HTTPS के ज़रिए अपनी साइट को सुरक्षित बनाएं

साइट और उसका इस्तेमाल करने वालों की सुरक्षा का तरीका

HTTPS क्या होता है?

HTTPS (हाइपरटेक्स्ट ट्रांसफ़र प्रोटोकॉल सिक्योर) एक इंटरनेट संचार प्रोटोकॉल है, जो इस्तेमाल करने वाले के कंप्यूटर और साइट से जुड़े डेटा के साथ छेड़छाड़ नहीं होने देता. साथ ही यह डेटा की निजता की सुरक्षा भी करता है. किसी वेबसाइट का इस्तेमाल करते समय, सभी इस्तेमाल करने वाले अपने ऑनलाइन अनुभव को सुरक्षित और निजी बनाए रखना चाहते हैं. आपकी वेबसाइट पर चाहे किसी भी तरह की सामग्री हो, उसे इस्तेमाल करने वाले लोगों के कनेक्शन की सुरक्षा के लिए, हम आपको HTTPS अपनाने की सलाह देते हैं.

एचटीटीपीएस का इस्तेमाल करके भेजे जाने वाले डेटा को ट्रांसपोर्ट लेयर सिक्योरिटी प्रोटोकॉल (टीएलएस) की मदद से सुरक्षित किया जाता है. इसमें डेटा को सुरक्षित रखने के लिए तीन मुख्य तरीके अपनाए जाते हैं:

  1. सुरक्षित रखने का तरीका— भेजे और पाए गए डेटा को छिप कर देखने वालों से सुरक्षित रखना. इसका मतलब है कि किसी इस्तेमाल करने वाले के वेबसाइट ब्राउज़ करने पर, न उसकी बातें मालूम की जा सकें, न अलग-अलग पेज पर उसकी गतिविधियों पर निगरानी रखी जा सके और न ही उसकी जानकारी चुराई जा सके.
  2. डेटा के साथ छेड़छाड़ न करना—ट्रांसफ़र के समय, डेटा को जानबूझकर या किसी और वजह से बदला या खराब नहीं किया जा सकता है. इस तरह की कोशिश करने वालों का पकड़ा जाना तय है.
  3. पुष्टि करना—यह इस बात की पुष्टि करता है कि आपकी वेबसाइट का इस्तेमाल करने वाले लोग, अपनी मनचाही वेबसाइट तक पहुंच रहे हैं. यह आपकी साइट को बिचौलियों के हमलों से सुरक्षित रखता है. साथ ही यह इस्तेमाल करने वालों में भरोसा कायम करता है, जो कि कारोबार के लिए फ़ायदेमंद है.

HTTPS के इस्तेमाल से जुड़ी खास बातें

सुरक्षा से जुड़े ठोस प्रमाणपत्र इस्तेमाल करें

अपनी साइट पर HTTPS की सुविधा चालू करने के लिए आपके पास 'सुरक्षा प्रमाणपत्र' होना ज़रूरी है. यह प्रमाणपत्र, प्रमाणपत्र प्राधिकारी (सर्टिफ़िकेट अथॉरिटी या CA) जारी करता है. इसके लिए इस बात की पुष्टि की जाती है कि आपका वेब पता वाकई आपके संगठन का है. ऐसा आपके ग्राहकों को बिचौलियों के हमलों से बचाने के लिए किया जाता है. प्रमाणपत्र सेट करते समय, उसे ऊंचे स्तर की सुरक्षा देने के लिए 2048-बिट कुंजी चुनें. अगर आपके पास पहले से एक प्रमाणपत्र है लेकिन उसकी कुंजी कम बिट (1024-बिट) वाली है, तो उसे 2048 बिट तक बढ़ा कर बेहतर बना लें. अपनी साइट के लिए प्रमाणपत्र चुनते समय इन बातों का ध्यान रखें:

  • अपना प्रमाणपत्र किसी ऐसे भरोसेमंद CA से लें, जो तकनीकी मदद देता हो.
  • अपनी ज़रूरत के मुताबिक प्रमाणपत्र का प्रकार चुनें:
    • किसी एक सुरक्षित वेबसाइट के लिए सिर्फ़ एक प्रमाणपत्र (उदाहरण के लिए, www.example.com).
    • एक से ज़्यादा जानी-मानी सुरक्षित वेबसाइट के लिए एक से ज़्यादा डोमेन वाले प्रमाणपत्र (उदाहरण के लिए, www.example.com, cdn.example.com, example.co.uk).
    • चालू उप डोमेन वाली कई वेबसाइट के लिए वाइल्डकार्ड प्रमाणपत्र (उदाहरण के लिए, a.example.com, b.example.com).

दूसरे वेबलिंक पर भेजने के लिए सर्वर-साइड 301 इस्तेमाल करें

सर्वर-साइड 301 HTTPS की मदद से, अपनी वेबसाइट इस्तेमाल करने वाले लोगों और सर्च इंजन को HTTPS पेज या संसाधन पर भेजें.

पुष्टि करें कि Google आपके HTTPS पेज को क्रॉल और इंडेक्स कर सकता है

  • robots.txt फ़ाइलों से अपने HTTPS पेज पर रोक न लगाएं.
  • अपने एचटीटीपीएस पेज में मेटा noindex टैग शामिल न करें.
  • यूआरएल की जाँच करने वाला टूल इस्तेमाल करके, पता लगाएं कि Googlebot आपके पेज एक्सेस कर सकता है या नहीं.

एचएसटीएस से साथ काम करना

हमारा सुझाव है कि HTTPS साइट HSTS (HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी) पर काम करता हो. HSTS होने से, ब्राउज़र अपने आप ही HTTPS पेज चलाने लगता है. भले ही, वेबसाइट इस्तेमाल करने वाले ने ब्राउज़र के पता बार में http लिखा हो. इसकी वजह से, Google पर खोज नतीजों में सुरक्षित यूआरएल भी दिखते हैं. इससे इस्तेमाल करने वालों को असुरक्षित सामग्री मिलने की संभावना बहुत कम हो जाती है.

वेबसाइट को HSTS के हिसाब से बनाने के लिए, ऐसा वेब सर्वर इस्तेमाल करें जिस पर यह काम करे. उसके बाद यह फ़ंक्शन चालू करें.

HSTS होने से वेबसाइट इस्तेमाल करते हुए पिछले पेज पर आना मुश्किल होता है. इसलिए HSTS ऐसे इस्तेमाल करें:

  1. सबसे पहले अपने HTTPS पेज को HSTS के बिना ही शुरू करें.
  2. छोटे और सबसे ज़्यादा चलने वाले HSTS हेडर भेजना शुरू करें. वेबसाइट इस्तेमाल करने वालों और दूसरे क्लाइंट से आने वाले ट्रैफ़िक पर नज़र रखें. साथ ही, विज्ञापनों जैसी निर्भर चीज़ों का काम भी देखें.
  3. HSTS कितना चलेगा, इसकी हद धीरे-धीरे बढ़ाते जाएं.
  4. अगर HSTS आपकी वेबसाइट इस्तेमाल करने वालों और सर्च इंजन पर असर नहीं डालता है, तो आप चाहें तो अपनी साइट को HSTS प्रीलोड सूची में जोड़ने के लिए कह सकते हैं. ज़्यादातर बड़े ब्राउज़र यही इस्तेमाल करते हैं.

'HSTS प्रीलोडिंग' इस्तेमाल करें

अगर आप HSTS चलाते हैं तो ज़्यादा सुरक्षा और बेहतर परफ़ॉर्मेंस के लिए HSTS प्रीलोडिंग की मदद लेने का विकल्प चुन सकते हैं. प्रीलोडिंग चालू करने के लिए, hstspreload.org पर जाएं. इसके बाद उनकी ज़रूरतों के हिसाब से अपनी साइट की जानकारी जमा करें.

इन आम गलतियों से बचें

अपनी साइट को TLS के ज़रिए सुरक्षित बनाते समय इन गलतियों से बचें:

समस्‍या कार्रवाई
खत्म हो चुके प्रमाणपत्र यह पक्का कर लें कि आपका प्रमाणपत्र हमेशा अपडेट रहे.
गलत वेबसाइट के नाम पर रजिस्टर किए गए प्रमाणपत्र जाँच लें कि आपने उन सभी होस्ट नामों के लिए एक प्रमाणपत्र लिया है, जो आपकी साइट पर मौजूद हैं. उदाहरण के लिए, अगर आपके प्रमाणपत्र में सिर्फ़ www.example.com है, तो अगर कोई वेबसाइट पर आने वाला example.com (बिना "www." प्रीफ़िक्स के) इस्तेमाल करके आपकी साइट लोड करता है, तो प्रमाणपत्र नाम मेल नहीं खा रहे गड़बड़ी के साथ उस इस्तेमाल करने वाले पर रोक लगा दी जाएगी.
सर्वर के नाम से जुड़े संकेत (SNI) की सहायता मौजूद न होना पक्का कर लें कि आपका वेब सर्वर SNI के साथ काम करता हो और आपके दर्शक इसके हिसाब से ब्राउज़र इस्तेमाल करते हों. हालांकि SNI सभी आधुनिक ब्राउज़र के साथ चलता है, फिर भी अगर आपको पुराने ब्राउज़र पर चलाना है, तो आपको उसके लिए खास IP की ज़रूरत होगी.
क्रॉल से जुड़ी समस्याएं robots.txt के ज़रिए अपनी HTTPS साइट को क्रॉल किए जाने से न रोकें.
इंडेक्स से जुड़ी समस्याएं जहां मुमकिन हो, सर्च इंजन की मदद से अपने पेज को इंडेक्स किए जाने की मंज़ूरी दें. noindex मेटा टैग से बचें.
पुराने प्रोटोकॉल वर्शन पुराने प्रोटोकॉल वर्शन को नुकसान पहुंचाया जा सकता है; इसलिए यह पक्का कर लें कि आपके पास TLS लाइब्रेरी के नए वर्शन हैं. साथ ही, यह भी देख लें कि आपने नए प्रोटोकॉल वर्शन लागू किए हैं या नहीं.
मिली-जुली सुरक्षा से जुड़ी चीज़ें (पेज पर कुछ चीज़ें सुरक्षित और कुछ असुरक्षित) HTTPS पेज पर सिर्फ़ HTTPS वाली सामग्री एम्बेड करें.
HTTP और HTTPS पर अलग-अलग सामग्री पक्का करें कि आपकी HTTP साइट और HTTPS की सामग्री एक जैसी हों.
HTTPS पर HTTP स्थिति कोड से जुड़ी गड़बड़ियां जाँच लें कि आपकी वेबसाइट सही HTTP स्थिति कोड भेजती है या नहीं. उदाहरण के लिए, ऐसे पेज जिन पर पहुंचा जा सकता है उनके लिए 200 OK, या जिन पर नहीं पहुंचा जा सकता उनके लिए 404 या 410.

ज़्यादा सलाह

अपनी साइट पर HTTPS पेज के इस्तेमाल के बारे में ज़्यादा सलाह के लिए, HTTPS डेटा दूसरी जगह भेजने से जुड़े 'अक्सर पूछे जाने वाले सवाल' देखें.

साइट के यूआरएल को एचटीटीपी से बदलकर एचटीटीपीएस पर ले जाने का तरीका

अगर अाप अपनी साइट के यूआरएल को एचटीटीपी से बदलकर एचटीटीपीएस पर ले जाते हैं, तो Google इसे साइट के यूअारएल या सर्वर में बदलाव करना मानता है. ऐसा करने से आपकी साइट पर आने वाले ट्रैफ़िक पर कुछ समय के लिए असर पड़ सकता है. इस बारे में ज़्यादा जानने के लिए, साइट के यूआरएल या सर्वर में बदलाव करने के बारे में खास जानकारी देने वाला पेज देखें.

Search Console में नई एचटीटीपीएस प्रॉपर्टी जोड़ना: Search Console एचटीटीपी और एचटीटीपीएस यूआरएल को अलग-अलग साइट के रूप में देखता है: इन दोनों प्रॉपर्टी का डेटा Search Console में शेयर नहीं किया जाता है.

साइटमैप के यूआरएल में बदलाव करने में आ रही समस्याएं हल करने की जानकारी देने वाला पेज देखें. इसकी मदद से आप साइट को एक यूआरएल से दूसरे यूआरएल पर ले जाने में आ रही समस्याएं ठीक कर पाएंगे.

ज़्यादा जानकारी

साइट पर TLS चलाने से जुड़ी ज़्यादा जानकारी:

क्या यह उपयोगी था?
हम उसे किस तरह बेहतर बना सकते हैं?