HTTP بمقابلہ https کے درمیان کیا فرق ہے؟ SSL خفیہ کاری کے عمل کی تفصیلی وضاحت

انٹرنیٹ کی تیز رفتار ترقی کے ساتھ، کچھ لوگ وہ کرتے ہیں جو وہ چاہتے ہیں۔WeChat مارکیٹنگ،پبلک اکاؤنٹ پروموشن، لیکن شکایت کرتا ہے۔网络 营销کام نہیں کرتا، اصل میںنیا میڈیالوگوں کے لیے انٹرنیٹ مارکیٹنگ کرنے کا بہترین طریقہ سرچ انجن کے ذریعے ہے۔نکاسی آبرقم.

لہذا، سرچ انجن آج کل سب سے زیادہ مقبول ہیں۔ویب پروموشنطریقوں میں سے ایک.

مزید برآں، سرچ انجن گوگل اور بیدو نے عوامی طور پر کہا ہے کہ https سرچ انجن کی درجہ بندی کے طریقہ کار میں شامل ہے۔

خاص طور پرای کامرسویب سائٹس کے لیے، https انکرپشن پروٹوکول استعمال کرنے کی سفارش کی جاتی ہے، جو نہ صرف درجہ بندی کو بہتر بنانے میں مدد کرتا ہے، بلکہ صارفین کو ویب سائٹ کا محفوظ تجربہ کرنے میں بھی مدد کرتا ہے۔

ہائپر ٹیکسٹ ٹرانسفر پروٹوکول HTTP پروٹوکول ویب براؤزر اور ویب سرور کے درمیان معلومات کی منتقلی کے لیے استعمال کیا جاتا ہے۔ HTTP پروٹوکول واضح متن میں مواد بھیجتا ہے اور ڈیٹا انکرپشن کی کوئی شکل فراہم نہیں کرتا ہے۔ اگر کوئی حملہ آور ویب براؤزر اور ویب سرور کے درمیان کنکشن کو روکتا ہے۔ ویب سرور لہذا، HTTP پروٹوکول کچھ حساس معلومات، جیسے کریڈٹ کارڈ نمبر، پاس ورڈ اور دیگر ادائیگی کی معلومات کی ترسیل کے لیے موزوں نہیں ہے۔

HTTP پروٹوکول کی اس خرابی کو دور کرنے کے لیے، ایک اور پروٹوکول استعمال کرنے کی ضرورت ہے: محفوظ ساکٹ لیئر ہائپر ٹیکسٹ ٹرانسفر پروٹوکول HTTPS۔ ڈیٹا ٹرانسمیشن کی حفاظت کے لیے، HTTPS SSL پروٹوکول کو HTTP میں شامل کرتا ہے، اور SSL تصدیق کے لیے سرٹیفکیٹ پر انحصار کرتا ہے۔ سرور، اور براؤزر اور سرور کے درمیان مواصلات کو خفیہ کریں۔

XNUMX. HTTP اور HTTPS کے بنیادی تصورات

HTTP: انٹرنیٹ پر سب سے زیادہ استعمال ہونے والا نیٹ ورک پروٹوکول ہے۔ یہ ایک کلائنٹ سائیڈ اور سرور سائڈ ریکوئسٹ اینڈ رسپانس اسٹینڈرڈ (TCP) ہے، جسے WWW سرور سے مقامی براؤزر میں ہائپر ٹیکسٹ منتقل کرنے کے لیے استعمال کیا جاتا ہے۔ موثر، جس کے نتیجے میں نیٹ ورک کی منتقلی کم ہوتی ہے۔

HTTPS: یہ ایک محفوظ HTTP چینل ہے۔ مختصر یہ کہ یہ HTTP کا ایک محفوظ ورژن ہے، یعنی HTTP میں ایک SSL تہہ شامل کرنا۔ HTTPS کی حفاظتی بنیاد SSL ہے، اس لیے انکرپشن کے تفصیلی مواد کے لیے SSL کی ضرورت ہے۔

ایچ ٹی ٹی پی ایس پروٹوکول کے اہم کاموں کو دو قسموں میں تقسیم کیا جا سکتا ہے: ایک ڈیٹا ٹرانسمیشن کی حفاظت کو یقینی بنانے کے لیے انفارمیشن سیکیورٹی چینل قائم کرنا؛ دوسرا ویب سائٹ کی صداقت کی تصدیق کرنا۔

XNUMX. HTTP اور HTTPS میں کیا فرق ہے؟

HTTP پروٹوکول کے ذریعے منتقل کیا جانے والا ڈیٹا انکرپٹڈ ہے، یعنی سادہ متن میں۔ اس لیے، نجی معلومات کی ترسیل کے لیے HTTP پروٹوکول کا استعمال کرنا بہت غیر محفوظ ہے۔ اس بات کو یقینی بنانے کے لیے کہ ان نجی ڈیٹا کو انکرپٹ اور منتقل کیا جا سکے، Netscape نے ڈیزائن کیا HTTPS کے لیے SSL (Secure Sockets Layer) پروٹوکول HTTP پروٹوکول کے ذریعے منتقل کیے گئے ڈیٹا کو خفیہ کرنے کے لیے پیدا ہوا تھا۔

مختصراً، HTTPS پروٹوکول ایک نیٹ ورک پروٹوکول ہے جو SSL+HTTP پروٹوکول کے ذریعے بنایا گیا ہے جو کہ خفیہ کردہ ٹرانسمیشن اور شناخت کی توثیق کر سکتا ہے، اور HTTP پروٹوکول سے زیادہ محفوظ ہے۔

HTTPS اور HTTP کے درمیان بنیادی فرق مندرجہ ذیل ہیں:

• 1. سرٹیفکیٹ کے لیے درخواست دینے کے لیے https پروٹوکول کو ca پر جانا پڑتا ہے۔ عام طور پر، چند مفت سرٹیفکیٹ ہوتے ہیں، اس لیے ایک مخصوص فیس کی ضرورت ہوتی ہے۔
• 2. HTTP ایک ہائپر ٹیکسٹ ٹرانسفر پروٹوکول ہے، معلومات سادہ متن میں منتقل کی جاتی ہے، اور https ایک محفوظ ایس ایس ایل انکرپٹڈ ٹرانسفر پروٹوکول ہے۔
• 3. HTTP اور https مکمل طور پر مختلف کنکشن کے طریقے استعمال کرتے ہیں اور مختلف پورٹس استعمال کرتے ہیں۔ سابقہ ​​80 ہے اور بعد والا 443 ہے۔
• 4. HTTP کا کنکشن بہت آسان اور بے وطن ہے؛ HTTPS پروٹوکول ایک نیٹ ورک پروٹوکول ہے جسے SSL+HTTP پروٹوکول نے بنایا ہے جو انکرپٹڈ ٹرانسمیشن اور شناخت کی توثیق کر سکتا ہے، جو HTTP پروٹوکول سے زیادہ محفوظ ہے۔

XNUMX. HTTPS اور SSL خفیہ کاری کے عمل کی تفصیلی وضاحت

ہم سب جانتے ہیں کہ HTTPS حساس معلومات کو فریق ثالث کے ذریعے حاصل ہونے سے روکنے کے لیے معلومات کو خفیہ کر سکتا ہے، اس لیے بہت سی بینکنگ ویب سائٹس یا ای میلز اور اعلیٰ حفاظتی سطحوں والی دیگر خدمات HTTPS پروٹوکول استعمال کریں گی۔

1. کلائنٹ ایک HTTPS درخواست شروع کرتا ہے۔

یہ کہنے کے لیے کچھ نہیں ہے، یعنی صارف براؤزر میں https یو آر ایل داخل کرتا ہے، اور پھر سرور کے پورٹ 443 سے جڑ جاتا ہے۔

2. سرور کی ترتیب

HTTPS پروٹوکول استعمال کرنے والے سرور کے پاس ڈیجیٹل سرٹیفکیٹس کا ایک سیٹ ہونا ضروری ہے، جو آپ خود بنا سکتے ہیں یا تنظیم پر لاگو کر سکتے ہیں۔ فرق یہ ہے کہ آپ کی طرف سے جاری کردہ سرٹیفکیٹ کو کلائنٹ کے ذریعہ تصدیق کرنے کی ضرورت ہے اس سے پہلے کہ آپ رسائی جاری رکھ سکیں، جبکہ ایک قابل اعتماد کمپنی کی طرف سے لاگو کردہ سرٹیفکیٹ نہیں ہے. ایک فوری صفحہ پاپ اپ ہو جائے گا.

سرٹیفکیٹس کا یہ مجموعہ دراصل عوامی کلید اور نجی کلید کا ایک جوڑا ہے۔ اگر آپ عوامی کلید اور نجی کلید کو نہیں سمجھتے ہیں، تو آپ اسے ایک چابی اور تالا کے طور پر تصور کر سکتے ہیں، لیکن آپ دنیا میں واحد شخص ہیں جو یہ چابی آپ تالا لگا سکتے ہیں۔ دوسروں کی طرف بڑھیں، دوسرے لوگ اس تالے کا استعمال اہم چیزوں کو لاک کرنے کے لیے کر سکتے ہیں، اور پھر اسے آپ کو بھیج سکتے ہیں، کیونکہ یہ چابی صرف آپ کے پاس ہے، اس لیے صرف آپ ہی اس تالے سے بند چیزوں کو دیکھ سکتے ہیں۔

3. سرٹیفکیٹ بھیجیں۔

یہ سرٹیفکیٹ دراصل عوامی کلید ہے، لیکن اس میں بہت ساری معلومات شامل ہیں، جیسے سرٹیفکیٹ اتھارٹی، میعاد ختم ہونے کا وقت، وغیرہ۔

4. کلائنٹ پارس سرٹیفکیٹ

کام کا یہ حصہ کلائنٹ کے TLS کے ذریعے کیا جاتا ہے۔ سب سے پہلے، یہ اس بات کی تصدیق کرے گا کہ آیا عوامی کلید درست ہے، جیسے جاری کرنے والا اتھارٹی، میعاد ختم ہونے کا وقت وغیرہ۔ سرٹیفکیٹ کے ساتھ ایک مسئلہ ہے.

اگر سرٹیفکیٹ کے ساتھ کوئی مسئلہ نہیں ہے، تو ایک رینڈم ویلیو بنائیں، اور پھر سرٹیفکیٹ کے ساتھ رینڈم ویلیو کو انکرپٹ کریں، جیسا کہ اوپر بتایا گیا ہے، رینڈم ویلیو کو ایک تالے سے لاک کریں، تاکہ جب تک کوئی چابی نہ ہو، آپ لاک کو نہیں دیکھ سکتے۔ قدر مواد.

5. خفیہ کردہ معلومات کی ترسیل

یہ حصہ سرٹیفکیٹ کے ساتھ خفیہ کردہ بے ترتیب قدر کو منتقل کرتا ہے۔ مقصد یہ ہے کہ سرور کو یہ بے ترتیب قدر حاصل ہو، اور پھر کلائنٹ اور سرور کے درمیان رابطے کو اس بے ترتیب قدر کے ذریعے خفیہ اور ڈکرپٹ کیا جا سکے۔

6. سروس سیگمنٹ ڈکرپشن کی معلومات

سرور نجی کلید کے ساتھ خفیہ کاری کے بعد، یہ کلائنٹ کی طرف سے بھیجی گئی بے ترتیب قدر (نجی کلید) حاصل کرتا ہے، اور پھر قدر کے ذریعے مواد کو ہم آہنگی سے خفیہ کرتا ہے۔ اس طرح، جب تک نجی کلید معلوم نہ ہو، مواد حاصل نہیں کیا جا سکتا، اور کلائنٹ اور سرور دونوں پرائیویٹ کلید کو جانتے ہیں، اس لیے جب تک انکرپشن الگورتھم کافی مضبوط ہے اور نجی کلید کافی پیچیدہ ہے، ڈیٹا کافی محفوظ ہے۔

7. خفیہ کردہ معلومات کی ترسیل

معلومات کا یہ حصہ سروس سیگمنٹ کی نجی کلید کے ذریعے خفیہ کردہ معلومات ہے اور اسے کلائنٹ کی طرف سے بحال کیا جا سکتا ہے۔

8. کلائنٹ کی ڈکرپشن کی معلومات

کلائنٹ سروس سیگمنٹ کی طرف سے بھیجی گئی معلومات کو پہلے سے تیار کردہ پرائیویٹ کلید کے ساتھ ڈیکرپٹ کرتا ہے، اور اس طرح ڈکرپٹ شدہ مواد حاصل کر لیتا ہے۔اگر تیسرا فریق پورے عمل کے دوران ڈیٹا کی نگرانی کرتا ہے، تب بھی وہ بے بس ہے۔

چوتھا، HTTPS کے لیے سرچ انجنوں کا رویہ

Baidu نے صارف کی پرائیویسی کو "تھرڈ پارٹی" سونگھنے اور ہائی جیک کرنے کے مسئلے کو حل کرنے کے لیے ایک مکمل سائٹ HTTPS انکرپٹڈ سرچ سروس کا آغاز کیا۔ درحقیقت، مئی 2010 کے اوائل میں، گوگل نے HTTPS ویب صفحات کو رینگتے ہوئے HTTPS انکرپٹڈ سرچ سروس فراہم کرنا شروع کی۔ مسئلہ، Baidu نے ستمبر 5 میں ایک اعلان میں کہا تھا کہ "Baidu HTTPS ویب صفحات کو فعال طور پر نہیں کرالے گا"، جبکہ گوگل نے الگورتھم اپ ڈیٹ میں کہا ہے کہ "ان ہی حالات میں، HTTPS انکرپشن ٹیکنالوجی استعمال کرنے والی سائٹس کی تلاش کی درجہ بندی بہتر ہوگی۔ فائدہ"۔

تو، اس بڑے ماحول میں، کیا ویب ماسٹرز کو "خطرناک" HTTPS پروٹوکول اپنانا چاہیے؟ تلاش کے انجن کے لیے HTTPSSEOاثرات کے بارے میں کیا خیال ہے؟

1. گوگل کا رویہ

HTTPS سائٹس کو شامل کرنے کے بارے میں گوگل کا رویہ HTTP سائٹس سے مختلف نہیں ہے، اور یہاں تک کہ تلاش کی درجہ بندی کے الگورتھم میں "خواہ محفوظ انکرپشن استعمال کرنا ہے" (HTTPS) کو ایک حوالہ عنصر کے طور پر لیتا ہے۔ HTTPS انکرپشن ٹیکنالوجی کا استعمال کرنے والی ویب سائٹیں بہتر نتائج حاصل کر سکتی ہیں۔ ڈسپلے کے زیادہ مواقع ہیں، اور درجہ بندی بھی اسی طرح کی سائٹوں کی HTTP سائٹس سے زیادہ فائدہ مند ہے۔

اور گوگل نے واضح کیا ہے کہ اسے "امید ہے کہ تمام ویب ماسٹرز HTTP کے بجائے HTTPS پروٹوکول استعمال کر سکیں گے"، جو "HTTPS ہر جگہ" کے ہدف کو حاصل کرنے کے لیے اس کے عزم کو ظاہر کرتا ہے۔

2. بیدو کا رویہ

ماضی میں، Baidu کی ٹیکنالوجی نسبتاً پسماندہ تھی، یہ کہتے ہوئے کہ "یہ https کے صفحات کو فعال طور پر نہیں کرالے گی"، لیکن یہ "متعدد https صفحات کو شامل نہیں کیا جا سکتا" کے بارے میں "پریشان" بھی تھا۔ 2014 ستمبر 9 تک، Baidu نے ایک بحث جاری کی۔ "https سائٹس کیسے بنائیں۔" "Baidu کے لیے دوستانہ" کے شمارے پر ایک مضمون شائع کیا گیا تھا، جس میں "https سائٹس کی Baidu دوستی کو بہتر بنانے" کے لیے چار تجاویز اور مخصوص اقدامات پیش کیے گئے تھے:

1. https کے صفحات کے لیے HTTP قابل رسائی ورژن بنائیں جنہیں Baidu سرچ انجن کے ذریعے انڈیکس کرنے کی ضرورت ہے۔

2. صارف کے ایجنٹ کے ذریعے ملاقاتی کا فیصلہ کریں، اور B مقرر کریں۔aiڈسپائیڈر کو HTTP صفحہ پر بھیج دیا جاتا ہے۔ جب عام صارفین Baidu سرچ انجن کے ذریعے صفحہ دیکھیں گے، تو انہیں 301 کے ذریعے متعلقہ https صفحہ پر بھیج دیا جائے گا۔جیسا کہ تصویر میں دکھایا گیا ہے، اوپر کی تصویر Baidu میں شامل HTTP ورژن کو دکھاتی ہے، اور نیچے کی تصویر دکھاتی ہے کہ کلک کرنے کے بعد صارفین خود بخود https ورژن پر جائیں گے۔

3. HTTP ورژن صرف ہوم پیج کے لیے نہیں بنایا گیا ہے، دوسرے اہم صفحات کو بھی HTTP ورژن کے ساتھ بنانے اور ایک دوسرے سے منسلک کرنے کی ضرورت ہے۔ ایسا نہ کریں: ہوم پیج http صفحہ پر لنک اب بھی https صفحہ سے منسلک ہے۔ , جس کی وجہ سے Baiduspider رینگنا جاری رکھنے سے قاصر ہے—— ہمیں ایسی صورتحال کا سامنا کرنا پڑا ہے کہ ہم پوری سائٹ کے لیے صرف ایک ہوم پیج شامل کر سکتے ہیں۔

4. کچھ مواد جن کو خفیہ کرنے کی ضرورت نہیں ہے، جیسے کہ معلومات، دوسرے درجے کے ڈومین نام سے لے جایا جا سکتا ہے۔مثال کے طور پرالپےسائٹ، بنیادی خفیہ کردہ مواد https پر رکھا جاتا ہے، وہ مواد جسے Baiduspider کے ذریعے براہ راست پکڑا جا سکتا ہے، دوسرے درجے کے ڈومین نام پر رکھا جاتا ہے۔

نیچے دیے گئے لنک میں کمپیوٹر سائنس ہاؤس کے ٹیسٹ کے مطابق، HTTP کے ساتھ کنکشن قائم کرنے میں 114 ملی سیکنڈ لگتے ہیں؛ HTTPS کے ساتھ کنکشن قائم کرنے میں 436 ملی سیکنڈ اور ایس ایس ایل کے حصے کے لیے 322 ملی سیکنڈ لگتے ہیں، بشمول نیٹ ورک کی تاخیر اور اوور ہیڈ خود ایس ایس ایل کی خفیہ کاری اور ڈکرپشن (کلائنٹ کی معلومات کے مطابق سرور اس بات کا تعین کرتا ہے کہ آیا ایک نئی ماسٹر کلید تیار کرنے کی ضرورت ہے؛ سرور ماسٹر کلید کا جواب دیتا ہے اور کلائنٹ کو ماسٹر کلید کے ساتھ تصدیق شدہ پیغام واپس کرتا ہے؛ سرور کلائنٹ سے ڈیجیٹل دستخط اور عوامی کلید کی درخواست کرتا ہے)۔

XNUMX. HTTP کے مقابلے HTTPS کتنے وسائل استعمال کرتا ہے؟

HTTPS دراصل ایک HTTP پروٹوکول ہے جو SSL/TLS کے اوپر بنایا گیا ہے۔ اس لیے، اس بات کا موازنہ کرنے کے لیے کہ HTTPS کے ذریعے HTTP کے مقابلے میں کتنے زیادہ سرور وسائل استعمال کیے جاتے ہیں،چن ویلیانگمیرے خیال میں یہ بنیادی طور پر اس بات پر منحصر ہے کہ سرور کے وسائل SSL/TLS خود استعمال کر رہے ہیں۔

HTTP کنکشن قائم کرنے کے لیے TCP تھری وے ہینڈ شیک کا استعمال کرتا ہے، اور کلائنٹ اور سرور کو 3 پیکٹوں کا تبادلہ کرنے کی ضرورت ہے۔

TCP کے تین پیکٹوں کے علاوہ، HTTPS کو ssl ہینڈ شیک کے لیے درکار 9 پیکٹ بھی شامل کرنے کی ضرورت ہے، اس لیے کل 12 پیکٹ ہیں۔

SSL کنکشن قائم ہونے کے بعد، بعد میں خفیہ کاری کا طریقہ ایک ہم آہنگ خفیہ کاری کا طریقہ بن جاتا ہے جیسے کہ 3DES، جس میں ہلکا CPU بوجھ ہوتا ہے۔ غیر متناسب خفیہ کاری کے طریقہ کے مقابلے میں جب SSL کنکشن قائم ہو جاتا ہے، سی پی یو پر ہم آہنگ خفیہ کاری کے طریقہ کار کا بوجھ۔ بنیادی طور پر نظر انداز کیا جا سکتا ہے۔، لہذا مسئلہ آ رہا ہے۔ اگر آپ ssl سیشن کو کثرت سے دوبارہ بناتے ہیں، تو سرور کی کارکردگی پر اثر مہلک ہو گا۔ اگرچہ HTTPS Keep-alive کھولنے سے ایک کنکشن کی کارکردگی کا مسئلہ کم ہو سکتا ہے، لیکن یہ ایک بڑی ویب سائٹ ہے۔ ایک بڑی تعداد کے ساتھ استعمال کنندگان کے ساتھ، لوڈ شیئرنگ پر مبنی ایک آزاد SSL ٹرمینیشن پراکسی ضروری ہے۔ ویب سروس SSL ٹرمینیشن پراکسی کے بعد رکھی جاتی ہے۔ SSL ٹرمینیشن پراکسی ہارڈ ویئر پر مبنی ہو سکتی ہے، جیسے F5؛ یا یہ ہو سکتی ہے۔ کی بنیاد پر软件ہاں، مثال کے طور پر، ویکیپیڈیا Nginx استعمال کرتا ہے۔

HTTPS کو اپنانے کے بعد، سرور کے مزید کتنے وسائل استعمال کیے جائیں گے، جنوری 2010Gmail کےHTTPS کے مکمل استعمال پر سوئچ کرنے سے، فرنٹ اینڈ پروسیسنگ SSL مشین کا CPU بوجھ 1% سے زیادہ نہیں بڑھے گا، ہر کنکشن کی میموری کی کھپت 20KB سے کم ہوگی، اور نیٹ ورک ٹریفک میں 2% سے کم اضافہ ہوگا۔ چونکہ Gmail کو تقسیم شدہ پروسیسنگ کے لیے N سرورز کا استعمال کرنا چاہیے، اس لیے CPU لوڈ ڈیٹا کی زیادہ حوالہ اہمیت نہیں ہے۔ ہر کنکشن کی میموری کی کھپت اور نیٹ ورک ٹریفک ڈیٹا حوالہ اہمیت کا حامل ہے۔ اس مضمون میں یہ بھی درج ہے کہ ایک کور تقریباً 1500 مصافحہ کرتا ہے۔ فی سیکنڈ (1024 بٹ RSA کے لیے) )، یہ ڈیٹا بہت معلوماتی ہے۔

XNUMX. HTTPS کے فوائد

یہ خاص طور پر اس لیے ہے کہ HTTPS بہت محفوظ ہے کہ حملہ آوروں کو شروع کرنے کی جگہ نہیں مل سکتی۔ ویب ماسٹرز کے نقطہ نظر سے، HTTPS کے فوائد درج ذیل ہیں:

1. SEO کے پہلو

گوگل نے اگست 2014 میں اپنے سرچ انجن الگورتھم کو یہ کہتے ہوئے ایڈجسٹ کیا کہ "HTTPS کے ساتھ خفیہ کردہ سائٹ تلاش کے نتائج میں مساوی HTTP سائٹ سے زیادہ درجہ بندی کرے گی"۔

2. سیکورٹی

اگرچہ HTTPS بالکل محفوظ نہیں ہے، وہ تنظیمیں جو روٹ سرٹیفکیٹس میں مہارت رکھتی ہیں اور وہ تنظیمیں جو انکرپشن الگورتھم میں مہارت رکھتی ہیں وہ بھی مین-ان-دی-درمیان حملے کر سکتی ہیں، لیکن HTTPS اب بھی موجودہ فن تعمیر کے تحت سب سے زیادہ محفوظ حل ہے، جس کے درج ذیل فوائد ہیں:

(1) صارفین اور سرورز کی تصدیق کرنے کے لیے HTTPS پروٹوکول کا استعمال کریں تاکہ یہ یقینی بنایا جا سکے کہ ڈیٹا درست کلائنٹ اور سرور کو بھیجا گیا ہے۔

(2) HTTPS پروٹوکول ایک نیٹ ورک پروٹوکول ہے جسے SSL+HTTP پروٹوکول کے ذریعے بنایا گیا ہے جو انکرپٹڈ ٹرانسمیشن اور شناخت کی تصدیق کر سکتا ہے۔ یہ HTTP پروٹوکول سے زیادہ محفوظ ہے، جو ٹرانسمیشن کے عمل کے دوران ڈیٹا کو چوری اور تبدیل ہونے سے روک سکتا ہے اور اس بات کو یقینی بنا سکتا ہے ڈیٹا کی سالمیت.

(3) موجودہ فن تعمیر کے تحت HTTPS سب سے محفوظ حل ہے۔ اگرچہ یہ بالکل محفوظ نہیں ہے، لیکن یہ درمیانی درجے کے حملوں کی لاگت کو بہت زیادہ بڑھاتا ہے۔

XNUMX. HTTPS کے نقصانات

اگرچہ HTTPS کے بہت اچھے فوائد ہیں، لیکن پھر بھی اس میں کچھ خامیاں ہیں۔ خاص طور پر، درج ذیل دو نکات ہیں:

1. SEO کے پہلو

ACM ConexT ڈیٹا کے مطابق، HTTPS پروٹوکول کے استعمال سے صفحہ لوڈ ہونے کا وقت تقریباً 50% تک بڑھ جائے گا اور بجلی کی کھپت میں 10% سے 20% تک اضافہ ہو گا۔ اس کے علاوہ، HTTPS پروٹوکول کیش پر بھی اثر پڑے گا، ڈیٹا اوور ہیڈ اور بجلی کی کھپت میں اضافہ ہو گا۔ ، اور یہاں تک کہ موجودہ حفاظتی اقدامات بھی متاثر ہوں گے اور اسی کے مطابق متاثر ہوں گے۔

مزید برآں، HTTPS پروٹوکول کا انکرپشن کا دائرہ نسبتاً محدود ہے، اور یہ ہیکر کے حملوں، سروس حملوں سے انکار، اور سرور ہائی جیکنگ میں شاید ہی کوئی کردار ادا کرتا ہے۔

سب سے اہم بات، SSL سرٹیفکیٹس کا کریڈٹ چین سسٹم محفوظ نہیں ہے، خاص طور پر جب کچھ ممالک CA روٹ سرٹیفکیٹ کو کنٹرول کر سکتے ہیں، تو درمیان میں انسان کے حملے ممکن ہیں۔

2. معاشی پہلو

(1) SSL سرٹیفکیٹ کے لیے رقم کی ضرورت ہوتی ہے۔ سرٹیفکیٹ جتنا طاقتور ہوگا، قیمت اتنی ہی زیادہ ہوگی۔ ذاتی ویب سائٹس مفت SSL سرٹیفکیٹ استعمال کر سکتی ہیں۔

(2) SSL سرٹیفکیٹس کو عام طور پر IP کا پابند ہونا ضروری ہے، اور متعدد ڈومین ناموں کو ایک ہی IP کا پابند نہیں کیا جا سکتا۔ IPv4 وسائل اس استعمال کی حمایت نہیں کر سکتے ہیں (SSL میں توسیعات ہیں جو اس مسئلے کو جزوی طور پر حل کر سکتی ہیں، لیکن یہ پریشان کن ہے اور براؤزرز کی ضرورت ہے، آپریٹنگ سسٹم سپورٹ، ونڈوز ایکس پی اس ایکسٹینشن کو سپورٹ نہیں کرتا، ایکس پی کے انسٹال بیس کو دیکھتے ہوئے یہ فیچر تقریباً بیکار ہے)۔

(3) HTTPS کنکشن کیشنگ HTTP کی طرح موثر نہیں ہے، اور زیادہ ٹریفک والی ویب سائٹیں اسے استعمال نہیں کریں گی جب تک کہ ضروری نہ ہو، اور ٹریفک کی لاگت بہت زیادہ ہے۔

(4) HTTPS کنکشن سرور سائیڈ وسائل کی کھپت بہت زیادہ ہے، اور کچھ زیادہ وزٹرز والی ویب سائٹس کو سپورٹ کرنے کے لیے بڑی لاگت کی ضرورت ہوتی ہے۔ اگر تمام HTTPS استعمال کیے جاتے ہیں، تو VPS کی اوسط لاگت اس مفروضے کی بنیاد پر کہ زیادہ تر کمپیوٹنگ وسائل بیکار ہیں۔ اوپر جائیں گے.

(5) ایچ ٹی ٹی پی ایس پروٹوکول کا ہینڈ شیک مرحلہ وقت طلب ہے اور اس کا ویب سائٹ کی متعلقہ رفتار پر منفی اثر پڑتا ہے۔ اگر یہ ضروری نہ ہو تو صارف کے تجربے کو قربان کرنے کی کوئی وجہ نہیں ہے۔

XNUMX. کیا ویب سائٹ کو HTTPS کے ساتھ انکرپٹ کرنے کی ضرورت ہے؟

اگرچہ Google اور Baidu دونوں "HTTPS کو مختلف طریقے سے دیکھتے ہیں"، اس کا مطلب یہ نہیں ہے کہ ویب ماسٹرز کو ویب سائٹ پروٹوکول کو HTTPS میں تبدیل کرنا چاہیے!

سب سے پہلے، گوگل کے بارے میں بات کرتے ہیں، اگرچہ گوگل اس بات پر زور دیتا رہتا ہے کہ "HTTPS انکرپشن ٹیکنالوجی کا استعمال کرنے والی ویب سائٹس بہتر درجہ بندی حاصل کر سکتی ہیں"، لیکن اس بات کو رد نہیں کیا جا سکتا کہ یہ ایک "غلط مقصد" ہے۔

غیر ملکی تجزیہ کاروں نے اس مسئلے کے جواب میں کہا ہے کہ: گوگل نے یہ اقدام کیوں کیا (الگورتھم کو اپ ڈیٹ کریں، چاہے HTTPS انکرپشن ٹیکنالوجی کو سرچ انجن کی درجہ بندی کے لیے ایک حوالہ عنصر کے طور پر استعمال کیا جائے) صارف کے تلاش کے تجربے اور انٹرنیٹ کو بہتر بنانا نہیں ہو سکتا۔ سیکیورٹی کا مسئلہ صرف "پرزم گیٹ" اسکینڈل میں ہونے والے "نقصان" کو پورا کرنے کا ہے۔ یہ "خود کی قربانی" کے بینر تلے "سیکیورٹی امپیکٹ رینکنگ" کے بینر کو اونچا تھامے اور "HTTPS" کا نعرہ لگانے والا ایک عام مفاد پرستانہ اقدام ہے۔ ہر جگہ"" نعرہ لگائیں، اور پھر آسانی سے ویب ماسٹرز کی اکثریت کو خوشی سے HTTPS پروٹوکول کیمپ میں شامل ہونے دیں۔

اگر آپ کی ویب سائٹ اس سے تعلق رکھتی ہے۔ای کامرس۔/ویکیٹپلیٹ فارمز، فنانس، سوشل نیٹ ورکنگ اور دیگر شعبوں کے لیے، HTTPS پروٹوکول استعمال کرنا بہتر ہے؛ اگر یہ ایک بلاگ سائٹ، ایک پروموشنل سائٹ، ایک خفیہ معلومات کی سائٹ، یا ایک نیوز سائٹ ہے، تو مفت SSL سرٹیفکیٹ استعمال کیا جا سکتا ہے۔

XNUMX. ایک ویب ماسٹر HTTPS سائٹ کیسے بناتا ہے؟

جب HTTPS سائٹس کی تعمیر کی بات آتی ہے تو ہمیں SSL پروٹوکول کا ذکر کرنا پڑتا ہے۔ SSL Netscape کی طرف سے اپنایا جانے والا پہلا نیٹ ورک سیکورٹی پروٹوکول ہے۔ یہ ایک سیکورٹی پروٹوکول ہے جو ٹرانسمیشن کمیونیکیشن پروٹوکول (TCP/IP) پر لاگو ہوتا ہے۔، SSL وسیع پیمانے پر سپورٹ کرتا ہے۔ مختلف قسم کے نیٹ ورکس، تین بنیادی حفاظتی خدمات فراہم کرتے ہوئے، وہ سبھی عوامی کلیدی ٹیکنالوجی کا استعمال کرتے ہیں۔

جب HTTPS سائٹس کی تعمیر کی بات آتی ہے تو ہمیں SSL پروٹوکول کا ذکر کرنا پڑتا ہے۔ SSL Netscape کی طرف سے اپنایا جانے والا پہلا نیٹ ورک سیکورٹی پروٹوکول ہے۔ یہ ایک سیکورٹی پروٹوکول ہے جو ٹرانسمیشن کمیونیکیشن پروٹوکول (TCP/IP) پر لاگو ہوتا ہے۔، SSL وسیع پیمانے پر سپورٹ کرتا ہے۔ مختلف قسم کے نیٹ ورکس، تین بنیادی حفاظتی خدمات فراہم کرتے ہوئے، وہ سبھی عوامی کلیدی ٹیکنالوجی کا استعمال کرتے ہیں۔

1. SSL کا کردار

(1) اس بات کو یقینی بنانے کے لیے صارفین اور سرورز کی تصدیق کریں کہ ڈیٹا درست کلائنٹ اور سرور کو بھیجا گیا ہے۔

(2) ڈیٹا کو درمیان میں چوری ہونے سے روکنے کے لیے ڈیٹا کو خفیہ کریں۔

(3) ڈیٹا کی سالمیت کو برقرار رکھیں اور اس بات کو یقینی بنائیں کہ ٹرانسمیشن کے عمل کے دوران ڈیٹا کو تبدیل نہیں کیا گیا ہے۔

SSL سرٹیفکیٹ سے مراد ایک ڈیجیٹل فائل ہے جو SSL کمیونیکیشن میں دونوں فریقوں کی شناخت کی تصدیق کرتی ہے۔ اسے عام طور پر سرور سرٹیفکیٹ اور کلائنٹ سرٹیفکیٹ میں تقسیم کیا جاتا ہے۔ SSL سرٹیفکیٹ جو ہم عام طور پر کہتے ہیں بنیادی طور پر سرور سرٹیفکیٹ سے مراد ہے۔ SSL سرٹیفکیٹ ہے ایک قابل اعتماد ڈیجیٹل سرٹیفکیٹ اتھارٹی CA کی طرف سے جاری کیا گیا ہے۔ (جیسے VeriSign، GlobalSign، WoSign، وغیرہ)، سرور کی شناخت کی تصدیق کے بعد جاری کیا گیا، سرور کی تصدیق اور ڈیٹا ٹرانسمیشن انکرپشن فنکشنز کے ساتھ، توسیعی توثیق (EV) SSL سرٹیفکیٹ میں تقسیم، تنظیم کی توثیق (OV) SSL سرٹیفکیٹ، اور ڈومین نام کی توثیق کی قسم (DV) SSL سرٹیفکیٹ۔

2. SSL سرٹیفکیٹ کے لیے درخواست دینے کے لیے 3 اہم اقدامات

SSL سرٹیفکیٹ کے لیے درخواست دینے کے لیے تین اہم مراحل ہیں:

(1)، CSR فائل بنائیں

نام نہاد CSR درخواست دہندہ کے ذریعہ تیار کردہ سرٹیفکیٹ سیکیور ریکوئسٹ سرٹیفکیٹ کی درخواست کی فائل ہے۔ پیداواری عمل کے دوران، سسٹم دو کلیدیں تیار کرے گا، ایک عوامی کلید ہے، جو کہ CSR فائل ہے، اور دوسری نجی کلید ہے، جو سرور پر محفوظ ہے۔

CSR فائلیں بنانے کے لیے، درخواست دہندگان WEB SERVER دستاویزات، جنرل APACHE وغیرہ کا حوالہ دے سکتے ہیں، KEY+CSR2 فائلیں بنانے کے لیے OPENSSL کمانڈ لائن کا استعمال کر سکتے ہیں، Tomcat، JBoss، Resin، وغیرہ، JKS اور CSR فائلیں بنانے کے لیے KEYTOOL کا استعمال کریں، IIS تخلیق کرتا ہے۔ زیر التواء درخواستیں اور ایک CSR فائل۔

(2)، CA سرٹیفیکیشن

CSR کو CA میں جمع کروائیں، اور CA کے پاس عام طور پر تصدیق کے دو طریقے ہیں:

① ڈومین نام کی توثیق: عام طور پر ایڈمنسٹریٹر کے میل باکس کی توثیق کی جاتی ہے۔ یہ طریقہ تیز ہے، لیکن جاری کردہ سرٹیفکیٹ میں انٹرپرائز کا نام نہیں ہوتا ہے۔

②、انٹرپرائز دستاویز سرٹیفیکیشن: انٹرپرائز کا کاروباری لائسنس فراہم کرنے کی ضرورت ہے، جس میں عام طور پر 3-5 کام کے دن لگتے ہیں۔

ایسے سرٹیفکیٹ بھی ہیں جن کے لیے ایک ہی وقت میں مندرجہ بالا دو طریقوں کی توثیق کرنے کی ضرورت ہے، جسے EV سرٹیفکیٹ کہا جاتا ہے۔ یہ سرٹیفکیٹ IE2 کے اوپر والے براؤزرز کے ایڈریس بار کو سبز بنا سکتا ہے، اس لیے توثیق بھی سخت ترین ہے۔

(3)، سرٹیفکیٹ کی تنصیب

CA سے سرٹیفکیٹ حاصل کرنے کے بعد، آپ سرٹیفکیٹ کو سرور پر تعینات کر سکتے ہیں۔ عام طور پر، APACHE فائل براہ راست KEY+CER کو فائل میں کاپی کرتی ہے، اور پھر HTTPD.CONF فائل میں ترمیم کرتی ہے؛ TOMCAT وغیرہ، سرٹیفکیٹ CER کو درآمد کرنے کی ضرورت ہے۔ CA کی طرف سے JKS فائل میں جاری کی گئی فائل، اسے سرور پر کاپی کریں، اور پھر SERVER.XML میں ترمیم کریں؛ IIS کو زیر التواء درخواست پر کارروائی کرنے اور CER فائل کو درآمد کرنے کی ضرورت ہے۔

XNUMX. مفت SSL سرٹیفکیٹ کی سفارش

SSL سرٹیفکیٹ کا استعمال نہ صرف معلومات کی حفاظت کو یقینی بنا سکتا ہے، بلکہ ویب سائٹ پر صارف کے اعتماد کو بھی بہتر بنا سکتا ہے، لیکن اس کے پیش نظرایک اسٹیشن بنائیںلاگت کو مدنظر رکھتے ہوئے، بہت سے ویب ماسٹرز اس سے حوصلہ شکنی کر رہے ہیں۔ انٹرنیٹ پر مفت ہمیشہ ایک ایسی مارکیٹ ہے جو کبھی بھی اسٹائل سے باہر نہیں ہوتی ہے۔ یہاں مفت ہوسٹنگ کی جگہیں ہیں، اور قدرتی طور پر مفت SSL سرٹیفکیٹ موجود ہیں۔ اس سے قبل یہ اطلاع ملی تھی کہ موزیلا، سسکو , Akamai, IdenTrust, EFF، اور مشی گن یونیورسٹی کے محققین Let's Encrypt CA پروجیکٹ شروع کریں گے، جو اس موسم گرما سے شروع ہونے والی ویب سائٹس کے لیے مفت SSL سرٹیفکیٹ اور سرٹیفکیٹ مینجمنٹ سروسز فراہم کرنے کا ارادہ رکھتا ہے (نوٹ: اگر آپ کو مزید جدید اور پیچیدہ سرٹیفکیٹس کی ضرورت ہے، آپ کو ادائیگی کرنے کی ضرورت ہوگی)، اور ایک ہی وقت میں، سرٹیفکیٹ کی تنصیب کی پیچیدگی کو بھی کم کر دیتا ہے، تنصیب کا وقت صرف 20-30 سیکنڈ ہے.

یہ اکثر بڑی اور درمیانے درجے کی ویب سائٹس ہوتی ہیں جن کے لیے پیچیدہ سرٹیفکیٹس کی ضرورت ہوتی ہے، اور چھوٹی سائٹیں جیسے کہ ذاتی بلاگز پہلے مفت SSL سرٹیفکیٹ آزما سکتے ہیں۔

ذیل میں ہےچن ویلیانگبلاگ آپ کو کئی مفت SSL سرٹیفکیٹس سے متعارف کرائے گا، جیسے: CloudFlare SSL، NameCheap، وغیرہ۔

1. CloudFlare SSL

CloudFlare ریاستہائے متحدہ میں ایک ویب سائٹ ہے جو CDN خدمات فراہم کرتی ہے۔ پوری دنیا میں اس کے اپنے CDN سرور نوڈس ہیں۔ اندرون اور بیرون ملک بہت سی بڑی کمپنیاں یا ویب سائٹس CloudFlare کی CDN خدمات استعمال کر رہی ہیں۔ یقیناً، گھریلو ویب ماسٹرز کے ذریعہ سب سے زیادہ استعمال کیا جاتا ہے۔ CloudFlare کا مفت CDN ہے۔ یہ بھی بہت اچھا ہے۔ CloudFlare کی طرف سے فراہم کردہ مفت SSL سرٹیفکیٹ UniversalSSL ہے، یعنی یونیورسل SSL۔ صارفین کسی سرٹیفکیٹ اتھارٹی کی طرف سے سرٹیفکیٹ کے لیے درخواست دیے اور کنفیگر کیے بغیر SSL سرٹیفکیٹ استعمال کر سکتے ہیں۔ CloudFlare SSL انکرپشن فراہم کرتا ہے۔ تمام صارفین (بشمول مفت صارفین)، ویب انٹرفیس سرٹیفکیٹ 5 منٹ کے اندر ترتیب دیا جاتا ہے، اور خودکار تعیناتی 24 گھنٹوں کے اندر مکمل ہو جاتی ہے، جو ویب سائٹ ٹریفک کے لیے Elliptic Curve Digital Signature Algorithm (ECDSA) پر مبنی TLS انکرپشن سروس فراہم کرتی ہے۔

2. NameCheap

NameCheap ایک معروف ICANN سے منظور شدہ ڈومین نام کی رجسٹریشن اور ویب سائٹ ہوسٹنگ کمپنی ہے، جو 2000 میں قائم ہوئی، کمپنی مفت DNS ریزولوشن، یو آر ایل فارورڈنگ (اصل یو آر ایل کو چھپا سکتی ہے، 301 ری ڈائریکشن کو سپورٹ کر سکتی ہے) اور دیگر خدمات فراہم کرتی ہے، اس کے علاوہ، NameCheap بھی فراہم کرتا ہے۔ SSL سرٹیفکیٹ کے سالوں کی مفت سروس۔

3. آئیے انکرپٹ کریں۔

Let's Encrypt ایک مفت SSL سرٹیفکیٹ جاری کرنے کا منصوبہ ہے جو حال ہی میں بہت مقبول ہوا ہے۔ Let's Encrypt ایک مفت اور مفت عوامی فلاحی منصوبہ ہے جو ISRG کی طرف سے فراہم کیا جاتا ہے، جو خود بخود سرٹیفکیٹ جاری کرتا ہے، لیکن سرٹیفکیٹ صرف 90 دنوں کے لیے کارآمد ہے۔یہ ذاتی استعمال یا عارضی استعمال کے لیے موزوں ہے، اور اب اس پرامپٹ کو برداشت نہیں کرنا پڑے گا کہ براؤزر کے ذریعے خود دستخط شدہ سرٹیفکیٹ پر بھروسہ نہیں کیا گیا ہے۔

حقیقت میں،چن ویلیانگبلاگ حال ہی میں Let's Encrypt استعمال کرنے کا بھی منصوبہ بنا رہا ہے ^_^

آئیے مفت SSL سرٹیفکیٹ ایپلیکیشن ٹیوٹوریل کو خفیہ کریں، تفصیلات کے لیے براہ کرم اس مضمون کا حوالہ دیں:"Let's Encrypt کے لیے درخواست کیسے دیں۔"