Google का लागू करने वाला HTTPS – क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

क्या आपकी वेबसाइट हैकर्स से सुरक्षित है? यदि नहीं, तो आपकी वेबसाइट पर आने वाले किसी को भी जल्द ही पता चल जाएगा।

फरवरी 2018 को, Google ने घोषणा की कि जुलाई 2018 से जब क्रोम 68 जारी किया जाता है, तो HTTPS नहीं चलाने वाली प्रत्येक वेबसाइट को एड्रेस बार में “सुरक्षित नहीं” के रूप में लेबल किया जाएगा।

इसका क्या मतलब है? खैर, HTTPS के बिना किसी वेबसाइट तक पहुँचने का प्रयास करने वाले को एक चेतावनी प्राप्त होगी कि साइट सुरक्षित नहीं है।

यहां Google की ओर से एक उदाहरण दिया गया है कि ब्राउज़र में चेतावनी कैसी दिखाई देगी:

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

छवि: गूगल।

क्या मुझे HTTPS चेतावनियों की परवाह करनी चाहिए?

एक शब्द में: हाँ।

क्लाउडफ्लेयर के अनुसार, आधे से ज्यादा वेब विज़िटर इन चेतावनियों को देखेंगे। यह आपके वेब ट्रैफ़िक का 50% है।

इसलिए यदि आपकी वेबसाइट HTTPS के साथ एकीकृत नहीं है, तो आपके ग्राहक देखेंगे कि आपकी साइट साइबर हमलों के प्रति संवेदनशील है और वे आपकी साइट में जो भी व्यक्तिगत जानकारी दर्ज करते हैं वह सुरक्षित नहीं है और वे आपके उत्पाद या सेवाओं के लिए कहीं और जाने का निर्णय ले सकते हैं।

Google साइट स्वामियों पर HTTPS क्यों थोप रहा है?

HTTPS, HTTP प्रोटोकॉल का सुरक्षित संस्करण है, जो वेब उपयोगकर्ताओं को वेबसाइटों से जुड़ने में सक्षम बनाता है।

उपयोगकर्ताओं को एक प्रकार के साइबर हमले से बचाने के लिए सुरक्षित कनेक्शन एक महत्वपूर्ण कदम है, जिसे सामग्री इंजेक्शन या सामग्री स्पूफिंग कहा जाता है। सामग्री स्पूफिंग तब होती है जब कोई हैकर एक नकली वेबसाइट बनाता है और उसे ऐसे भेजता है जैसे कि वह वैध हो। आम तौर पर, फ़िशिंग के माध्यम से पीड़ितों को धोखा देने का इरादा है। कभी-कभी, हालांकि, उद्देश्य केवल किसी संगठन या व्यक्ति को गलत तरीके से प्रस्तुत करना होता है।

सामग्री स्पूफिंग अक्सर काम करती है क्योंकि यह उपयोगकर्ता और संगठन या उपयोगकर्ता के बीच एक स्थापित विश्वास संबंध का फायदा उठाती है, चाहे वह एक प्रसिद्ध कंपनी हो या सेलिब्रिटी।

और यह सिर्फ हैकर्स ही नहीं है – असंतुष्ट कर्मचारी, क्रोधित ग्राहक, और कोई अन्य जो किसी कंपनी या व्यक्ति को नुकसान पहुंचाना चाहता है, वह सामग्री स्पूफिंग हमला कर सकता है, ग्राहकों के साथ गलत जानकारी और संदेश साझा कर सकता है और उन्हें अपनी प्रतिस्पर्धा में ले जा सकता है।

सामग्री इंजेक्शन के सामान्य रूपों में ईव्सड्रॉपिंग, डेटा संशोधन और मैन-इन-द-बीच हमले शामिल हैं। हैकर्स एसईओ इंजेक्शन भी कर सकते हैं, खोज इंजन मकड़ियों के माध्यम से अतिरिक्त गलत संदेश फैलाते हैं जो यूआरएल को अनुक्रमित और शिल्प करते हैं।

HTTPS के साथ, Google इस तरह के दुर्भावनापूर्ण हमले को अतीत की बात बनाने की उम्मीद करता है।

Google कैसे जानता है कि HTTPS काम करता है?

क्योंकि सुरक्षा Google का मध्य नाम है। साथ ही, यह उपयोगकर्ताओं – और दुनिया – को HTTPS की ओर धकेलने की दिशा में धीरे-धीरे कदम उठा रहा है।

Google ने सुरक्षा इंजीनियरिंग फर्मों X41 D-Sec GmbH और Cure53 को तीन सबसे लोकप्रिय उद्यम ब्राउज़रों: Google Chrome, Microsoft Edge, और Microsoft Internet Explorer (IE) की सापेक्षिक सुरक्षा शक्तियों की जांच करने के लिए अधिकृत किया।

दो अध्ययनों में पाया गया कि 2017 में, Google Chrome वेब पर सबसे सुरक्षित ब्राउज़र था, क्योंकि इसकी संदिग्ध वेबसाइटों का पता लगाने की उच्च दर और तेज़ भेद्यता पैचिंग थी।

साथ ही, Google वर्षों से HTTPS के साथ खेल रहा है। कंपनी ने 2014 में परीक्षण शुरू किया था, यह जांच कर रही थी कि कौन सी वेबसाइटें सुरक्षित थीं और उन कनेक्शनों का उपयोग किया जो उसके खोज इंजन एल्गोरिदम में एन्क्रिप्ट किए गए थे।

परीक्षण एक शानदार सफलता थी और इसके जवाब में, खोज दिग्गज ने HTTPS को रैंकिंग संकेत के रूप में उपयोग करना शुरू कर दिया।

हालांकि यह केवल एक मामूली बदलाव था, HTTPS ने वैश्विक खोजों के 1% से भी कम को प्रभावित किया, और उच्च गुणवत्ता वाली सामग्री जैसे कारक अभी भी बहुत अधिक मायने रखते हैं।

फिर भी, उस समय Google ने HTTPS की क्षमता और महत्वपूर्णता को देखा और इसे और अधिक पूर्ण रूप से साकार होते देखना चाहता था।

2014 में अपने सुरक्षा ब्लॉग पर HTTPS के भविष्य के बारे में Google का क्या कहना था:

“… समय के साथ, हम इसे (HTTPS) मजबूत करने का निर्णय ले सकते हैं, क्योंकि हम वेब पर सभी को सुरक्षित रखने के लिए सभी वेबसाइट स्वामियों को HTTP से HTTPS पर स्विच करने के लिए प्रोत्साहित करना चाहते हैं।”

एक साल बाद, Google ने अपने सुरक्षा ब्लॉग पर एक और अपडेट जारी किया, जिसमें इसकी अनुक्रमण प्रणाली में मामूली समायोजन की घोषणा की गई। एचटीटीपीएस वेब पेज किसी अन्य वेबसाइट से लिंक नहीं होने पर भी एचटीटीपी पेजों पर एचटीटीपीएस को क्रॉल करने की योजना थी।

इसका मतलब यह था कि Google ने फैसला किया था कि वह पसंदीदा खेल शुरू करने जा रहा है। दूसरे शब्दों में, अलविदा HTTP। एचटीटीपीएस सर्च इंजन रैंकिंग और इंडेक्सिंग में एक पैर-अप प्राप्त करने जा रहा था क्योंकि यह एचटीटीपीएस था और सामान्य रैंकिंग आवश्यकताओं में से किसी के लिए नहीं।

और यदि समान डोमेन और समान सामग्री वाले दो URL में भिन्न प्रोटोकॉल योजनाएँ हैं, तो Google इन नियमों को ध्यान में रखते हुए HTTPS URL को अनुक्रमित करेगा:

  • इसमें असुरक्षित निर्भरताएँ नहीं हैं
  • इसे robots.txt द्वारा क्रॉल करने से ब्लॉक नहीं किया गया है
  • यह उपयोगकर्ताओं को असुरक्षित एचटीटीपी पेज पर या उसके ज़रिए रीडायरेक्ट नहीं करता है
  • इसमें HTTP पृष्ठ के लिए rel=”प्रामाणिक” लिंक नहीं है
  • इसमें noindex robots मेटा टैग नहीं है
  • इसमें HTTP URL के लिए ऑन-होस्ट आउटलिंक नहीं हैं
  • साइटमैप HTTPS URL को सूचीबद्ध करता है, या URL के HTTP संस्करण को सूचीबद्ध नहीं करता है
  • सर्वर के पास वैध टीएलएस प्रमाणपत्र है

2016 में, क्रोम सुरक्षा टीम के एड्रिएन पोर्टर फेल्ट और एमिली शेचटर ने HTTPS के साथ अपनी सफलता साझा करने के लिए Google के सुरक्षा ब्लॉग पर एक और अपडेट जारी किया।

उनके HTTPS रिपोर्ट कार्ड ने HTTPS की बदौलत वेब की बढ़ी हुई सुरक्षा का दस्तावेजीकरण किया। इसमें डेटा शामिल था कि 2014 से 2016 तक HTTPS कार्यान्वयन कैसे बढ़ा, 50% से अधिक वेब पेज HTTPS से लोड हुए, और Chrome ब्राउज़र पर बिताया गया दो-तिहाई समय HTTPS के साथ था।

Google सुरक्षा ब्लॉग का यह ग्राफ़ इस बात की पूरी तस्वीर प्रस्तुत करता है कि कितनी वेबसाइटों ने HTTPS का उपयोग करना शुरू किया:

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

छवि: गूगल।

2017 में, Google ने और भी अधिक दबाव डालना शुरू किया। इसने घोषणा की कि जनवरी से, HTTP वेब पेज जो पासवर्ड और/या क्रेडिट कार्ड की जानकारी एकत्र करते हैं, उन्हें “सुरक्षित नहीं” के रूप में लेबल किया जाएगा। यह बदलाव क्रोम संस्करण 56 का हिस्सा होगा।

फिर अप्रैल 2017 में, सर्च इंजन जायंट ने चीजों को एक कदम आगे बढ़ाया, यह घोषणा करते हुए कि उस वर्ष अक्टूबर से, क्रोम 62 दो अतिरिक्त स्थितियों में “सुरक्षित नहीं” चेतावनी दिखाएगा: जब उपयोगकर्ता HTTP पृष्ठ पर डेटा दर्ज करते हैं, और सभी HTTP पर गुप्त मोड में विज़िट किए गए पृष्ठ.

Google ने हाइलाइट किया कि क्रोम 56 में परिवर्तन के बाद से, डेस्कटॉप पर पासवर्ड या क्रेडिट कार्ड फॉर्म वाले HTTP पृष्ठों की विज़िट की संख्या में 23% की कमी आई है।

फरवरी में, Google ने “एक सुरक्षित वेब यहां रहने के लिए है” की घोषणा करते हुए अपना नवीनतम HTTP बनाया। Chrome 68 की रिलीज़ के साथ, HTTPS का उपयोग नहीं करने वाले सभी वेब पेजों को “सुरक्षित नहीं” के रूप में चिह्नित किया जाएगा।

त्वरित मार्गदर्शिका: HTTPS के साथ अपनी साइट को सुरक्षित करना

यदि आप सुनिश्चित नहीं हैं कि आपकी साइट HTTPS का उपयोग कर रही है, तो अपना URL जांचें। अगर आपको अपने डोमेन नाम के आगे “https” दिखाई देता है तो आपकी साइट सुरक्षित है।

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

एसएसएल प्रमाणपत्र स्थापित करना उन पहली चीजों में से एक था जो मैंने अपनी साइट की स्थापना करते समय की थी।

यदि आपका URL “http” से शुरू होता है तो यह असुरक्षित है और आपके ब्राउज़र के आधार पर कुछ इस तरह दिखाई देगा:

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

एबीसी न्यूज ने अभी भी मार्च 2018 तक एचटीटीपीएस सेट नहीं किया है!

उम्मीद है, इंटरनेट परियों ने आपको एक सुरक्षित HTTPS साइट का आशीर्वाद दिया है और आप अपने दिन के बारे में जा सकते हैं और इस गाइड को पढ़ना बंद कर सकते हैं।

सौभाग्य से, एक एसएसएल (सिक्योर सॉकेट लेयर) प्रमाणपत्र स्थापित करने के बारे में सबसे अच्छी बात – जिसे आपको अपनी साइट पर एचटीटीपीएस सक्षम करने की आवश्यकता है – यह है कि इसे स्थापित करना आसान है। एक बार यह हो जाने के बाद, आपको केवल आगंतुकों को HTTP के बजाय HTTPS का उपयोग करने के लिए रूट करना है।

लेकिन अगर आपकी साइट पर HTTPS नहीं है, तो शुरुआत करने का तरीका यहां दिया गया है।

नोट: मैं WP रॉकेट के लिए HTTPS के लिए अधिक गहन मार्गदर्शिका पर काम कर रहा हूं, इसलिए इस स्थान को देखें!

क्या मुझे एक समर्पित आईपी पता चाहिए?

हाल के वर्षों तक, एसएसएल प्रमाणपत्र स्थापित करना केवल तभी संभव था जब आपके पास अपनी वेबसाइट के लिए एक समर्पित आईपी पता हो। हालांकि, एसएनआई (सर्वर नेम इंडिकेशन) नामक एक तकनीक, जो अब वेब सर्वर पर मानक है, ने एक साझा आईपी पते पर कई प्रमाणपत्रों को स्थापित करने की अनुमति देकर इस समस्या को हल किया।

एकमात्र समस्या पुराने वेब ब्राउज़र के साथ है जो एसएनआई के लिए समर्थन प्रदान नहीं कर सकता है। यह वह जगह है जहां एक समर्पित आईपी पता सभी आधारों को कवर करने में मदद कर सकता है।

1. एक प्रमाणपत्र खरीदें

कुछ होस्टिंग प्रदाता अपनी योजनाओं के साथ मुफ्त एसएसएल प्रदान करते हैं। साइटग्राउंड एक वर्डप्रेस प्रबंधित होस्ट है जो प्रत्येक खाते के साथ नि: शुल्क लेट्स एनक्रिप्ट एसएसएल प्रमाणपत्र प्रदान करता है।

Kinsta Let’s Encrypt को भी सपोर्ट करता है और बिना किसी अतिरिक्त लागत के ग्राहकों को मुफ्त SSL सपोर्ट प्रदान करता है।

यदि आपका होस्टिंग प्रदाता मुफ्त एसएसएल प्रमाणपत्र प्रदान नहीं करता है, तो आपको अपने वेब होस्ट के माध्यम से किसी तीसरे पक्ष से एक खरीदना पड़ सकता है। Bluehost जैसे कुछ होस्टिंग प्रदाता उन्हें लगभग $50 में बेचते हैं।

एसएसएल प्रमाणपत्रों के बारे में अधिक जानकारी के लिए आइए एनक्रिप्ट करें देखें। यह इंटरनेट सुरक्षा अनुसंधान समूह द्वारा जनता के लाभ के लिए चलाया जाने वाला एक स्वतंत्र और खुला प्रमाणपत्र प्राधिकरण है।

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

लेट्स एनक्रिप्ट वेबसाइट।

2. एक प्रमाणपत्र हस्ताक्षर अनुरोध (सीएसआर) उत्पन्न करें

एक बार जब आपके पास एसएसएल प्रमाणपत्र हो जाता है, तो आप या तो अपने वेब होस्ट को इसे अपने सर्वर पर स्थापित करने के लिए कहते हैं, या इसे स्वयं सेट अप करते हैं।

इसे स्वयं सेट अप करने के लिए, आपको एक प्रमाणपत्र हस्ताक्षर अनुरोध जनरेट करना होगा। मूल रूप से, यह उस सर्वर और डोमेन की पहचान करता है जिसके साथ आप अपने प्रमाणपत्र का उपयोग करेंगे।

ऐसा करने के निर्देश आपके सर्वर के आधार पर अलग-अलग होंगे, लेकिन आम तौर पर, आपको इसकी आवश्यकता होगी:

  • सिक्योर शेल (SSH) के माध्यम से अपने सर्वर से कनेक्ट करें
  • एक कंसोल कमांड चलाएँ
  • अपना URL और व्यवसाय विवरण दर्ज करें
  • टेक्स्ट को अपने खाते के एसएसएल अनुरोध क्षेत्र में कॉपी और पेस्ट करें

आपके सर्वर के साथ क्या काम करेगा इसके लिए आपको अपने वेब होस्ट से जांच करनी होगी। एक उदाहरण के रूप में, यहाँ GoDaddy उपयोगकर्ताओं के लिए निर्देश दिए गए हैं।

3. वर्डप्रेस को एसएसएल और एचटीटीपीएस का उपयोग करने के लिए कहें

अंतिम चरण यह सुनिश्चित करना है कि वर्डप्रेस को पता चले कि अब आप एसएसएल और एचटीटीपीएस का उपयोग कर रहे हैं।

अपने वर्डप्रेस डैशबोर्ड पर जाएं और जाएं सेटिंग्स> सामान्य. “वर्डप्रेस एड्रेस (URL)” और “साइट एड्रेस (URL)” फ़ील्ड तक नीचे स्क्रॉल करें और “http: //” को “https: //” से बदलें।

Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

अपने परिवर्तनों को सहेजें और यदि आप एक नई वेबसाइट के लिए एसएसएल सेट कर रहे हैं तो आपका काम हो गया।

यदि आप इसे किसी मौजूदा वेबसाइट के लिए सेट कर रहे हैं, हालांकि, अभी कुछ और कदम उठाने हैं।

आपको वर्डप्रेस को HTTP से आपकी साइट के अधिक सुरक्षित HTTPS संस्करण पर रीडायरेक्ट करने के लिए कहना होगा। ऐसा करने के लिए, FTP, cPanel या आपके होस्ट द्वारा प्रदान की जाने वाली किसी भी अन्य विधि का उपयोग करें और अपनी साइट की रूट डायरेक्टरी में .htaccess फ़ाइल खोलें (या एक बनाएँ)।

फ़ाइल में पहले से मौजूद किसी भी चीज़ के ऊपर निम्न कोड पेस्ट करें:

https://gist.github.com/raewrites/5760b23cb3000778d97ea8e7159f123a

अब, यह सुनिश्चित करने के लिए अपनी साइट पर जाएँ कि यह काम करती है। यदि “https: //” आपके URL के बगल में एक हरे रंग के पैडलॉक के साथ दिखाई देता है, तो आप जाने के लिए बिल्कुल तैयार हैं।

वर्डप्रेस मल्टीसाइट के लिए अतिरिक्त चरण

अगर आप HTTPS को अपने मल्टीसाइट एडमिन एरिया या लॉगिन पेज में जोड़ना चाहते हैं, तो आपको अपनी wp-config.php फ़ाइल में SSL को भी कॉन्फ़िगर करना होगा।

“बस इतना ही, संपादन बंद करो!” के ऊपर निम्नलिखित कोड जोड़ें। रेखा:

https://gist.github.com/raewrites/dc6a5c3dc162c3964dd7dec0e7bf378d

HTTPS का भविष्य

Google वेब को हर किसी के लिए सुरक्षित बनाने का इरादा रखता है, इसलिए क्रोम उपयोगकर्ताओं पर HTTPS को लागू करने के लिए इसका वर्षों पुराना दबाव है। क्योंकि जब आपकी वेबसाइट की बात आती है, तो आपके उपयोगकर्ताओं की सुरक्षा सर्वोच्च प्राथमिकता होनी चाहिए।

जुलाई में Chrome 68 के तेज़ी से रिलीज़ होने के साथ, अगर आपको पहले से अपनी साइट पर SSL प्रमाणपत्र और HTTPS सेट अप नहीं मिला है, तो आपको तुरंत परिवर्तन करने की आवश्यकता है।

WP रॉकेट के साथ SSL का उपयोग कैसे करें, इस बारे में अधिक जानकारी के लिए, यहां दस्तावेज़ीकरण देखें।

Google के नवीनतम सुरक्षा अद्यतनों के शीर्ष पर बने रहने के लिए, सुरक्षा ब्लॉग का अनुसरण करें।



Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है? Google का लागू करने वाला HTTPS - क्या आपकी वेबसाइट Chrome 68 के लिए तैयार है?

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *