এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

SSL পেয়েছেন?

আগের চেয়ে অনেক বেশি মানুষ আজ ওয়েবে সংযুক্ত - এবং আরও অনেক জায়গা থেকে৷

আমরা আমাদের ল্যাপটপ, ফোন এবং ট্যাবলেটগুলির সাথে সংযুক্ত হয়েছি এবং সম্ভবত খুব শীঘ্রই ব্যক্তিগত ডিভাইস এবং আনুষাঙ্গিকগুলির সাথে। আমরা অবিশ্বস্ত এবং কখনও কখনও এমনকি প্রতিকূল নেটওয়ার্ক থেকে ইন্টারনেট অ্যাক্সেস করি। আমাদের জীবনের অনেকটাই অনলাইনে চলার সাথে সাথে, আমাদের ডেটা এবং আমাদের ব্যবহারকারীদের ডেটা সুরক্ষিত করার জন্য আমাদের পদক্ষেপ নেওয়া অপরিহার্য৷

সর্বোপরি, বিকাশকারী হিসাবে আমাদের SSL এর প্রয়োজনীয়তা এবং ব্যবহারিকতা বুঝতে হবে।

SSL কি? এটি সিকিউর সকেট লেয়ারের জন্য দাঁড়িয়েছে, এবং এটি একটি ক্রিপ্টোগ্রাফিক প্রোটোকল যা ইন্টারনেটে যোগাযোগ নিরাপত্তা প্রদানের জন্য ডিজাইন করা হয়েছে। এটি আপনার ইন্টারনেট সংযোগের সাথে স্নুপিং বা হস্তক্ষেপ রোধ করতে এনক্রিপশন এবং অখণ্ডতার মাধ্যমে গোপনীয়তার গ্যারান্টি দেয়। SSL এর ত্রুটি রয়েছে, কিন্তু ইন্টারনেটে যেকোনো ধরনের ডেটা যোগাযোগ নিরাপত্তা নিশ্চিত করার জন্য এটিই প্রধান উপায় – এবং সত্যিই একমাত্র উপায়।

SSL পালস অনুসারে, এক বছর আগে আমাদের SSL গ্রহণের মাত্র 15% এর নিচে ছিল; আমরা এখন 50% এর বেশি গ্রহণ করেছি।

দুটি সংক্ষিপ্ত শব্দ:

TLS: বেশিরভাগ উদ্দেশ্য এবং উদ্দেশ্যে SSL এর মতোই। সুনির্দিষ্টভাবে বলতে গেলে, SSL 3.1 এর নাম পরিবর্তন করে TLS করা হয়েছে, এবং TLS হল IETF স্ট্যান্ডার্ড নাম। কিন্তু তারা বিনিময়যোগ্য!
HTTPS: এটি SSL এর উপর HTTP, শুধুমাত্র SSL এবং স্ট্যান্ডার্ড HTTP এর নিরাপত্তা ক্ষমতার স্তরবিন্যাস। প্রথমে ক্লায়েন্ট-সার্ভার হ্যান্ডশেক, একটি শেয়ার্ড কী তৈরি করতে পাবলিক/প্রাইভেট কী ক্রিপ্টোগ্রাফি ব্যবহার করে – যা যোগাযোগ এনক্রিপ্ট করতে SSL প্রোটোকলের দ্বিতীয় অংশ দ্বারা ব্যবহৃত হয়।

ইন্টারনেটে নেটওয়ার্কিং নিরাপদ, অবিলম্বে এবং দ্রুত বোধ করতে পারে। মনে হচ্ছে আমরা ওয়েবসাইটে সরাসরি কথা বলছি। কিন্তু বাস্তবে, এটি সরাসরি সংযোগ নয়। আমাদের যোগাযোগগুলি একটি wifi রাউটার, একটি ISP এবং আপনার ডিভাইস এবং ওয়েবসাইটের মধ্যে সম্ভাব্য অন্যান্য মধ্যস্থতাকারী প্রক্সির মাধ্যমে যায়৷ এইচটিটিপিএস ছাড়া, আমাদের সমস্ত যোগাযোগ সরল পাঠ্যে।

সমস্যা হল, ব্যবহারকারীরা খুব কমই HTTPS নির্দিষ্ট করে একটি সম্পূর্ণ URL টাইপ করে – অথবা তারা HTTP ব্যবহার করে একটি লিঙ্কে ক্লিক করে। আরও খারাপ, একটি (wo)ম্যান-ইন-দ্য-মিডল অ্যাটাক মাউন্ট করা এবং HTTPS-কে HTTP-এর সাথে প্রতিস্থাপন করা সম্ভব। 2009 সালে চালু করা SSLstrip নামক একটি টুল ঠিক তাই করে। ফায়ারশিপ, 2010 থেকে, পরিষ্কারভাবে পাঠানো কুকিজের জন্য খোলা ওয়াইফাই নেটওয়ার্কের কথা শুনেছে: এর মানে হল আপনি চ্যাটে শুনতে পারেন, বা কারও ফেসবুক অ্যাকাউন্টে লগ ইন করতে পারেন।

কিন্তু SSL (তুলনামূলকভাবে) সস্তা, দ্রুত এবং স্থাপন করা সহজ ( ssllabs.com এবং ইলিয়া গ্রিগোরিকের বই হাই পারফরম্যান্স ব্রাউজার নেটওয়ার্কিং দেখুন)। অ-বাণিজ্যিক ব্যবহারের জন্য, আপনি startssl.com থেকে বিনামূল্যে শংসাপত্রও পেতে পারেন! পাবলিক কী পিনিং ডিজাইন করা হয়েছে ওয়েবসাইট অপারেটরদেরকে সীমাবদ্ধ করার একটি উপায় দেওয়ার জন্য যে কোন শংসাপত্র কর্তৃপক্ষ তাদের সাইটের জন্য প্রকৃতপক্ষে শংসাপত্র জারি করতে পারে।

"এই বছরের জানুয়ারিতে (2010), Gmail ডিফল্টভাবে সবকিছুর জন্য HTTPS ব্যবহার করে। ... এটি করার জন্য আমাদের কোন অতিরিক্ত মেশিন এবং কোন বিশেষ হার্ডওয়্যার স্থাপন করতে হয়নি। আমাদের উৎপাদন ফ্রন্টএন্ড মেশিনে, SSL অ্যাকাউন্ট <1% CPU লোড, সংযোগ প্রতি <10 KB মেমরি, এবং নেটওয়ার্ক ওভারহেডের <2%…

আপনি যদি এখন পড়া বন্ধ করে দেন তবে আপনাকে শুধুমাত্র একটি জিনিস মনে রাখতে হবে: SSL আর গণনাগতভাবে ব্যয়বহুল নয়।

- ওভারক্লকিং SSL , অ্যাডাম ল্যাংলি (গুগল)

সবশেষে, কয়েকটি বাগ আমরা সবচেয়ে বেশি দেখতে পাই:

মিশ্র বিষয়বস্তু: যে সাইটগুলি HTTP এর পাশাপাশি HTTPS ব্যবহার করে৷ আপনার ব্যবহারকারী বিরক্ত হবে কারণ তাদের সামগ্রী লোড করার জন্য একটি অনুমতি বোতামে ক্লিক করতে হবে। (Chrome এবং Firefox আসলে iframes থেকে মিশ্র বিষয়বস্তুকে বাধা দেয়।) নিশ্চিত করুন যে HTTPS পৃষ্ঠায় আপনার সমস্ত সংস্থান HTTPS দ্বারা লোড করা হয়েছে, যেমন আপেক্ষিক বা স্কিম-রিলেটিভ URL ব্যবহার করে <style src="//foo.com/style.css">
অনিরাপদ কুকিজ: একটি HTTP সংযোগের মাধ্যমে স্পষ্টভাবে পাঠানো হয়েছে। কুকি হেডারে সুরক্ষিত বৈশিষ্ট্য সেট করে এটি এড়িয়ে চলুন। আপনি SSL ট্রান্সপোর্ট সিকিউরিটি (HSTS) প্রয়োজনের জন্য একটি নতুন "কঠোর পরিবহন নিরাপত্তা" শিরোনামও ব্যবহার করতে পারেন৷

Takeaways

আপনি যদি আপনার ব্যবহারকারীদের ডেটার গোপনীয়তা এবং অখণ্ডতার বিষয়ে যত্নশীল হন, তাহলে আপনাকে SSL ব্যবহার করতে হবে। এটি আগের চেয়ে দ্রুত, সহজ এবং সস্তা৷
মিশ্র বিষয়বস্তুর বাগ বা সঠিক HTTP হেডার বিট সেট না করার মতো সাধারণ বাস্তবায়ন গোটচা এড়িয়ে চলুন।
আপেক্ষিক বা স্কিম আপেক্ষিক URL ব্যবহার করুন।
এইচএসটিএস এবং শংসাপত্র পিনিংয়ের মতো কিছু নতুন দুর্দান্ত জিনিস দেখুন

স্লাইডস: SSL পেয়েছেন?