HTTPS: कैसे पैडलॉक ने वेब पर कब्ज़ा कर लिया

वास्तव में HTTPS क्या है HTTP के 80 के बजाय डिफ़ॉल्ट पोर्ट 443 है। URL http:// के बजाय https:// से शुरू होते हैं। नेटवर्क देखने वाले किसी भी व्यक्ति के लिए, ट्रैफ़िक एन्क्रिप्टेड बाइट्स की तरह दिखता है - वे देख सकते हैं कि आप सर्वर से कनेक्ट हो रहे हैं, लेकिन वह नहीं जो आप कह रहे हैं। HTTPS सिर्फ HTTP-ओवर-TLS है। मुख्य रूप से क्रेडिट-कार्ड लेनदेन के लिए। यूनिवर्सल HTTPS को एक सामान्य अपेक्षा बनाने वाला पहला लोकप्रिय-ग्रेड टूल। नि:शुल्क प्रमाणपत्र, ACME प्रोटोकॉल के माध्यम से स्वचालित। अचानक HTTPS की लागत $50/वर्ष और मैन्युअल CSR नृत्य के बजाय $0 और 90 सेकंड के सेटअप की लागत है। यह एकल सबसे बड़ा त्वरक है। लेबलिंग लगभग रातों-रात उपयोगकर्ता की धारणा को बदल देती है। मिश्रित-सामग्री अवरोधन, HSTS प्रवर्तन, और प्रमाणपत्र पारदर्शिता परिपक्व हो गई है। ~96% कम से कम कुछ HTTPS सेवा प्रदान करते हैं। बाइट्स। Trusts.

HTTPS किससे सुरक्षा नहीं देता है एन्क्रिप्टेड क्लाइंट हैलो (ईसीएच) इस अंतर को पाट रहा है; व्यापक डिफॉल्ट-ऑन रोलआउट अभी भी प्रगति पर है। शोधकर्ताओं ने अकेले HTTPS ट्रैफ़िक पैटर्न से खोज क्वेरी, चिकित्सा स्थितियों और स्टॉक-व्यापार गतिविधि के बिट्स को पुनर्प्राप्त करने का प्रदर्शन किया है।

जिस CA पर आप भरोसा करते हैं प्रमाणपत्र पारदर्शिता लॉग परिणामी हमलों का पता लगाने योग्य बनाते हैं लेकिन असंभव नहीं।

प्रमाणपत्र प्रकार सबसे सस्ता, सबसे तेज़, लेट्स एनक्रिप्ट क्या मुद्दे हैं। 2026.

Organization Validated (OV) में अधिकांश वेब के पीछे प्रमाणपत्र प्रकार - अतिरिक्त रूप से पुष्टि करता है कि संगठन मौजूद है। मामूली प्रीमियम कीमत। पता बार में कंपनी का नाम प्रमुखता से प्रदर्शित करने के लिए उपयोग किया जाता है; आधुनिक ब्राउज़रों ने इस अंतर को काफी हद तक कम कर दिया है क्योंकि उपयोगकर्ताओं ने वास्तव में इसे नहीं पढ़ा है। यह एसएसएल स्ट्रिपिंग हमलों को रोकता है जहां एक सक्रिय हमलावर प्रारंभिक प्लेनटेक्स्ट HTTP अनुरोध को रोकता है और HTTPS.

< में अपग्रेड को रोकता है।p>HSTS प्रीलोड सूची इसे और आगे ले जाती है: डोमेन स्वयं को बिल्ड समय पर क्रोम, फ़ायरफ़ॉक्स, सफारी, एज और ब्रेव में बेक की गई सूची में सबमिट करते हैं। किसी प्रीलोडेड डोमेन पर पहली बार विजिट सीधे HTTPS पर जाती है - किसी हमलावर के लिए अपग्रेड को रोकने का कोई अवसर नहीं। प्रमुख साइटें (बैंक, ईमेल प्रदाता, सरकारी सेवाएँ) लगभग सार्वभौमिक रूप से प्रीलोड सूची में दिखाई देती हैं। आधुनिक ब्राउज़र या तो इन अनुरोधों को स्वचालित रूप से HTTPS में अपग्रेड कर देते हैं या उन्हें पूरी तरह से ब्लॉक कर देते हैं। 2025 तक, किसी भी सार्थक मिश्रित सामग्री वाली साइटें आधुनिक ब्राउज़रों में बड़े पैमाने पर काम नहीं करेंगी।

HTTP/2, HTTP/3, और QUIC माइग्रेशन

नए HTTP संस्करण व्यवहार में केवल HTTPS हैं। HTTP/2 (2015) के लिए सभी प्रमुख ब्राउज़रों में TLS की आवश्यकता होती है। HTTP/3 (2022) QUIC पर चलता है - एक UDP-आधारित प्रोटोकॉल जो TLS 1.3 को उसकी मूल संरचना में जोड़ता है। कोई प्लेनटेक्स्ट HTTP/3 नहीं है. QUIC में परिवर्तन 2022 से चुपचाप हो रहा है और अब अधिकांश Google, Facebook और Cloudflare ट्रैफ़िक को नियंत्रित करता है। लेट्स एनक्रिप्ट के बाद, प्रमाणपत्रों की लागत $0 होती है और ACME प्रोटोकॉल के माध्यम से सेकंडों में स्वचालित रूप से जारी किए जाते हैं।

पूरा खेल आर्थिक बदलाव का था। HTTPS की बाधा "सार्थक परियोजना" से घटकर "कमांड-लाइन वन-लाइनर" हो गई। क्रोम के HTTP-शेमिंग अभियान के साथ मिलकर, वेब चार वर्षों के भीतर बहुसंख्यक-HTTP से बहुसंख्यक-HTTPS पर स्थानांतरित हो गया। यह एक सुरक्षा सुविधा के लिए असामान्य रूप से तेज़ जीत है। https://bank.com), उन्हें साइट का एक HTTP संस्करण प्रदान करता है, और वास्तविक HTTPS साइट से कनेक्शन प्रॉक्सी करता है। उपयोगकर्ता देखता है कि सही साइट कैसी दिखती है; हमलावर अपने क्रेडेंशियल्स को प्लेनटेक्स्ट में देखता है। जैसे ही HTTPS 100% के करीब पहुंचा, कैप्टिव पोर्टल चुपचाप विफल होने लगे - आपका फ़ोन वाई-फ़ाई से कनेक्ट हुआ लेकिन कुछ भी लोड नहीं कर सका क्योंकि हर आधुनिक ऐप पहले HTTPS का प्रयास करता है। आईओएस और एंड्रॉइड दोनों ने कैप्टिव-पोर्टल डिटेक्शन जोड़ा है जो अवरोधन का पता लगाने और लॉगिन प्रवाह को ट्रिगर करने के लिए एक छोटे ज्ञात HTTP एंडपॉइंट की जांच करता है। अधिकांश प्रमुख कैप्टिव पोर्टल 2026 में काम करेंगे; कुछ अभी भी नहीं.