साइट को एचटीटीपीएस की मदद से सुरक्षित बनाना

एचटीटीपीएस (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल सिक्योर) एक इंटरनेट संचार प्रोटोकॉल है, जो उपयोगकर्ता के कंप्यूटर और जिस साइट का वह इस्तेमाल कर रहा है उसके बीच, डेटा के साथ कोई छेड़छाड़ नहीं होने देता. साथ ही, यह डेटा की गोपनीयता की सुरक्षा भी करता है. किसी वेबसाइट का इस्तेमाल करते समय, उपयोगकर्ता यह उम्मीद करते हैं कि उनका ऑनलाइन अनुभव सुरक्षित और निजी रहे. आपकी वेबसाइट पर चाहे किसी भी तरह का कॉन्टेंट हो, उसे इस्तेमाल करने वाले उपयोगकर्ताओं के कनेक्शन की सुरक्षा के लिए, हम आपको एचटीटीपीएस अपनाने की सलाह देते हैं.

एचटीटीपीएस का इस्तेमाल करके भेजा जाने वाला डेटा, ट्रांसपोर्ट लेयर सिक्योरिटी प्रोटोकॉल (TLS), की मदद से सुरक्षित किया जाता है. इस प्रोटोकॉल में, डेटा सुरक्षा की तीन मुख्य लेयर शामिल होती हैं:

  1. डेटा को एन्क्रिप्ट (सुरक्षित) करना: एक्सचेंज किए गए डेटा को एन्क्रिप्ट करना, ताकि डेटा को चोरी करने वालों से सुरक्षित रखा जा सके. इसका मतलब है कि कोई उपयोगकर्ता जब किसी वेबसाइट पर ब्राउज़ करता है, तो कोई भी उसकी बातें न सुन सके, न अलग-अलग पेजों पर उसकी गतिविधियों पर निगरानी रखी जा सके, और न ही उसकी जानकारी चुराई जा सके.
  2. डेटा के साथ छेड़छाड़ न की जाए: ट्रांसफ़र के दौरान, डेटा में जान-बूझकर या किसी और वजह से बदलाव नहीं किया जा सकता और न ही डेटा करप्ट किया जा सकता है. अगर कोई ऐसा करने की कोशिश करता है, तो उसका पता चल जाता है.
  3. पुष्टि करना: यह इस बात की पुष्टि करता है कि आपकी वेबसाइट का इस्तेमाल करने वाले लोग, अपनी मनचाही वेबसाइट तक पहुंच रहे हैं. यह आपकी साइट को मैन इन द मिडल अटैक से सुरक्षित रखता है. साथ ही, यह उपयोगकर्ताओं में भरोसा कायम करता है, जो कि कारोबार के लिए फ़ायदेमंद है.

एचटीटीपीएस लागू करने के सबसे सही तरीके

बेहतर सुरक्षा वाले सर्टिफ़िकेट इस्तेमाल करना

अपनी साइट पर एचटीटीपीएस की सुविधा चालू करने के लिए, आपके पास सिक्योरिटी सर्टिफ़िकेट होना ज़रूरी है. यह सर्टिफ़िकेट, सर्टिफ़िकेट देने वाली संस्था (CA) जारी करती है. इसके लिए, इस बात की पुष्टि की जाती है कि आपका वेब पता वाकई आपके संगठन का है. ऐसा आपके ग्राहकों को मैन इन द मिडल अटैक से बचाने के लिए किया जाता है. सर्टिफ़िकेट सेट अप करते समय, ऊंचे स्तर की सुरक्षा देने के लिए 2048-बिट कुंजी चुनें. अगर आपके पास पहले से ही सर्टिफ़िकेट है, लेकिन उसकी कुंजी कम बिट (1024-बिट) की है, तो उसे 2048 बिट में अपग्रेड कर लें. अपनी साइट के लिए सर्टिफ़िकेट चुनते समय, इन बातों का ध्यान रखें:

  • अपना सर्टिफ़िकेट किसी ऐसे भरोसेमंद CA से लें जो तकनीकी सहायता उपलब्ध कराता हो.
  • यह तय करें कि आपको किस तरह का सर्टिफ़िकेट चाहिए:
    • एक सुरक्षित डोमेन के लिए सिर्फ़ एक सर्टिफ़िकेट (जैसे, www.example.com).
    • एक से ज़्यादा जाने-माने सुरक्षित डोमेन के लिए, एक से ज़्यादा डोमेन वाले सर्टिफ़िकेट (जैसे, www.example.com, cdn.example.com, example.co.uk).
    • कई डाइनैमिक सबडोमेन वाले डोमेन के लिए वाइल्डकार्ड सर्टिफ़िकेट (जैसे, a.example.com, b.example.com).

स्थायी सर्वर-साइड रीडायरेक्ट का इस्तेमाल करना

अपने उपयोगकर्ताओं और सर्च इंजन को एचटीटीपीएस पेज या स्थायी सर्वर-साइड रीडायरेक्ट वाले संसाधन पर रीडायरेक्ट करें.

पुष्टि करना कि Google आपके एचटीटीपीएस पेजों को क्रॉल और इंडेक्स कर सकता है

  • यूआरएल जांचने वाले टूल का इस्तेमाल करके, यह पता लगाएं कि Googlebot आपके पेजों को ऐक्सेस कर सकता है या नहीं.
  • robots.txt फ़ाइलों से अपने एचटीटीपीएस पेजों पर रोक न लगाएं.
  • अपने एचटीटीपीएस पेजों में, noindex टैग शामिल न करें.

वेबसाइट को एचएसटीएस के हिसाब से बनाना

हमारा सुझाव है कि एचटीटीपीएस साइटें, एचएसटीएस (एचटीटीपी स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी) के साथ काम करती हों. एचएसटीएस की मदद से, ब्राउज़र अपने-आप उपयोगकर्ता को एचटीटीपीएस पेजों पर ले जाता है. भले ही, उपयोगकर्ता ने ब्राउज़र के लोकेशन बार में http डाला हो. साथ ही, यह भी पक्का होता है कि Google पर खोज के नतीजों में, उपयोगकर्ताओं को सुरक्षित यूआरएल दिखें. इससे, उपयोगकर्ताओं को असुरक्षित पेजों वाला कॉन्टेंट मिलने का खतरा बहुत कम हो जाता है.

वेबसाइट को एचएसटीएस के हिसाब से बनाने के लिए, ऐसे वेब सर्वर का इस्तेमाल करें जिस पर यह काम करे. इसके बाद, एचएसटीएस की सुविधा को चालू करें.

एचएसटीएस ज़्यादा सुरक्षित है, लेकिन यह आपकी रोलबैक रणनीति को जटिल बनाता है. इसलिए, एचएसटीएस का इस्तेमाल ऐसे करें:

  1. सबसे पहले, अपने एचटीटीपीएस पेजों को एचएसटीएस के बिना ही शुरू करें.
  2. एक छोटे max-age के साथ, एचएसटीएस हेडर भेजना शुरू करें. उपयोगकर्ताओं और अन्य क्लाइंट, दोनों से आने वाले ट्रैफ़िक पर नज़र रखें. साथ ही, उन सभी चीज़ों की परफ़ॉर्मेंस पर भी नज़र रखें जिनसे साइट के ट्रैफ़िक पर असर पड़ता है, जैसे कि विज्ञापन.
  3. एचएसटीएस max-age को धीरे-धीरे बढ़ाएं.
  4. अगर एचएसटीएस आपके उपयोगकर्ताओं और सर्च इंजन पर बुरा असर नहीं डालता है, तो आप अपनी साइट को एचएसटीएस प्रीलोड सूची में जोड़ सकते हैं. इसका इस्तेमाल ज़्यादातर बड़े ब्राउज़र करते हैं. इसकी वजह से, ज़्यादा सुरक्षा और बेहतर परफ़ॉर्मेंस मिलती है.

इन आम गलतियों से बचें

अपनी साइट को TLS की मदद से सुरक्षित बनाते समय, इन गलतियों से बचें:

आम गलतियां और उनके समाधान
सर्टिफ़िकेट, जिनकी समयसीमा खत्म हो चुकी है यह पक्का कर लें कि आपका सर्टिफ़िकेट हमेशा अप-टू-डेट रहे.
गलत वेबसाइट के नाम पर रजिस्टर किया गया सर्टिफ़िकेट देख लें कि आपने उन सभी होस्ट नामों के लिए सर्टिफ़िकेट लिया है जो आपकी साइट पर मौजूद हैं. उदाहरण के लिए, अगर आपके सर्टिफ़िकेट में सिर्फ़ www.example.com शामिल है और आपकी वेबसाइट पर आने वाला व्यक्ति, सिर्फ़ example.com (www. प्रीफ़िक्स के बिना) इस्तेमाल करके आपकी साइट लोड करता है, तो उसे 'सर्टिफ़िकेट के नाम से मेल नहीं खा रहा' की गड़बड़ी दिखेगी और उसे आगे बढ़ने से रोक दिया जाएगा.
सर्वर के नाम से जुड़े संकेत (SNI) की सुविधा उपलब्ध न होना पक्का कर लें कि आपका वेब सर्वर, SNI के साथ काम करता हो और आपके दर्शक इसके हिसाब से ब्राउज़र इस्तेमाल करते हों. हालांकि, SNI सभी मॉडर्न ब्राउज़र के साथ चलता है. इसके बाद भी, अगर SNI को पुराने ब्राउज़र पर चलाना है, तो आपको उसके लिए खास IP की ज़रूरत होगी.
साइट क्रॉल करने में होने वाली गड़बड़ियां robots.txt का इस्तेमाल करके, अपनी एचटीटीपीएस साइट को क्रॉल किए जाने से न रोकें. ज़्यादा जानें
पेज को इंडेक्स करने में होने वाली गड़बड़ियां जहां हो सके, सर्च इंजन को अपने पेजों को इंडेक्स करने की मंज़ूरी दें. noindex टैग का इस्तेमाल न करें.
प्रोटोकॉल के पुराने वर्शन प्रोटोकॉल के पुराने वर्शन को नुकसान पहुंचाया जा सकता है. इसलिए, यह पक्का करें कि आपके पास TLS लाइब्रेरी के नए वर्शन हैं. साथ ही, प्रोटोकॉल के नए वर्शन ज़रूर लागू कर लें.
मिक्स्ड सिक्योरिटी एलिमेंट एचटीटीपीएस पेजों पर सिर्फ़ एचटीटीपीएस कॉन्टेंट एम्बेड करें.
एचटीटीपी और एचटीटीपीएस पर अलग-अलग कॉन्टेंट होना पक्का करें कि आपकी एचटीटीपी साइट और एचटीटीपीएस का कॉन्टेंट एक जैसा हो.
एचटीटीपीएस पर, एचटीटीपी स्टेटस कोड से जुड़ी गड़बड़ियां जांच लें कि आपकी वेबसाइट सही एचटीटीपी स्टेटस कोड वापस करती है या नहीं. उदाहरण के लिए, जिन पेजों को ऐक्सेस किया जा सकता है उनके लिए 200 OK. इसके अलावा, जो पेज मौजूद नहीं हैं उनके लिए 404 या 410.

साइट को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करना

अगर आप अपनी साइट के यूआरएल को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करते हैं, तो Google इसे यूआरएल में बदलाव करके, साइट को नई जगह पर ले जाना मानता है. ऐसा करने से, आपकी साइट पर आने वाले ट्रैफ़िक पर कुछ समय के लिए असर पड़ सकता है. साइट को नई जगह ले जाने से जुड़े सुझावों के बारे में ज़्यादा जानें.

पक्का करें कि आपने Search Console में नई एचटीटीपीएस प्रॉपर्टी जोड़ी है. Search Console, एचटीटीपी और एचटीटीपीएस को अलग-अलग देखता है. Search Console में, इन दोनों प्रॉपर्टी का डेटा एक-दूसरे के साथ शेयर नहीं किया जाता है.

अपनी साइट पर एचटीटीपीएस पेजों को इस्तेमाल करने के बारे में ज़्यादा सलाह पाने के लिए, एचटीटीपीएस पर माइग्रेट करने से जुड़े, अक्सर पूछे जाने वाले सवाल देखें.

TLS को लागू करने के बारे में ज़्यादा संसाधन

साइट पर TLS लागू करने से जुड़ी जानकारी देने वाले कुछ और संसाधन: