTS, HTTPS, ऑनलाइन सुरक्षा, एसएसएल।