HTTP वि https मध्ये काय फरक आहे? SSL एनक्रिप्शन प्रक्रियेचे तपशीलवार स्पष्टीकरण

इंटरनेटच्या वेगवान विकासामुळे, काही लोक त्यांना पाहिजे ते करतातWechat विपणन,सार्वजनिक खाते जाहिरात, पण तक्रार करतेइंटरनेट मार्केटिंगप्रत्यक्षात काम करत नाहीनवीन माध्यमलोकांसाठी इंटरनेट मार्केटिंग करण्याचा सर्वोत्तम मार्ग म्हणजे सर्च इंजिनड्रेनेजरक्कम.

म्हणूनच, आजकाल शोध इंजिन सर्वात लोकप्रिय आहेतवेब प्रमोशनमार्गांपैकी एक.

शिवाय, Google आणि Baidu या शोध इंजिनांनी सार्वजनिकपणे सांगितले आहे की https शोध इंजिन क्रमवारीत समाविष्ट आहे.

विशेषतःई-कॉमर्सवेबसाइटसाठी, https एन्क्रिप्शन प्रोटोकॉल वापरण्याची शिफारस केली जाते, जे केवळ रँकिंग सुधारण्यात मदत करत नाही तर वापरकर्त्यांना वेबसाइटचा सुरक्षितपणे अनुभव घेण्यास मदत करते.

हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल HTTP प्रोटोकॉल वेब ब्राउझर आणि वेब सर्व्हर दरम्यान माहिती हस्तांतरित करण्यासाठी वापरला जातो. HTTP प्रोटोकॉल स्पष्ट मजकूरात सामग्री पाठवतो आणि कोणत्याही प्रकारचे डेटा एन्क्रिप्शन प्रदान करत नाही. आक्रमणकर्त्याने वेब ब्राउझर आणि वेब सर्व्हरमधील कनेक्शनमध्ये व्यत्यय आणल्यास, HTTP क्रेडिट कार्ड नंबर, पासवर्ड आणि इतर पेमेंट माहिती यासारखी काही संवेदनशील माहिती प्रसारित करण्यासाठी प्रोटोकॉल योग्य नाही.

HTTP प्रोटोकॉलच्या या दोषाचे निराकरण करण्यासाठी, दुसरा प्रोटोकॉल वापरणे आवश्यक आहे: सुरक्षित सॉकेट लेयर हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल HTTPS. डेटा ट्रान्समिशनच्या सुरक्षिततेसाठी, HTTPS HTTP मध्ये SSL प्रोटोकॉल जोडते आणि SSL प्रमाणीकरण करण्यासाठी प्रमाणपत्रांवर अवलंबून असते. सर्व्हर. , आणि ब्राउझर आणि सर्व्हरमधील संप्रेषण एन्क्रिप्ट करा.

XNUMX. HTTP आणि HTTPS च्या मूलभूत संकल्पना

HTTP: इंटरनेटवर सर्वाधिक वापरलेला नेटवर्क प्रोटोकॉल आहे. हा क्लायंट-साइड आणि सर्व्हर-साइड रिक्वेस्ट अँड रिस्पॉन्स स्टँडर्ड (TCP) आहे, जो WWW सर्व्हरवरून स्थानिक ब्राउझरवर हायपरटेक्स्ट प्रसारित करण्यासाठी वापरला जातो. सर्व्हर अधिक आहे कार्यक्षम, परिणामी नेटवर्क हस्तांतरण कमी होते.

HTTPS: हे एक सुरक्षित HTTP चॅनेल आहे. थोडक्यात, हे HTTP ची एक सुरक्षित आवृत्ती आहे, म्हणजेच HTTP मध्ये SSL स्तर जोडणे. HTTPS चा सुरक्षा पाया SSL आहे, त्यामुळे एनक्रिप्शनच्या तपशीलवार सामग्रीसाठी SSL आवश्यक आहे.

HTTPS प्रोटोकॉलची मुख्य कार्ये दोन प्रकारांमध्ये विभागली जाऊ शकतात: एक म्हणजे डेटा ट्रान्समिशनची सुरक्षा सुनिश्चित करण्यासाठी माहिती सुरक्षा चॅनेल स्थापित करणे; दुसरे म्हणजे वेबसाइटच्या सत्यतेची पुष्टी करणे.

XNUMX. HTTP आणि HTTPS मध्ये काय फरक आहे?

HTTP प्रोटोकॉलद्वारे प्रसारित केलेला डेटा एनक्रिप्टेड नसतो, म्हणजेच साध्या मजकुरात. त्यामुळे, खाजगी माहिती प्रसारित करण्यासाठी HTTP प्रोटोकॉल वापरणे अत्यंत असुरक्षित आहे. हा खाजगी डेटा कूटबद्ध आणि प्रसारित केला जाऊ शकतो याची खात्री करण्यासाठी, नेटस्केपने SSL डिझाइन केले आहे. HTTPS साठी (Secure Sockets Layer) प्रोटोकॉलचा जन्म HTTP प्रोटोकॉलद्वारे प्रसारित केलेला डेटा एन्क्रिप्ट करण्यासाठी झाला.

थोडक्यात, HTTPS प्रोटोकॉल हा SSL+HTTP प्रोटोकॉलद्वारे तयार केलेला नेटवर्क प्रोटोकॉल आहे जो एनक्रिप्टेड ट्रान्समिशन आणि ओळख प्रमाणीकरण करू शकतो आणि HTTP प्रोटोकॉलपेक्षा अधिक सुरक्षित आहे.

HTTPS आणि HTTP मधील मुख्य फरक खालीलप्रमाणे आहेत:

• 1. प्रमाणपत्रासाठी अर्ज करण्यासाठी https प्रोटोकॉलला ca कडे जाणे आवश्यक आहे. साधारणपणे, काही विनामूल्य प्रमाणपत्रे असतात, म्हणून विशिष्ट शुल्क आवश्यक असते.
• 2. http हा हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल आहे, माहिती प्लेन टेक्स्टमध्ये प्रसारित केली जाते आणि https एक सुरक्षित ssl एन्क्रिप्टेड ट्रान्सफर प्रोटोकॉल आहे.
• 3. http आणि https पूर्णपणे भिन्न कनेक्शन पद्धती वापरतात आणि भिन्न पोर्ट वापरतात. पूर्वीचे 80 आहे आणि नंतरचे 443 आहे.
• 4. HTTP चे कनेक्शन अतिशय सोपे आणि स्टेटलेस आहे; HTTPS प्रोटोकॉल हा SSL+HTTP प्रोटोकॉलद्वारे तयार केलेला नेटवर्क प्रोटोकॉल आहे जो एनक्रिप्टेड ट्रान्समिशन आणि ओळख प्रमाणीकरण करू शकतो, जो HTTP प्रोटोकॉलपेक्षा सुरक्षित आहे.

XNUMX. HTTPS आणि SSL एन्क्रिप्शन प्रक्रियेचे तपशीलवार स्पष्टीकरण

आम्हा सर्वांना माहीत आहे की तृतीय पक्षांद्वारे संवेदनशील माहिती मिळण्यापासून रोखण्यासाठी HTTPS माहिती कूटबद्ध करू शकते, त्यामुळे अनेक बँकिंग वेबसाइट्स किंवा ई-मेल आणि उच्च सुरक्षा पातळी असलेल्या इतर सेवा HTTPS प्रोटोकॉल वापरतील.

1. क्लायंट HTTPS विनंती सुरू करतो

हे सांगण्यासारखे काही नाही, म्हणजे, वापरकर्ता ब्राउझरमध्ये https URL प्रविष्ट करतो आणि नंतर सर्व्हरच्या 443 पोर्टशी कनेक्ट होतो.

2. सर्व्हर कॉन्फिगरेशन

HTTPS प्रोटोकॉल वापरणार्‍या सर्व्हरकडे डिजिटल प्रमाणपत्रांचा संच असणे आवश्यक आहे, जे स्वतः बनवले जाऊ शकते किंवा संस्थेला लागू केले जाऊ शकते. फरक असा आहे की स्वतःद्वारे जारी केलेले प्रमाणपत्र क्लायंटने प्रवेश करणे सुरू ठेवण्यापूर्वी त्याची पडताळणी करणे आवश्यक आहे. विश्वसनीय कंपनीने लागू केलेले प्रमाणपत्र नाही. एक प्रॉम्प्ट पृष्ठ पॉप अप होईल.

प्रमाणपत्रांचा हा संच प्रत्यक्षात सार्वजनिक की आणि खाजगी की ची जोडी आहे. जर तुम्हाला सार्वजनिक की आणि खाजगी की समजत नसेल, तर तुम्ही ती की आणि लॉक म्हणून कल्पना करू शकता, परंतु तुम्ही जगातील एकमेव व्यक्ती आहात ज्यांच्याकडे ही किल्ली. तुम्ही लॉक लॉक करू शकता. इतरांकडे जा, इतर लोक या लॉकचा वापर महत्त्वाच्या गोष्टी लॉक करण्यासाठी करू शकतात आणि नंतर ते तुम्हाला पाठवू शकतात, कारण ही किल्ली फक्त तुमच्याकडे आहे, त्यामुळे या लॉकद्वारे लॉक केलेल्या गोष्टी तुम्हीच पाहू शकता.

3. प्रमाणपत्र पाठवा

हे प्रमाणपत्र प्रत्यक्षात सार्वजनिक की आहे, परंतु त्यात बरीच माहिती आहे, जसे की प्रमाणपत्र प्राधिकरण, कालबाह्यता वेळ आणि असेच.

4. क्लायंट पार्सिंग प्रमाणपत्र

कामाचा हा भाग क्लायंटच्या TLS द्वारे केला जातो. प्रथम, ते सार्वजनिक की वैध आहे की नाही हे तपासेल, जसे की जारी करणारा अधिकार, कालबाह्यता वेळ इ. अपवाद आढळल्यास, एक चेतावणी बॉक्स पॉप अप होईल, जो सूचित करेल प्रमाणपत्रात समस्या आहे.

प्रमाणपत्रामध्ये कोणतीही अडचण नसल्यास, एक यादृच्छिक मूल्य तयार करा, आणि नंतर यादृच्छिक मूल्य एनक्रिप्ट करण्यासाठी प्रमाणपत्राचा वापर करा, वर नमूद केल्याप्रमाणे, यादृच्छिक मूल्य लॉकसह लॉक करा, जेणेकरून एक कळ असल्याशिवाय, तुम्ही पाहू शकत नाही. लॉक केलेले मूल्य सामग्री.

5. एनक्रिप्टेड माहितीचे प्रसारण

हा भाग प्रमाणपत्रासह एनक्रिप्ट केलेले यादृच्छिक मूल्य प्रसारित करतो. सर्व्हरला हे यादृच्छिक मूल्य मिळावे हा उद्देश आहे आणि नंतर क्लायंट आणि सर्व्हरमधील संप्रेषण या यादृच्छिक मूल्याद्वारे कूटबद्ध आणि डिक्रिप्ट केले जाऊ शकते.

6. सेवा विभाग डिक्रिप्शन माहिती

सर्व्हरने खाजगी की सह डिक्रिप्ट केल्यानंतर, ते क्लायंटने पाठवलेले यादृच्छिक मूल्य (खाजगी की) प्राप्त करते, आणि नंतर मूल्याद्वारे सममितीयरित्या सामग्री एन्क्रिप्ट करते. अशा प्रकारे, खाजगी की ज्ञात असल्याशिवाय, सामग्री प्राप्त करणे शक्य नाही, आणि क्लायंट आणि सर्व्हर दोघांनाही खाजगी की माहित आहे, म्हणून जोपर्यंत एनक्रिप्शन अल्गोरिदम पुरेसे मजबूत आहे आणि खाजगी की पुरेशी जटिल आहे, तोपर्यंत डेटा पुरेसा सुरक्षित आहे.

7. एनक्रिप्टेड माहितीचे प्रसारण

माहितीचा हा भाग म्हणजे सेवा विभागाच्या खाजगी की द्वारे एनक्रिप्ट केलेली माहिती आहे आणि क्लायंटच्या बाजूने पुनर्संचयित केली जाऊ शकते.

8. क्लायंट डिक्रिप्शन माहिती

क्लायंट पूर्वी व्युत्पन्न केलेल्या खाजगी कीसह सेवा विभागाद्वारे पाठवलेली माहिती डिक्रिप्ट करतो आणि अशा प्रकारे डिक्रिप्ट केलेली सामग्री प्राप्त करतो. जरी तृतीय पक्ष संपूर्ण प्रक्रियेदरम्यान डेटाचे निरीक्षण करत असला तरीही तो असहाय्य आहे.

चौथे, एचटीटीपीएसकडे शोध इंजिनची वृत्ती

Baidu ने वापरकर्त्याच्या गोपनीयतेचे "तृतीय पक्ष" स्निफिंग आणि हायजॅकिंग सोडवण्यासाठी एक पूर्ण-साइट HTTPS एनक्रिप्टेड शोध सेवा सुरू केली. खरेतर, मे 2010 पासून, Google ने HTTPS वेब पृष्ठे क्रॉल करून HTTPS एनक्रिप्टेड शोध सेवा प्रदान करण्यास सुरुवात केली. मुद्दा, Baidu ने सप्टेंबर 5 मध्ये एका घोषणेमध्ये सांगितले की "Baidu सक्रियपणे HTTPS वेब पृष्ठे क्रॉल करणार नाही", तर Google ने अल्गोरिदम अपडेटमध्ये सांगितले की "त्याच परिस्थितीत, HTTPS एन्क्रिप्शन तंत्रज्ञान वापरणाऱ्या साइट्सना शोध रँकिंग अधिक चांगले असेल. फायदा".

तर, या मोठ्या वातावरणात, वेबमास्टर्सनी "जोखमीचा" HTTPS प्रोटोकॉल स्वीकारावा का? शोध इंजिनांसाठी HTTPSएसइओप्रभावाचे काय?

1. Google ची वृत्ती

HTTPS साइट्सबद्दल Google चा दृष्टीकोन HTTP साइट्सबद्दलच्या त्याच्या दृष्टिकोनापेक्षा वेगळा नाही आणि शोध रँकिंग अल्गोरिदममध्ये संदर्भ घटक म्हणून "सुरक्षित एन्क्रिप्शन वापरायचे की नाही" (HTTPS) देखील घेते. HTTPS एन्क्रिप्शन तंत्रज्ञान वापरणाऱ्या वेबसाइट्स चांगले परिणाम मिळवू शकतात. अधिक प्रदर्शन संधी, आणि रँकिंग समान साइट्सच्या HTTP साइट्सपेक्षा अधिक फायदेशीर आहे.

आणि Google ने स्पष्ट केले आहे की ते "आशा करते की सर्व वेबमास्टर HTTP ऐवजी HTTPS प्रोटोकॉल वापरण्यास सक्षम असतील", जे "HTTPS सर्वत्र" चे ध्येय साध्य करण्याचा त्यांचा दृढनिश्चय दर्शवते.

2. Baidu ची वृत्ती

भूतकाळात, Baidu चे तंत्रज्ञान तुलनेने मागासलेले होते, "ते सक्रियपणे https पृष्ठे क्रॉल करणार नाही" असे म्हणत होते, परंतु ते "अनेक https पृष्ठे समाविष्ट केले जाऊ शकत नाहीत" याबद्दल देखील "चिंता" होते. 2014 सप्टेंबर 9 पर्यंत, Baidu ने यावर चर्चा जारी केली "https साइट्स कशा तयार करायच्या." "https साईट्सची Baidu-मित्रत्व सुधारण्यासाठी" चार सूचना आणि विशिष्ट कृती देणारा "Baidu साठी अनुकूल" या अंकावर एक लेख प्रकाशित करण्यात आला:

1. Baidu शोध इंजिनद्वारे अनुक्रमित करणे आवश्यक असलेल्या https पृष्ठांसाठी http प्रवेशयोग्य आवृत्त्या बनवा.

2. वापरकर्ता-एजंटद्वारे अभ्यागताचा न्याय करा आणि B सेट कराaiडस्पाइडर http पृष्ठावर निर्देशित केले जाते. जेव्हा सामान्य वापरकर्ते Baidu शोध इंजिनद्वारे पृष्ठास भेट देतात, तेव्हा त्यांना 301 द्वारे संबंधित https पृष्ठावर पुनर्निर्देशित केले जाईल.आकृतीमध्ये दाखवल्याप्रमाणे, वरील चित्र Baidu मध्ये समाविष्ट केलेली http आवृत्ती दाखवते आणि तळातील चित्र दाखवते की क्लिक केल्यानंतर वापरकर्ते आपोआप https आवृत्तीवर जातील.

3. http आवृत्ती केवळ मुख्यपृष्ठासाठी बनलेली नाही, इतर महत्त्वाच्या पृष्ठांना देखील http आवृत्ती बनवणे आणि एकमेकांशी लिंक करणे आवश्यक आहे. असे करू नका: मुख्यपृष्ठ http पृष्ठावरील लिंक अद्याप https पृष्ठाशी जोडलेली आहे, ज्यामुळे Baiduspider क्रॉल करणे सुरू ठेवू शकत नाही—— आम्हाला अशी परिस्थिती आली आहे की आम्ही संपूर्ण साइटसाठी फक्त एक मुख्यपृष्ठ समाविष्ट करू शकतो.

4. काही सामग्री ज्यांना कूटबद्ध करण्याची आवश्यकता नाही, जसे की माहिती, द्वितीय-स्तरीय डोमेन नावाद्वारे वाहून नेली जाऊ शकते.उदाहरणार्थअलिपेसाइट, कोर एनक्रिप्टेड सामग्री https वर ठेवली आहे, Baiduspider द्वारे थेट पकडता येणारी सामग्री द्वितीय-स्तरीय डोमेन नावावर ठेवली आहे.

खालील लिंकमधील कॉम्प्युटर सायन्स हाऊसच्या चाचणीनुसार, HTTP साठी कनेक्शन स्थापित करण्यासाठी 114 मिलीसेकंद लागतात; HTTPS साठी कनेक्शन स्थापित करण्यासाठी 436 मिलीसेकंद आणि नेटवर्क विलंब आणि ओव्हरहेडसह SSL भागासाठी 322 मिलीसेकंद लागतात एसएसएलच्याच एन्क्रिप्शन आणि डिक्रिप्शनचे (सर्व्हर क्लायंटच्या माहितीवर आधारित आहे). नवीन मास्टर की व्युत्पन्न करणे आवश्यक आहे की नाही हे निश्चित करा; सर्व्हर मास्टर कीला उत्तर देतो आणि क्लायंटला मास्टर कीसह प्रमाणीकृत संदेश परत करतो ; सर्व्हर क्लायंटला डिजिटल स्वाक्षरी आणि सार्वजनिक कीसाठी विनंती करतो).

XNUMX. HTTP पेक्षा HTTPS किती संसाधने वापरते?

HTTPS हा प्रत्यक्षात SSL/TLS च्या वर तयार केलेला HTTP प्रोटोकॉल आहे. म्हणून, HTTP पेक्षा HTTPS द्वारे किती जास्त सर्व्हर संसाधने वापरली जातात याची तुलना करण्यासाठी,चेन वेइलांगमला वाटते की हे प्रामुख्याने SSL/TLS द्वारे किती सर्व्हर संसाधने वापरतात यावर अवलंबून असते.

HTTP कनेक्शन स्थापित करण्यासाठी TCP थ्री-वे हँडशेक वापरते आणि क्लायंट आणि सर्व्हरला 3 पॅकेट्सची देवाणघेवाण करणे आवश्यक आहे;

TCP च्या तीन पॅकेट्स व्यतिरिक्त, HTTPS ssl हँडशेकसाठी आवश्यक 9 पॅकेट देखील जोडते, त्यामुळे एकूण 12 पॅकेट्स आहेत.

SSL कनेक्शन स्थापित झाल्यानंतर, त्यानंतरची एन्क्रिप्शन पद्धत 3DES सारखी सममितीय एन्क्रिप्शन पद्धत बनते, ज्यामध्ये हलका CPU लोड असतो. SSL कनेक्शन स्थापित झाल्यावर असममित एन्क्रिप्शन पद्धतीच्या तुलनेत, CPU वरील सममित एनक्रिप्शन पद्धतीचा भार मुळात दुर्लक्ष केले जाऊ शकते. , त्यामुळे समस्या येत आहे. तुम्ही वारंवार ssl सत्र पुन्हा तयार केल्यास, सर्व्हरच्या कार्यक्षमतेवर होणारा परिणाम घातक ठरेल. जरी HTTPS Keep-alive उघडल्याने एकाच कनेक्शनच्या कार्यप्रदर्शन समस्या दूर होऊ शकते, परंतु ते यासाठी योग्य नाही मोठ्या प्रमाणात समवर्ती वापरकर्त्यांसह मोठ्या प्रमाणात वेबसाइट्स. , लोड शेअरिंगवर आधारित स्वतंत्र SSL टर्मिनेशन प्रॉक्सी आवश्यक आहे. वेब सेवा SSL टर्मिनेशन प्रॉक्सी नंतर ठेवली जाते. SSL टर्मिनेशन प्रॉक्सी हार्डवेअर-आधारित असू शकते, जसे की F5; किंवा त्यावर आधारित असू शकतेसॉफ्टवेअरहोय, उदाहरणार्थ, विकिपीडिया Nginx वापरतो.

HTTPS स्वीकारल्यानंतर, आणखी किती सर्व्हर संसाधने वापरली जातील, जानेवारी 2010GmailHTTPS च्या पूर्ण वापरावर स्विच केल्याने, फ्रंट-एंड प्रोसेसिंग SSL मशीनचा CPU लोड 1% पेक्षा जास्त वाढणार नाही, प्रत्येक कनेक्शनचा मेमरी वापर 20KB पेक्षा कमी असेल आणि नेटवर्क रहदारी 2% पेक्षा कमी वाढेल. . Gmail ने वितरित प्रक्रियेसाठी N सर्व्हरचा वापर केला पाहिजे, म्हणून CPU लोड डेटाला जास्त संदर्भ महत्त्व नाही. प्रत्येक कनेक्शनचा मेमरी वापर आणि नेटवर्क रहदारी डेटा संदर्भ महत्त्वाचा आहे. हा लेख देखील सूचीबद्ध करतो की एक कोर सुमारे 1500 हँडशेक हाताळतो. प्रति सेकंद (1024-बिट RSA साठी). ), हा डेटा अतिशय माहितीपूर्ण आहे.

XNUMX. HTTPS चे फायदे

हे तंतोतंत आहे कारण HTTPS अतिशय सुरक्षित आहे की आक्रमणकर्त्यांना प्रारंभ करण्यासाठी जागा सापडत नाही. वेबमास्टर्सच्या दृष्टीकोनातून, HTTPS चे फायदे खालीलप्रमाणे आहेत:

1. एसइओ पैलू

Google ने ऑगस्ट 2014 मध्ये त्याचे शोध इंजिन अल्गोरिदम समायोजित केले, असे म्हटले की "HTTPS सह एनक्रिप्ट केलेली साइट शोध परिणामांमध्ये समतुल्य HTTP साइटपेक्षा उच्च स्थानावर असेल".

2. सुरक्षा

जरी HTTPS पूर्णपणे सुरक्षित नसले तरी, मूळ प्रमाणपत्रांवर प्रभुत्व मिळविणाऱ्या संस्था आणि एनक्रिप्शन अल्गोरिदमवर प्रभुत्व मिळवणाऱ्या संस्था मॅन-इन-द-मिडल हल्ले देखील करू शकतात, परंतु HTTPS हे सध्याच्या आर्किटेक्चर अंतर्गत सर्वात सुरक्षित उपाय आहे, ज्याचे खालील फायदे आहेत:

(1) डेटा योग्य क्लायंट आणि सर्व्हरला पाठवला गेला आहे याची खात्री करण्यासाठी वापरकर्ते आणि सर्व्हरचे प्रमाणीकरण करण्यासाठी HTTPS प्रोटोकॉल वापरा;

(२) HTTPS प्रोटोकॉल हा SSL+HTTP प्रोटोकॉलद्वारे तयार केलेला नेटवर्क प्रोटोकॉल आहे जो एनक्रिप्टेड ट्रान्समिशन आणि ओळख प्रमाणीकरण करू शकतो. हे HTTP प्रोटोकॉलपेक्षा सुरक्षित आहे, जे ट्रान्समिशन प्रक्रियेदरम्यान डेटा चोरीला जाण्यापासून आणि बदलण्यापासून रोखू शकते आणि हे सुनिश्चित करू शकते. डेटाची अखंडता.

(३) HTTPS हे सध्याच्या आर्किटेक्चर अंतर्गत सर्वात सुरक्षित उपाय आहे. जरी ते पूर्णपणे सुरक्षित नसले तरी ते मनुष्य-मध्य-मध्यम हल्ल्यांची किंमत मोठ्या प्रमाणात वाढवते.

XNUMX. HTTPS चे तोटे

जरी HTTPS चे मोठे फायदे आहेत, तरीही त्यात काही कमतरता आहेत. विशेषत:, खालील दोन मुद्दे आहेत:

1. एसइओ पैलू

ACM ConexT डेटानुसार, HTTPS प्रोटोकॉल वापरल्याने पेज लोड होण्याचा वेळ जवळपास 50% वाढेल आणि पॉवरचा वापर 10% ते 20% वाढेल. याव्यतिरिक्त, HTTPS प्रोटोकॉल कॅशेवर देखील परिणाम करेल, डेटा ओव्हरहेड आणि पॉवर वापर वाढवेल. , आणि अगदी विद्यमान सुरक्षा उपाय देखील प्रभावित होतील आणि त्यानुसार प्रभावित होतील.

शिवाय, HTTPS प्रोटोकॉलचा एन्क्रिप्शन स्कोप तुलनेने मर्यादित आहे आणि ते हॅकर हल्ले, सर्व्हिस हल्ले नाकारणे आणि सर्व्हर हायजॅकमध्ये कोणतीही भूमिका बजावत नाही.

सर्वात महत्त्वाचे म्हणजे, SSL प्रमाणपत्रांची क्रेडिट शृंखला प्रणाली सुरक्षित नाही, विशेषत: जेव्हा काही देश CA रूट प्रमाणपत्र नियंत्रित करू शकतात, तेव्हा मॅन-इन-द-मध्यम हल्ले व्यवहार्य असतात.

2. आर्थिक पैलू

(1) SSL प्रमाणपत्रांना पैशांची गरज आहे. प्रमाणपत्र जितके अधिक शक्तिशाली तितकी किंमत जास्त. वैयक्तिक वेबसाइट विनामूल्य SSL प्रमाणपत्रे वापरू शकतात.

(2) SSL प्रमाणपत्रांना सहसा IP ला बंधनकारक असणे आवश्यक आहे, आणि एकाधिक डोमेन नावे समान IP वर बांधली जाऊ शकत नाहीत. IPv4 संसाधने या वापरास समर्थन देऊ शकत नाहीत (SSL मध्ये विस्तार आहेत जे या समस्येचे अंशतः निराकरण करू शकतात, परंतु ते त्रासदायक आहे आणि ब्राउझरची आवश्यकता आहे, ऑपरेशन सिस्टम समर्थन, Windows XP या विस्तारास समर्थन देत नाही, XP चा स्थापित बेस लक्षात घेता, हे वैशिष्ट्य जवळजवळ निरुपयोगी आहे).

(3) HTTPS कनेक्शन कॅशिंग HTTP प्रमाणे कार्यक्षम नाही, आणि उच्च-रहदारी वेबसाइट आवश्यक असल्याशिवाय त्याचा वापर करणार नाहीत आणि रहदारीची किंमत खूप जास्त आहे.

(4) HTTPS कनेक्‍शन सर्व्हर-साइड संसाधनाचा वापर खूप जास्त आहे, आणि थोडे अधिक अभ्यागत असलेल्या वेबसाइटना सपोर्ट करण्‍यासाठी मोठ्या खर्चाची आवश्‍यकता आहे. सर्व HTTPS वापरले असल्यास, बहुतांश संगणकीय संसाधने निष्क्रिय आहेत या गृहितकावर आधारित VPS ची सरासरी किंमत वर जाईल.

(5) HTTPS प्रोटोकॉलचा हँडशेक टप्पा वेळ घेणारा आहे आणि वेबसाइटच्या संबंधित गतीवर नकारात्मक प्रभाव पाडतो. जर ते आवश्यक नसेल, तर वापरकर्त्याच्या अनुभवाचा त्याग करण्याचे कोणतेही कारण नाही.

XNUMX. वेबसाइट HTTPS सह एनक्रिप्ट करणे आवश्यक आहे का?

जरी Google आणि Baidu दोघेही "HTTPS कडे वेगळ्या प्रकारे पाहतात", याचा अर्थ असा नाही की वेबमास्टर्सनी वेबसाइट प्रोटोकॉल HTTPS मध्ये रूपांतरित केले पाहिजे!

सर्व प्रथम, Google बद्दल बोलूया. जरी Google "HTTPS एन्क्रिप्शन तंत्रज्ञानाचा वापर करणार्या वेबसाइट्सना अधिक चांगली रँकिंग मिळू शकते" यावर जोर देत असले तरी, ही एक "अंतिम हेतू" चाल आहे हे नाकारता येत नाही.

परदेशी विश्लेषकांनी एकदा या समस्येला प्रतिसाद देताना म्हटले: Google ने ही हालचाल का केली (अल्गोरिदम अद्यतनित करा, शोध इंजिन रँकिंगसाठी संदर्भ घटक म्हणून HTTPS एन्क्रिप्शन तंत्रज्ञान वापरायचे की नाही) वापरकर्त्याचा शोध अनुभव आणि इंटरनेट सुधारण्यासाठी असू शकत नाही. सुरक्षेचा मुद्दा हा फक्त "प्रिझम गेट" घोटाळ्यातील "नुकसान" भरून काढण्यासाठी आहे. "सेक्युरिटी इम्पॅक्ट रँकिंग" चे बॅनर उंच धरून "HTTPS" चा उच्चार करत "अहंकाराचा त्याग करा" या बॅनरखाली ही एक सामान्य स्वार्थी चाल आहे. सर्वत्र" ” स्लोगन, आणि नंतर सहजतेने बहुसंख्य वेबमास्टर्सना स्वेच्छेने HTTPS प्रोटोकॉल कॅम्पमध्ये सामील होऊ द्या.

तुमची वेबसाइट मालकीची असल्यासई-कॉमर्स/वेचॅटप्लॅटफॉर्म, फायनान्स, सोशल नेटवर्किंग आणि इतर फील्डसाठी, HTTPS प्रोटोकॉल वापरणे सर्वोत्तम आहे; जर ती ब्लॉग साइट, जाहिरात साइट, एक वर्गीकृत माहिती साइट किंवा बातम्या साइट असेल, तर विनामूल्य SSL प्रमाणपत्र वापरले जाऊ शकते.

XNUMX. वेबमास्टर HTTPS साइट कशी तयार करतो?

जेव्हा HTTPS साइट्सच्या बांधकामाचा विचार केला जातो तेव्हा आम्हाला SSL प्रोटोकॉलचा उल्लेख करावा लागेल. SSL हा नेटस्केपने स्वीकारलेला पहिला नेटवर्क सुरक्षा प्रोटोकॉल आहे. हा सार्वजनिक की तंत्रज्ञानाचा वापर करून ट्रान्समिशन कम्युनिकेशन प्रोटोकॉल (TCP/IP) वर लागू केलेला सुरक्षा प्रोटोकॉल आहे. , SSL विविध प्रकारच्या नेटवर्कला मोठ्या प्रमाणावर समर्थन देते, तीन मूलभूत सुरक्षा सेवा प्रदान करताना, ते सर्व सार्वजनिक की तंत्रज्ञान वापरतात.

जेव्हा HTTPS साइट्सच्या बांधकामाचा विचार केला जातो तेव्हा आम्हाला SSL प्रोटोकॉलचा उल्लेख करावा लागेल. SSL हा नेटस्केपने स्वीकारलेला पहिला नेटवर्क सुरक्षा प्रोटोकॉल आहे. हा सार्वजनिक की तंत्रज्ञानाचा वापर करून ट्रान्समिशन कम्युनिकेशन प्रोटोकॉल (TCP/IP) वर लागू केलेला सुरक्षा प्रोटोकॉल आहे. , SSL विविध प्रकारच्या नेटवर्कला मोठ्या प्रमाणावर समर्थन देते, तीन मूलभूत सुरक्षा सेवा प्रदान करताना, ते सर्व सार्वजनिक की तंत्रज्ञान वापरतात.

1. SSL ची भूमिका

(1) योग्य क्लायंट आणि सर्व्हरला डेटा पाठवला गेला आहे याची खात्री करण्यासाठी वापरकर्ते आणि सर्व्हरचे प्रमाणीकरण करा;

(२) डेटा चोरीला जाण्यापासून रोखण्यासाठी डेटा एन्क्रिप्ट करा;

(3) डेटाची अखंडता राखा आणि प्रसारण प्रक्रियेदरम्यान डेटा बदलला जाणार नाही याची खात्री करा.

SSL प्रमाणपत्र एक डिजिटल फाइलचा संदर्भ देते जी SSL संप्रेषणातील दोन्ही पक्षांची ओळख सत्यापित करते. हे सामान्यतः सर्व्हर प्रमाणपत्र आणि क्लायंट प्रमाणपत्रात विभागले जाते. आम्ही सहसा म्हणतो ते SSL प्रमाणपत्र मुख्यतः सर्व्हर प्रमाणपत्राचा संदर्भ देते. SSL प्रमाणपत्र आहे विश्वासू डिजिटल प्रमाणपत्र प्राधिकरण CA द्वारे जारी केलेले. (जसे की VeriSign, GlobalSign, WoSign, इ.), सर्व्हरची ओळख सत्यापित केल्यानंतर जारी केलेले, सर्व्हर प्रमाणीकरण आणि डेटा ट्रान्समिशन एन्क्रिप्शन फंक्शन्ससह, विस्तारित प्रमाणीकरण (EV) SSL प्रमाणपत्रामध्ये विभागलेले, ऑर्गनायझेशन व्हॅलिडेशन (OV) SSL प्रमाणपत्र आणि डोमेन नाव पडताळणी प्रकार (DV) SSL प्रमाणपत्र.

2. SSL प्रमाणपत्रासाठी अर्ज करण्यासाठी 3 मुख्य पायऱ्या

SSL प्रमाणपत्रासाठी अर्ज करण्यासाठी तीन मुख्य पायऱ्या आहेत:

(1), एक CSR फाइल बनवा

तथाकथित CSR ही अर्जदाराने तयार केलेली प्रमाणपत्र सुरक्षित विनंती प्रमाणपत्र विनंती फाइल आहे. उत्पादन प्रक्रियेदरम्यान, सिस्टम दोन की व्युत्पन्न करेल, एक सार्वजनिक की आहे, जी CSR फाइल आहे आणि दुसरी खाजगी की आहे, जे सर्व्हरवर साठवले जाते.

CSR फाईल्स तयार करण्यासाठी, अर्जदार वेब सर्व्हर दस्तऐवज, सामान्य APACHE इत्यादींचा संदर्भ घेऊ शकतात, KEY+CSR2 फाइल्स व्युत्पन्न करण्यासाठी OPENSSL कमांड लाइन वापरतात, Tomcat, JBoss, Resin, इ. JKS आणि CSR फाइल्स व्युत्पन्न करण्यासाठी KEYTOOL वापरतात, IIS तयार करते. एक विझार्ड प्रलंबित विनंत्या आणि सीएसआर फाइलद्वारे.

(2), CA प्रमाणपत्र

CA ला CSR सबमिट करा आणि CA कडे साधारणपणे दोन प्रमाणीकरण पद्धती आहेत:

①. डोमेन नाव प्रमाणीकरण: सामान्यतः, प्रशासकाचा मेलबॉक्स प्रमाणीकृत केला जातो. ही पद्धत जलद आहे, परंतु जारी केलेल्या प्रमाणपत्रात एंटरप्राइझचे नाव नाही.

②. एंटरप्राइझ दस्तऐवज प्रमाणन: एंटरप्राइझचा व्यवसाय परवाना प्रदान करणे आवश्यक आहे, ज्यास साधारणपणे 3-5 कार्य दिवस लागतात.

अशी प्रमाणपत्रे देखील आहेत ज्यांना वरील दोन पद्धती एकाच वेळी प्रमाणित करणे आवश्यक आहे, ज्याला EV प्रमाणपत्र म्हणतात. हे प्रमाणपत्र IE2 वरील ब्राउझरचा अॅड्रेस बार हिरवा बनवू शकते, म्हणून प्रमाणीकरण देखील सर्वात कठोर आहे.

(3), प्रमाणपत्राची स्थापना

CA कडून प्रमाणपत्र प्राप्त केल्यानंतर, तुम्ही प्रमाणपत्र सर्व्हरवर उपयोजित करू शकता. साधारणपणे, APACHE फाइल थेट फाइलमध्ये KEY+CER कॉपी करते, आणि नंतर HTTPD.CONF फाइलमध्ये बदल करते; TOMCAT इ., प्रमाणपत्र CER आयात करणे आवश्यक आहे. CA द्वारे JKS फाइलमध्ये जारी केलेली फाइल. , ती सर्व्हरवर कॉपी करा आणि नंतर SERVER.XML सुधारित करा; IIS ला प्रलंबित विनंतीवर प्रक्रिया करणे आणि CER फाइल आयात करणे आवश्यक आहे.

XNUMX. मोफत SSL प्रमाणपत्र शिफारस

SSL प्रमाणपत्र वापरणे केवळ माहितीची सुरक्षा सुनिश्चित करू शकत नाही, परंतु वापरकर्त्याचा वेबसाइटवरील विश्वास देखील सुधारू शकतो, परंतुस्टेशन तयार कराखर्चाचा विचार करता, बरेच वेबमास्टर यापासून परावृत्त आहेत. इंटरनेटवर विनामूल्य हे नेहमीच एक मार्केट आहे जे कधीही शैलीच्या बाहेर जाणार नाही. येथे विनामूल्य होस्टिंग जागा आहेत, आणि नैसर्गिकरित्या विनामूल्य SSL प्रमाणपत्रे आहेत. यापूर्वी असे अहवाल देण्यात आले होते की Mozilla, Cisco , Akamai , IdenTrust, EFF, आणि मिशिगन विद्यापीठातील संशोधक Let's Encrypt CA प्रकल्प सुरू करतील, जे या उन्हाळ्यापासून वेबसाइटसाठी मोफत SSL प्रमाणपत्रे आणि प्रमाणपत्र व्यवस्थापन सेवा प्रदान करण्याची योजना आखत आहेत (टीप: तुम्हाला अधिक प्रगत जटिल प्रमाणपत्रांची आवश्यकता असल्यास, तुम्ही पैसे द्यावे लागतील), आणि त्याच वेळी, आणि प्रमाणपत्र स्थापनेची जटिलता देखील कमी करते, ज्यास फक्त 20-30 सेकंद लागतात.

हे सहसा मोठ्या आणि मध्यम आकाराच्या वेबसाइट्स असतात ज्यांना जटिल प्रमाणपत्रांची आवश्यकता असते आणि वैयक्तिक ब्लॉगसारख्या छोट्या साइट्स प्रथम विनामूल्य SSL प्रमाणपत्रे वापरून पाहू शकतात.

खाली आहेचेन वेइलांगब्लॉग तुम्हाला अनेक मोफत SSL प्रमाणपत्रांची ओळख करून देईल, जसे की: CloudFlare SSL, NameCheap, इ.

1. CloudFlare SSL

CloudFlare ही युनायटेड स्टेट्समधील एक वेबसाइट आहे जी CDN सेवा प्रदान करते. जगभरात तिचे स्वतःचे CDN सर्व्हर नोड्स आहेत. अनेक मोठ्या कंपन्या किंवा देश-विदेशातील वेबसाइट क्लाउडफ्लेअरच्या CDN सेवा वापरत आहेत. अर्थात, देशांतर्गत वेबमास्टर्सद्वारे सर्वात जास्त वापरल्या जाणार्‍या CloudFlare चे विनामूल्य CDN आहे. ते देखील खूप चांगले आहे. CloudFlare द्वारे प्रदान केलेले विनामूल्य SSL प्रमाणपत्र UniversalSSL आहे, म्हणजेच, युनिव्हर्सल SSL, एक SSL प्रमाणपत्र जे वापरकर्ते प्रमाणपत्र प्राधिकरणाकडून प्रमाणपत्रासाठी अर्ज न करता आणि कॉन्फिगर केल्याशिवाय वापरू शकतात. CloudFlare SSL एन्क्रिप्शन प्रदान करते सर्व वापरकर्त्यांना (विनामूल्य वापरकर्त्यांसह), वेब इंटरफेस प्रमाणपत्र 5 मिनिटांच्या आत सेट केले जाते आणि वेबसाइट रहदारीसाठी अंडाकृती वक्र डिजिटल स्वाक्षरी अल्गोरिदम (ECDSA) वर आधारित TLS एन्क्रिप्शन सेवा प्रदान करून 24 तासांच्या आत स्वयंचलित उपयोजन पूर्ण केले जाते.

2. NameCheap

NameCheap ही एक अग्रगण्य ICANN-मान्यताप्राप्त डोमेन नाव नोंदणी आणि वेबसाइट होस्टिंग कंपनी आहे, जी 2000 मध्ये स्थापन झाली आहे, कंपनी विनामूल्य DNS रिझोल्यूशन, URL फॉरवर्डिंग (मूळ URL लपवू शकते, 301 पुनर्निर्देशन समर्थन) आणि इतर सेवा प्रदान करते, याव्यतिरिक्त, NameCheap देखील प्रदान करते SSL प्रमाणपत्र मोफत सेवा वर्षे.

३. एनक्रिप्ट करू

Let's Encrypt हा अलीकडे एक लोकप्रिय विनामूल्य SSL प्रमाणपत्र जारी करणारा प्रकल्प आहे. Let's Encrypt हा ISRG द्वारे प्रदान केलेला एक विनामूल्य आणि विनामूल्य सार्वजनिक कल्याण प्रकल्प आहे, जो आपोआप प्रमाणपत्र जारी करतो, परंतु प्रमाणपत्र फक्त 90 दिवसांसाठी वैध आहे.वैयक्तिक वापरासाठी किंवा तात्पुरत्या वापरासाठी योग्य, यापुढे ब्राउझरद्वारे स्व-स्वाक्षरी केलेले प्रमाणपत्रांवर विश्वास ठेवला जात नाही हे प्रॉम्प्ट सहन करावे लागणार नाही.

खरं तर,चेन वेइलांगब्लॉग अलीकडेच लेट्स एनक्रिप्ट वापरण्याची योजना आखत आहे ^_^

चला विनामूल्य SSL प्रमाणपत्र अनुप्रयोग ट्यूटोरियल एन्क्रिप्ट करूया, कृपया तपशीलांसाठी हा लेख पहा:"Let's Encrypt साठी अर्ज कसा करावा"