साइट को एचटीटीपीएस की मदद से सुरक्षित बनाना

एचटीटीपीएस (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल सिक्योर) एक इंटरनेट कम्यूनिकेशन प्रोटोकॉल है, जो उपयोगकर्ता के कंप्यूटर और जिस साइट का वह इस्तेमाल कर रहा है उसके बीच, डेटा के साथ कोई छेड़छाड़ नहीं होने देता. साथ ही, यह डेटा की गोपनीयता की सुरक्षा भी करता है. किसी वेबसाइट का इस्तेमाल करते समय, उपयोगकर्ता यह उम्मीद करते हैं कि इंटरनेट पर उनका अनुभव सुरक्षित और निजी रहे. हमारा सुझाव है कि आपकी वेबसाइट के साथ उपयोगकर्ताओं के कनेक्शन की सुरक्षा के लिए, आप एचटीटीपीएस का इस्तेमाल करें. भले ही, आपकी साइट पर किसी भी तरह का कॉन्टेंट हो.

एचटीटीपीएस का इस्तेमाल करके भेजा जाने वाला डेटा, ट्रांसपोर्ट लेयर सिक्योरिटी प्रोटोकॉल (TLS), की मदद से सुरक्षित किया जाता है. इस प्रोटोकॉल में, डेटा सुरक्षा की तीन मुख्य लेयर शामिल होती हैं:

  1. डेटा को एन्क्रिप्ट (सुरक्षित) करना: एक्सचेंज किए गए डेटा को एन्क्रिप्ट करना, ताकि डेटा को चोरी करने वालों से सुरक्षित रखा जा सके. इसका मतलब है कि जब कोई उपयोगकर्ता किसी वेबसाइट को ब्राउज़ करता है, तो कोई भी उसका डेटा न देख सके, अलग-अलग पेजों पर उसकी गतिविधियों को ट्रैक न कर सके, और न ही उसकी जानकारी चुरा सके.
  2. डेटा का रखरखाव: डेटा ट्रांसफ़र के दौरान, डेटा में जान-बूझकर या किसी और वजह से बदलाव नहीं किया जा सकता और न ही डेटा से छेड़छाड़ की जा सकती है. अगर कोई ऐसा करने की कोशिश करता है, तो उसका पता चल जाता है.
  3. पुष्टि करना: यह इस बात की पुष्टि करता है कि आपकी वेबसाइट का इस्तेमाल करने वाले लोग, अपनी मनचाही वेबसाइट तक पहुंच रहे हैं. यह आपकी साइट को मैन इन द मिडल अटैक से सुरक्षित रखता है. साथ ही, यह उपयोगकर्ताओं में भरोसा कायम करता है, जो कि कारोबार के लिए फ़ायदेमंद है.

एचटीटीपीएस लागू करने के सबसे सही तरीके

बेहतर सुरक्षा वाले सर्टिफ़िकेट इस्तेमाल करना

अपनी साइट पर एचटीटीपीएस की सुविधा चालू करने के लिए, आपके पास सिक्योरिटी सर्टिफ़िकेट होना ज़रूरी है. यह सर्टिफ़िकेट, सर्टिफ़िकेट देने वाली संस्था (CA) जारी करती है. इसके लिए, इस बात की पुष्टि की जाती है कि आपका वेब पता वाकई आपके संगठन का है. ऐसा आपके ग्राहकों को मैन इन द मिडल अटैक से बचाने के लिए किया जाता है. सर्टिफ़िकेट सेट अप करते समय, ऊंचे स्तर की सुरक्षा देने के लिए 2048-बिट कुंजी चुनें. अगर आपके पास पहले से ही सर्टिफ़िकेट है, लेकिन उसकी कुंजी कम बिट (1024-बिट) की है, तो उसे 2048 बिट में अपग्रेड कर लें. अपनी साइट के लिए सर्टिफ़िकेट चुनते समय, इन बातों का ध्यान रखें:

  • अपना सर्टिफ़िकेट, इसे जारी करने वाली किसी ऐसी भरोसेमंद संस्था से लें जो तकनीकी सहायता उपलब्ध कराती हो.
  • यह तय करें कि आपको किस तरह का सर्टिफ़िकेट चाहिए:
    • एक सुरक्षित डोमेन के लिए सिर्फ़ एक सर्टिफ़िकेट (जैसे, www.example.com).
    • एक से ज़्यादा जाने-माने सुरक्षित डोमेन के लिए, एक से ज़्यादा डोमेन वाले सर्टिफ़िकेट (जैसे, www.example.com, cdn.example.com, example.co.uk).
    • कई डाइनैमिक सबडोमेन वाले डोमेन के लिए वाइल्डकार्ड सर्टिफ़िकेट (जैसे, a.example.com, b.example.com).

स्थायी सर्वर-साइड रीडायरेक्ट का इस्तेमाल करना

अपने उपयोगकर्ताओं और सर्च इंजन को एचटीटीपीएस पेज या स्थायी सर्वर-साइड रीडायरेक्ट वाले रिसॉर्स पर रीडायरेक्ट करें.

पुष्टि करना कि Google आपके एचटीटीपीएस पेजों को क्रॉल और इंडेक्स कर सकता है

  • यूआरएल जांचने वाले टूल का इस्तेमाल करके, यह पता लगाएं कि Googlebot आपके पेजों को ऐक्सेस कर सकता है या नहीं.
  • robots.txt फ़ाइलों से अपने एचटीटीपीएस पेजों पर रोक न लगाएं.
  • अपने एचटीटीपीएस पेजों में, noindex टैग शामिल न करें.

वेबसाइट को एचएसटीएस के हिसाब से बनाना

हमारा सुझाव है कि एचटीटीपीएस साइटें ऐसी होनी चाहिए जो एचएसटीएस (एचटीटीपी स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी) के साथ काम करती हों. एचएसटीएस की मदद से, ब्राउज़र अपने-आप उपयोगकर्ता को एचटीटीपीएस पेजों पर ले जाता है. भले ही, उपयोगकर्ता ने ब्राउज़र के लोकेशन बार में http डाला हो. साथ ही, इससे यह भी पक्का होता है कि Google पर खोज के नतीजों में, उपयोगकर्ताओं को सुरक्षित यूआरएल दिखें. इससे, उपयोगकर्ताओं को असुरक्षित पेजों वाला कॉन्टेंट मिलने का खतरा बहुत कम हो जाता है.

वेबसाइट को एचएसटीएस के हिसाब से बनाने के लिए, ऐसे वेब सर्वर का इस्तेमाल करें जिस पर यह काम करे. इसके बाद, एचएसटीएस की सुविधा को चालू करें.

एचएसटीएस ज़्यादा सुरक्षित है, लेकिन यह आपकी रोलबैक रणनीति को जटिल बनाता है. इसलिए, एचएसटीएस का इस्तेमाल ऐसे करें:

  1. सबसे पहले, अपने एचटीटीपीएस पेजों को एचएसटीएस के बिना ही शुरू करें.
  2. एक छोटे max-age के साथ, एचएसटीएस हेडर भेजना शुरू करें. उपयोगकर्ताओं और अन्य क्लाइंट, दोनों से आने वाले ट्रैफ़िक पर नज़र रखें. साथ ही, उन सभी चीज़ों की परफ़ॉर्मेंस पर भी नज़र रखें जिनसे साइट के ट्रैफ़िक पर असर पड़ता है, जैसे कि विज्ञापन.
  3. एचएसटीएस max-age को धीरे-धीरे बढ़ाएं.
  4. अगर एचएसटीएस आपके उपयोगकर्ताओं और सर्च इंजन पर बुरा असर नहीं डालता, तो आप अपनी साइट को एचएसटीएस प्रीलोड सूची में जोड़ सकते हैं. कई बड़े ब्राउज़र इसका इस्तेमाल करते हैं. इसकी वजह से, ज़्यादा सुरक्षा और बेहतर परफ़ॉर्मेंस मिलती है.

इन आम गलतियों से बचें

अपनी साइट को TLS की मदद से सुरक्षित बनाते समय, इन गलतियों से बचें:

आम गलतियां और उनके समाधान
सर्टिफ़िकेट, जिनकी समयसीमा खत्म हो चुकी है यह पक्का कर लें कि आपका सर्टिफ़िकेट हमेशा अप-टू-डेट रहे.
गलत वेबसाइट के नाम पर रजिस्टर किया गया सर्टिफ़िकेट देख लें कि सर्टिफ़िकेट में उन सभी होस्ट के नाम हों जो आपकी साइट पर मौजूद हैं. उदाहरण के लिए, अगर आपके सर्टिफ़िकेट में सिर्फ़ www.example.com शामिल है और आपकी वेबसाइट पर आने वाला व्यक्ति, सिर्फ़ example.com (www. प्रीफ़िक्स के बिना) इस्तेमाल करके आपकी साइट लोड करता है, तो उसे 'सर्टिफ़िकेट के नाम से मेल नहीं खा रहा' की गड़बड़ी दिखेगी और उसे आगे बढ़ने से रोक दिया जाएगा.
सर्वर नेम इंंडिकेटर (SNI) की सुविधा उपलब्ध न होना पक्का कर लें कि आपका वेब सर्वर, SNI के साथ काम करता हो और आपके दर्शक इसके हिसाब से ब्राउज़र इस्तेमाल करते हों. हालांकि, SNI सभी मॉडर्न ब्राउज़र के साथ चलता है. इसके बाद भी, अगर SNI को पुराने ब्राउज़र पर चलाना है, तो आपको उसके लिए खास आईपी की ज़रूरत होगी.
साइट क्रॉल करने में होने वाली गड़बड़ियां robots.txt का इस्तेमाल करके, अपनी एचटीटीपीएस साइट को क्रॉल किए जाने से न रोकें. ज़्यादा जानें
पेज को इंडेक्स करने में होने वाली गड़बड़ियां जहां हो सके, सर्च इंजन को अपने पेजों को इंडेक्स करने की मंज़ूरी दें. noindex टैग का इस्तेमाल न करें.
प्रोटोकॉल के पुराने वर्शन प्रोटोकॉल के पुराने वर्शन को नुकसान पहुंचाया जा सकता है. इसलिए, यह पक्का करें कि आपके पास TLS लाइब्रेरी के नए वर्शन हैं. साथ ही, प्रोटोकॉल के नए वर्शन ज़रूर लागू कर लें.
मिले-जुले सिक्योरिटी एलिमेंट एचटीटीपीएस पेजों पर सिर्फ़ एचटीटीपीएस कॉन्टेंट एम्बेड करें.
एचटीटीपी और एचटीटीपीएस पर अलग-अलग कॉन्टेंट होना पक्का करें कि आपकी एचटीटीपी साइट और एचटीटीपीएस का कॉन्टेंट एक जैसा हो.
एचटीटीपीएस पर, एचटीटीपी स्टेटस कोड से जुड़ी गड़बड़ियां जांच लें कि आपकी वेबसाइट सही एचटीटीपी स्टेटस कोड दिखाती है या नहीं. उदाहरण के लिए, जिन पेजों को ऐक्सेस किया जा सकता है उनके लिए 200 OK. इसके अलावा, जो पेज मौजूद नहीं हैं उनके लिए 404 या 410.

साइट को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करना

अगर आप अपनी साइट को एचटीटीपी से एचटीटीपीएस पर माइग्रेट करते हैं, तो Google इसे यूआरएल में बदलाव करके, साइट को नए यूआरएल ले जाना मानता है. ऐसा करने से, आपकी साइट पर आने वाले ट्रैफ़िक पर कुछ समय के लिए असर पड़ सकता है. साइट को नए यूआरएल पर ले जाने से जुड़े सुझावों के बारे में ज़्यादा जानें.

पक्का करें कि आपने Search Console में नई एचटीटीपीएस प्रॉपर्टी जोड़ी है. Search Console, एचटीटीपी और एचटीटीपीएस को अलग-अलग देखता है. Search Console में, इन दोनों प्रॉपर्टी का डेटा एक-दूसरे के साथ शेयर नहीं किया जाता है.

अपनी साइट पर एचटीटीपीएस पेजों को इस्तेमाल करने के बारे में ज़्यादा सलाह पाने के लिए, एचटीटीपीएस पर माइग्रेट करने से जुड़े, अक्सर पूछे जाने वाले सवाल देखें.

TLS को लागू करने के बारे में ज़्यादा रिसॉर्स

साइट पर TLS लागू करने से जुड़ी जानकारी देने वाले कुछ और संसाधन:

If you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.

Report a security issue