एचटीटीपीएस की मदद से अपनी साइट को सुरक्षित बनाना

एचटीटीपीएस क्या होता है?

एचटीटीपीएस (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल सिक्योर) एक इंटरनेट संचार प्रोटोकॉल है, जो उपयोगकर्ता के कंप्यूटर और जिस साइट को वह इस्तेमाल कर रहा है उसके बीच, डेटा के साथ कोई छेड़छाड़ नहीं होने देता. साथ ही, यह डेटा की गोपनीयता की सुरक्षा भी करता है. किसी वेबसाइट का इस्तेमाल करते समय, उपयोगकर्ता यह उम्मीद करते हैं कि उनके ऑनलाइन अनुभव सुरक्षित और निजी रहें. आपकी वेबसाइट पर चाहे किसी भी तरह का कॉन्टेंट हो, उसे इस्तेमाल करने वाले उपयोगकर्ताओं के कनेक्शन की सुरक्षा के लिए, हम आपको एचटीटीपीएस अपनाने की सलाह देते हैं.

एचटीटीपीएस का इस्तेमाल करके भेजा जाने वाला डेटा, ट्रांसपोर्ट लेयर सिक्योरिटी प्रोटोकॉल (TLS) की मदद से सुरक्षित किया जाता है. इस प्रोटोकॉल में, डेटा सुरक्षा की तीन मुख्य लेयर शामिल होती हैं:

  1. एन्क्रिप्ट (सुरक्षित) करने का तरीका— भेजे और पाए गए डेटा को छिप कर देखने वालों से सुरक्षित रखना. इसका मतलब है कि किसी उपयोगकर्ता के वेबसाइट ब्राउज़ करने पर, न उसकी बातें मालूम की जा सकें, न अलग-अलग पेज पर उसकी गतिविधियों पर निगरानी रखी जा सके, और न ही उसकी जानकारी चुराई जा सके.
  2. डेटा के साथ छेड़छाड़ न करना—ट्रांसफ़र के समय, डेटा को जानबूझकर या किसी और वजह से बदला या खराब नहीं किया जा सकता है. इस तरह की कोशिश करने वालों का पकड़ा जाना तय है.
  3. पुष्टि करना—यह इस बात की पुष्टि करता है कि आपकी वेबसाइट का इस्तेमाल करने वाले लोग, अपनी मनचाही वेबसाइट तक पहुंच रहे हैं. यह आपकी साइट को मैन इन द मिडल अटैक से सुरक्षित रखता है. साथ ही, यह उपयोगकर्ताओं में भरोसा कायम करता है, जो कि कारोबार के लिए फ़ायदेमंद है.

एचटीटीपीएस लागू करने के सबसे सही तरीके

बेहतर सुरक्षा वाले प्रमाणपत्र इस्तेमाल करना

अपनी साइट पर एचटीटीपीएस की सुविधा चालू करने के लिए, आपके पास 'सुरक्षा प्रमाणपत्र' होना ज़रूरी है. यह प्रमाणपत्र, प्रमाणपत्र अधिकारी (सर्टिफ़िकेट अथॉरिटी या CA) जारी करता है. इसके लिए, इस बात की पुष्टि की जाती है कि आपका वेब पता वाकई आपके संगठन का है. ऐसा आपके ग्राहकों को बिचौलियों के हमलों से बचाने के लिए किया जाता है. प्रमाणपत्र सेट करते समय, उसे ऊंचे स्तर की सुरक्षा देने के लिए 2048-बिट कुंजी चुनें. अगर आपके पास पहले से एक प्रमाणपत्र है, लेकिन उसकी कुंजी कम बिट (1024-बिट) वाली है, तो उसे 2048 बिट तक बढ़ा कर बेहतर बना लें. अपनी साइट के लिए प्रमाणपत्र चुनते समय इन बातों का ध्यान रखें:

  • अपना प्रमाणपत्र किसी ऐसे भरोसेमंद प्रमाणपत्र अधिकारी या CA से लें जो तकनीकी सहायता देता हो.
  • यह तय करें कि आपको किस तरह का प्रमाणपत्र चाहिए:
    • एक सुरक्षित डोमेन के लिए सिर्फ़ एक प्रमाणपत्र (जैसे, www.example.com).
    • एक से ज़्यादा जाने-माने सुरक्षित डोमेन के लिए, एक से ज़्यादा डोमेन वाले प्रमाणपत्र (जैसे, www.example.com, cdn.example.com, example.co.uk).
    • कई डाइनैमिक सबडोमेन वाले डोमेन के लिए वाइल्डकार्ड प्रमाणपत्र (जैसे, a.example.com, b.example.com).

सर्वर साइड 301 रीडायरेक्ट का इस्तेमाल करना

सर्वर-साइड 301 एचटीटीपी की मदद से, अपनी वेबसाइट इस्तेमाल करने वाले लोगों और सर्च इंजन को एचटीटीपीएस पेज या संसाधन पर भेजें.

पुष्टि करें कि Google आपके एचटीटीपीएस पेज को क्रॉल और इंडेक्स कर सकता है

  • robots.txt फ़ाइलों से अपने एचटीटीपीएस पेजों पर रोक न लगाएं.
  • अपने एचटीटीपीएस पेजों में, noindex टैग शामिल न करें.
  • यूआरएल जांचने वाले टूल का इस्तेमाल करके, पता लगाएं कि Googlebot आपके पेजों को ऐक्सेस कर सकता है या नहीं.

वेबसाइट को एचएसटीएस के हिसाब से बनाना

हमारा सुझाव है कि एचटीटीपीएस साइटें, एचएसटीएस (एचटीटीपी स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी) के साथ काम करती हों. एचएसटीएस की मदद से, ब्राउज़र अपने-आप उपयोगकर्ता को एचटीटीपीएस पेजों पर ले जाता है. भले ही, उपयोगकर्ता ने ब्राउज़र के लोकेशन बार में http डाला हो. इसके अलावा, इससे यह भी पक्का होता है कि Google पर खोज के नतीजों में उपयोगकर्ताओं को सुरक्षित यूआरएल दिखें. इस तरह उपयोगकर्ताओं को असुरक्षित कॉन्टेंट मिलने का खतरा बहुत कम हो जाता है.

वेबसाइट को एचएसटीएस के हिसाब से बनाने के लिए, ऐसे वेब सर्वर का इस्तेमाल करें जिस पर यह काम करे और इसके फ़ंक्शन को चालू करे.

हालांकि, एचएसटीएस ज़्यादा सुरक्षित है. इसके बावजूद, यह आपकी रोलबैक रणनीति को जटिल बनाता है. इसलिए, एचएसटीएस का इस्तेमाल ऐसे करें:

  1. सबसे पहले अपने एचटीटीपीएस पेजों को एचएसटीएस के बिना ही शुरू करें.
  2. एक छोटे max-age के साथ, एचएसटीएस हेडर भेजना शुरू करें. उपयोगकर्ताओं और अन्य क्लाइंट, दोनों तरफ़ से आने वाले ट्रैफ़िक पर नज़र रखें. साथ ही, उन सभी चीज़ों की परफ़ॉर्मेंस पर भी नज़र रखें जिनसे साइट के ट्रैफ़िक पर असर पड़ता है, जैसे कि विज्ञापन.
  3. एचएसटीएस max-age को धीरे-धीरे बढ़ाएं.
  4. अगर एचएसटीएस आपके उपयोगकर्ताओं और सर्च इंजन पर बुरा असर नहीं डालता है, तो आप अपनी साइट को एचएसटीएस प्रीलोड सूची में जोड़ने के लिए कह सकते हैं. इसका इस्तेमाल ज़्यादातर बड़े ब्राउज़र करते हैं.

एचएसटीएस प्रीलोडिंग का इस्तेमाल करना

अगर आप एचएसटीएस चलाते हैं, तो ज़्यादा सुरक्षा और बेहतर परफ़ॉर्मेंस के लिए एचएसटीएस प्रीलोडिंग की मदद लेने का विकल्प चुन सकते हैं. प्रीलोडिंग चालू करने के लिए, आपको hstspreload.org पर जाना होगा. साथ ही, अपनी साइट के सबमिशन से जुड़ी ज़रूरी शर्तों का पालन करना होगा.

इन आम गलतियों से बचें

अपनी साइट को TLS के ज़रिए सुरक्षित बनाते समय इन गलतियों से बचें:

गड़बड़ी कार्रवाई
खत्म हो चुके प्रमाणपत्र यह पक्का कर लें कि आपका प्रमाणपत्र हमेशा अप-टू-डेट रहे.
गलत वेबसाइट के नाम पर रजिस्टर किए गए प्रमाणपत्र जांच लें कि आपने उन सभी होस्ट नामों के लिए एक प्रमाणपत्र लिया है जो आपकी साइट पर मौजूद हैं. उदाहरण के लिए, अगर आपके प्रमाणपत्र में सिर्फ़ www.example.com है, तो अगर आपकी वेबसाइट पर आने वाला कोई उपयोगकर्ता, example.com (बिना "www." प्रीफ़िक्स के) इस्तेमाल करके आपकी साइट लोड करता है, तो 'प्रमाणपत्र नाम मेल नहीं खा रहे' गड़बड़ी के साथ उस उपयोगकर्ता पर रोक लगा दी जाएगी.
सर्वर के नाम से जुड़े संकेत (SNI) की सहायता मौजूद न होना पक्का कर लें कि आपका वेब सर्वर SNI के साथ काम करता हो और आपके दर्शक इसके हिसाब से ब्राउज़र इस्तेमाल करते हों. हालांकि, SNI सभी आधुनिक ब्राउज़र के साथ चलता है. इसके बाद भी अगर SNI को पुराने ब्राउज़र पर चलाना है, तो आपको उसके लिए खास IP की ज़रूरत होगी.
साइट क्रॉल करने से जुड़ी गड़बड़ियां robots.txt का इस्तेमाल करके अपनी एचटीटीपीएस साइट को क्रॉल करने से न रोकें.
पेज को इंडेक्स करने से जुड़ी गड़बड़ियां जहां हो सके, सर्च इंजन को अपने पेजों को इंडेक्स करने की मंज़ूरी दें. noindex टैग इस्तेमाल न करें.
प्रोटोकॉल के पुराने वर्शन पुराने प्रोटोकॉल वर्शन को नुकसान पहुंचाया जा सकता है; इसलिए यह पक्का कर लें कि आपके पास TLS लाइब्रेरी के नए वर्शन हैं. साथ ही, यह भी देख लें कि आपने नए प्रोटोकॉल वर्शन लागू किए हैं या नहीं.
मिली-जुली सुरक्षा से जुड़े एलिमेंट एचटीटीपीएस पेजों पर सिर्फ़ एचटीटीपीएस कॉन्टेंट एम्बेड करें.
एचटीटीपी और एचटीटीपीएस पर अलग-अलग कॉन्टेंट होना पक्का करें कि आपकी एचटीटीपी साइट और एचटीटीपीएस का कॉन्टेंट एक जैसा हो.
एचटीटीपीएस पर एचटीटीपी स्थिति कोड से जुड़ी गड़बड़ियां जांच लें कि आपकी वेबसाइट सही एचटीटीपी स्टेटस कोड वापस करती है या नहीं. उदाहरण के लिए, जिन पेजों को ऐक्सेस किया जा सकता है उनके लिए 200 OK. इसके अलावा, जो पेज मौजूद नहीं हैं उनके लिए 404 या 410.

अन्य सलाहें

अपनी साइट पर एचटीटीपीएस पेज के इस्तेमाल के बारे में ज़्यादा सलाह के लिए, एचटीटीपीएस डेटा दूसरी जगह भेजने से जुड़े 'अक्सर पूछे जाने वाले सवाल' देखें.

साइट के यूआरएल को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करना

अगर आप अपनी साइट के यूआरएल को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करना चाहते हैं, तो Google इसे यूआरएल में बदलाव करके साइट को नई जगह पर ले जाना मानता है. ऐसा करने से, आपकी साइट पर आने वाले ट्रैफ़िक पर कुछ समय के लिए असर पड़ सकता है. इस बारे में ज़्यादा जानने के लिए, साइट को नई जगह पर ले जाने के बारे में खास जानकारी देने वाला पेज देखें.

Search Console में नई एचटीटीपीएस प्रॉपर्टी जोड़ना: Search Console, एचटीटीपी और एचटीटीपीएस यूआरएल को अलग-अलग साइटों के रूप में देखता है: Search Console में, इन दोनों प्रॉपर्टी का डेटा एक-दूसरे के साथ शेयर नहीं किया जाता है.

यूआरएल को माइग्रेट करने से जुड़ी समस्याओं को हल करने के लिए, साइटमैप को नई जगह पर ले जाने में आ रही समस्याएं हल करने की जानकारी देने वाला पेज देखें.

ज़्यादा जानकारी

साइट पर TLS चलाने से जुड़ी ज़्यादा जानकारी: