मुझे नहीं पता कि जो मित्र हमारा आधिकारिक खाता देख रहे हैं, उन्होंने कभी "डिजिटल सुरक्षा प्रमाणपत्र" पॉप-अप विंडो देखी है जब वे कक्षाएं छोड़कर इंटरनेट पर सर्फिंग कर रहे थे और सीखने की वेबसाइटों को ब्राउज़ करने के लिए IE ब्राउज़र का उपयोग कर रहे थे। या क्या किसी को अभी भी याद है कि WeChat और QQ ने शुरू में वेब संस्करण लॉगिन का समर्थन किया था, लेकिन HTTP प्रोटोकॉल की सुरक्षा के कारण, उन्होंने बाद में रखरखाव बंद कर दिया।


ये दो चीजें जो पहुंच से बाहर लगती हैं, वास्तव में उस नायक से संबंधित हैं जिसके बारे में टोनी आज बात करने जा रहे हैं - एसएसएल प्रमाणपत्र।
मामले की वजह ये है. कुछ समय पहले टोनी ने इंटरनेट पर एक पोस्ट देखी, जिससे मैं असहज हो गया।
इसमें कहा गया है कि उच्च कीमत वाले एसएसएल प्रमाणपत्र एक पूर्ण इंटरनेट घोटाला है, और यह 49,000% के लाभ मार्जिन के साथ एक बेहद लाभदायक उद्योग भी है। . .

यहां मैं उन लोगों को समझाना चाहूंगा जो इंटरनेट के बारे में ज्यादा नहीं जानते हैं। यहां उल्लिखित एसएसएल प्रमाणपत्र लंबे समय से समकालीन इंटरनेट सर्फिंग के लिए मानक बन गया है।
यह वेबसाइट के आईडी कार्ड के बराबर है। इसका कार्य उपयोगकर्ता को यह बताना है कि आप जिस वेबसाइट को ब्राउज़ कर रहे हैं वह वही वेबसाइट है जिसे आप ब्राउज़ करना चाहते हैं। इसके साथ बीच में कोई छेड़छाड़ नहीं की गई है और यह सुरक्षित है.

दरअसल, हम हर दिन एसएसएल प्रमाणपत्रों से निपटते हैं। यदि आपको इस पर विश्वास नहीं है——
अब आप अपने कंप्यूटर पर ब्राउज़र खोलकर Baidu खोल सकते हैं. पता बार के बगल में छोटे लॉक आइकन पर ध्यान दें? इसका वास्तव में मतलब है "कनेक्शन सुरक्षित"।

"प्रमाणपत्र मान्य" बटन पर क्लिक करना जारी रखें, और आप देखेंगे कि Baidu किस SSL सुरक्षा प्रमाणपत्र का उपयोग कर रहा है।

जब कोई ब्राउज़र किसी वेबसाइट तक पहुंचता है, तो वह पहले जांच करेगा कि क्या वेबसाइट का डिजिटल सुरक्षा प्रमाणपत्र एक आधिकारिक प्रमाणपत्र प्राधिकारी (सीए) द्वारा जारी किया गया है, क्या प्रमाणपत्र में डोमेन नाम वर्तमान में देखे जा रहे डोमेन नाम के अनुरूप है, और क्या प्रमाणपत्र समाप्त हो गया है या रद्द कर दिया गया है। . .
यदि उनमें से एक मेल नहीं खाता है, तो ब्राउज़र लक्ष्य वेबसाइट से डिस्कनेक्ट हो जाएगा और चेतावनी देगा कि "आपने इस वेबसाइट से जो कनेक्शन स्थापित किया है वह सुरक्षित नहीं है।"
लेख की शुरुआत में उल्लिखित प्रमाणपत्र पॉप-अप विंडो वास्तव में कुछ पुराने इंटरनेट कैफे द्वारा उपयोग किए जाने वाले WinXP और Win7 सिस्टम के कारण है। उनका अंतर्निहित IE ब्राउज़र पुराना है और नए एन्क्रिप्शन एल्गोरिदम का उपयोग करने वाले इंटरनेट डिजिटल प्रमाणपत्रों को नहीं पहचान सकता है, इसलिए ब्राउज़र आपको संकेत देगा कि आपका ऑनलाइन व्यवहार जोखिम भरा है।
यह उस समय की वेब पॉप-अप विंडो नहीं है, इसे स्टेशन बी के एक ब्लॉगर श्री इसवर्ड द्वारा पुन: प्रस्तुत करने का प्रयास किया गया था।

तो इतनी उचित प्रतीत होने वाली चीज़ अत्यधिक लाभदायक व्यवसाय में कैसे बदल गई?
यह HTTP प्रोटोकॉल से शुरू होता है। टोनी कहानी को छोटा रखने का प्रयास करेंगे -
जब HTTP का पहली बार आविष्कार किया गया था, तो इसका कार्य वास्तव में बहुत सरल था, और यह क्लाइंट और सर्वर के बीच डेटा संचारित करने के लिए जिम्मेदार था।
और यह एक प्रोटोकॉल भी है जो "सज्जनों से बचाता है लेकिन खलनायकों से नहीं": क्योंकि शुरुआती दिनों में डेटा एन्क्रिप्शन की ज्यादा मांग नहीं थी, HTTP प्रोटोकॉल द्वारा प्रसारित डेटा पैकेट सभी स्पष्ट पाठ में थे।
इसका मतलब यह है कि बुरे इरादे वाला कोई व्यक्ति आपके द्वारा भेजी और प्राप्त की गई सभी जानकारी को आसानी से हाईजैक कर सकता है, जिसमें स्वाभाविक रूप से आपका लॉगिन पासवर्ड और आपके द्वारा ब्राउज़ किए गए वेब पेजों की सामग्री शामिल है।
WeChat और QQ ने HTTP प्रोटोकॉल की इस सुविधा के कारण आंशिक रूप से वेब संस्करण को छोड़ दिया।

1994 तक, नेटस्केप - हाँ, नेटस्केप जो कंप्यूटर इतिहास की किताबों में दिखाई देता है, ने एसएसएल सिक्योर सॉकेट लेयर तकनीक का आविष्कार किया, जो "कोडबुक" प्रसारित करने के लिए सार्वजनिक कुंजी एन्क्रिप्शन और निजी कुंजी डिक्रिप्शन का उपयोग करता था, जो ब्राउज़र और सर्वर के बीच "एन्क्रिप्टेड कॉल" की अनुमति देता था और तीसरे पक्ष को बचाता था।
एसएसएल तकनीक की गारंटी के कारण ही इंटरनेट पर सर्फिंग करने वाला हर व्यक्ति सुरक्षित रहेगा। वह साक्ष्य जो यह साबित करता है कि एक निश्चित एसएसएल कनेक्शन भरोसेमंद है, इस संबंध में उपयोग किया जाने वाला एसएसएल प्रमाणपत्र है।
इस समय, ब्राउज़र में URL का उपसर्ग भी HTTP से HTTPS में बदल जाएगा।

दूसरे शब्दों में, HTTPS = HTTP + SSL/TLS।एसएसएल/टीएलएस तकनीक द्वारा एन्क्रिप्ट किए गए HTTP कनेक्शन सुरक्षित हैं।
उपभोक्ताओं और व्यापारियों के बीच की तरह, लेनदेन सुरक्षा सुनिश्चित करने के लिए एक स्वतंत्र और भरोसेमंद तीसरे पक्ष के रूप में कार्य करने के लिए Alipay की आवश्यकता है। दरअसल, यह साबित करने के लिए उपयोगकर्ता और ब्राउज़र के बीच एक विश्वसनीय भूमिका भी होती है कि "यह एसएसएल प्रमाणपत्र किसी संगठन द्वारा जारी किया गया है, तो यह विश्वसनीय है।"
यह व्यापक रूप से विश्वसनीय मध्यस्थ भूमिका सीए संगठन की है।
केवल ऑपरेटिंग सिस्टम और ब्राउज़र दोनों द्वारा विश्वसनीय CA प्राधिकारी ही वैध SSL प्रमाणपत्र जारी कर सकता है जो पॉप अप नहीं होगा।

दूसरे शब्दों में, सीए संगठन बनने के लिए एक निश्चित सीमा होती है, और इस सीमा के कारण अंततः कई प्रमुख प्रमाणपत्र जारी करने वाली एजेंसियों का वास्तविक एकाधिकार हो गया। ऐसे मिलता है मोटा मुनाफा -
बस एक वेबसाइट खोलें जो एसएसएल प्रमाणपत्र बेचती है, और आप पाएंगे कि जारी करने वाली एजेंसियां प्रमाणपत्रों को विभिन्न तरीकों से नाम देती हैं, जो वर्तमान मोबाइल फोन सर्कल में "टर्बो प्रो+, रेसिंग संस्करण" से भी अधिक भ्रमित करने वाली हैं। . .

आइए मैं इसे संक्षेप में सुलझाने में आपकी सहायता करूं। वास्तव में, इन प्रमाणपत्रों को मोटे तौर पर तीन श्रेणियों में विभाजित किया जा सकता है: डोमेन सत्यापन (डीवी) प्रमाणपत्र, संगठन सत्यापन (ओवी) प्रमाणपत्र और विस्तारित सत्यापन (ईवी) प्रमाणपत्र। आइए इन्हें बस मानक संस्करण, प्रो संस्करण और प्रो मैक्स संस्करण के रूप में समझें। बेशक, ज्वार के साथ कीमत भी बढ़ेगी। . .
इन SSL प्रमाणपत्र वेबसाइटों के अनुसार, DV प्रमाणपत्र केवल यह सत्यापित करता है कि किसी वेबसाइट का डोमेन नाम आवेदक का है या नहीं।
उच्च-स्तरीय ओवी और ईवी प्रमाणपत्रों के लिए अधिक कठोर मैन्युअल समीक्षा की आवश्यकता होती है, जैसे व्यवसाय लाइसेंस और कानूनी व्यक्ति प्रमाणपत्र के साथ आवेदन करना। कुछ जारीकर्ता एजेंसियां "ऑफ़लाइन वास्तविक" उपयोगकर्ताओं का भी संचालन करती हैं, साइट पर निरीक्षण करती हैं, और सत्यापन चक्र लंबा होगा।

इतना ही नहीं, जारी किया गया उन्नत प्रमाणपत्र अतिरिक्त रूप से उपयोगकर्ता के ब्राउज़र के यूआरएल बार में कंपनी का नाम भी प्रदर्शित करेगा, जिससे उपयोगकर्ताओं के "फ़िश्ड" होने का जोखिम कम हो जाएगा; इसके विपरीत, प्रवेश-स्तर प्रमाणपत्र केवल एक छोटा लॉक प्रदर्शित कर सकते हैं और कंपनी का नाम प्रदर्शित नहीं करेंगे।

यह स्पष्ट है कि सभी ने सुरक्षा पर अत्यधिक जोर देने पर ध्यान दिया है। यदि आप अधिक सुरक्षित रहना चाहते हैं, तो आपको अधिक पैसे खर्च करने होंगे और अधिक उन्नत प्रमाणपत्र खरीदना होगा।
किंतु क्या वास्तव में यही मामला है?
सबसे पहले, विभिन्न सुरक्षा स्तरों वाले इन तथाकथित प्रमाणपत्रों पर करीब से नज़र डालें। उपयोग किए गए एन्क्रिप्शन एल्गोरिदम और कुंजी लंबाई बिल्कुल समान हैं। कहने का तात्पर्य यह है कि, तकनीकी स्तर पर, एसएसएल प्रमाणपत्रों के विभिन्न स्तरों की एन्क्रिप्शन ताकतें बिल्कुल समान हैं। . .

इस तरह, ओवी/ईवी प्रमाणपत्रों की ऊंची कीमत सहायक सेवाओं में परिलक्षित होती है, जैसे कि कई सीए संगठनों द्वारा प्रचारित "अधिक कठोर मैन्युअल समीक्षा"। . .
लेकिन टोनी के आसपास ऐसे सहकर्मी भी हैं जिन्होंने वास्तव में एसएसएल प्रमाणपत्र खरीदे हैं। मैं केवल इतना कह सकता हूं कि ओवी/ईवी प्रमाणपत्र जारी करना वास्तविक कॉर्पोरेट पहचान की पुष्टि जैसे कारकों से बंधा नहीं होगा। यह कुछ संगठनों द्वारा की गई एक अतिरिक्त आवश्यकता मात्र है।

इस सहकर्मी को ऐसी स्थिति का भी सामना करना पड़ा, जहां, भले ही उसने किसी संगठन को व्यवसाय लाइसेंस नहीं दिया था और कंपनी का नाम गलत टाइप किया गया था, फिर भी दूसरे पक्ष ने उसे आश्वासन दिया कि वह हस्ताक्षर कर सकता है। . .
यह अपमानजनक अनुभव मुझे सीए एजेंसी द्वारा अतीत में किए गए उसी तरह के बुरे काम की याद दिलाता है——
2017 में, Google को पता चला कि उस समय उद्योग के सबसे बड़े SSL प्रमाणपत्र प्रदाता सिमेंटेक ने डोमेन नाम स्वामित्व को सख्ती से सत्यापित किए बिना गलती से 30,000 से अधिक SSL प्रमाणपत्र जारी कर दिए थे।

उस समय उच्चतम विश्वसनीयता वाले सीए के रूप में, सिमेंटेक पहले से ही पैसा कमा रहा था, लेकिन प्रमाणपत्रों को स्पैम जारी करने के मामले अभी भी थे। . . इस घटना के कारण अंततः Google ने 2018 में Symantec के सभी रूट प्रमाणपत्रों को पूरी तरह से हटा दिया, और बाद वाले को अपना CA व्यवसाय DigiCert को बेचने के लिए मजबूर होना पड़ा।
2019 में, क्रोम और फ़ायरफ़ॉक्स ब्राउज़र ने "एड्रेस बार में ईवी प्रमाणपत्र प्रदर्शित करने" की सुविधा को हटा दिया।

Google ने कहा कि जांच के बाद यह पाया गया कि विस्तारित जानकारी अब उपयोगकर्ताओं की अपेक्षा के अनुरूप सुरक्षा नहीं कर सकती है। हमने पहले जो कारण बताया है वह यह है कि भले ही यह एक धोखाधड़ी वाली कंपनी हो, जब तक एक कॉर्पोरेट इकाई है, तब भी आप कंपनी की जानकारी के साथ एक एड्रेस बार प्राप्त करने का एक तरीका ढूंढ सकते हैं। . .
इसके अलावा, अब लगभग हर कोई सीधे एपीपी का उपयोग करता है, और एपीपी में यूआरएल बार नहीं है, इसलिए उच्च कीमत वाले एसएसएल प्रमाणपत्रों की विशेष पहचान बहुत कम उपयोग की है। इस दृष्टिकोण से, चाहे वह सस्ता डीवी प्रमाणपत्र हो या उच्च कीमत वाला ओवी या ईवी प्रमाणपत्र, उनकी सुरक्षा समान है।
तो इससे कोई फर्क नहीं पड़ता कि आप इसे कैसे देखते हैं, उपयोगकर्ता सीए एजेंसियों के चालाक संचालन को सहन करते हुए अपना पैसा अन्यायपूर्ण तरीके से खर्च कर रहे हैं। यह उस पोस्ट की ओर ले जाता है जिसे टोनी ने लेख की शुरुआत में देखा था, जो उच्च कीमत वाले एसएसएल प्रमाणपत्रों के खिलाफ एक पागल आरोप था।
लेकिन वास्तव में, पहले, लोगों का एक और समूह इस समस्या को हल करने के लिए आगे आया था——
2014 में, इंटरनेट सिक्योरिटी रिसर्च ग्रुप (ISRG) ने लेट्स एनक्रिप्ट नामक एक सार्वजनिक कल्याण परियोजना की स्थापना की। उनका एक अद्भुत लक्ष्य है, जो एसएसएल प्रमाणपत्रों को निःशुल्क और स्वचालित बनाना है।

बेशक, वे इसके बारे में सिर्फ बात नहीं कर रहे हैं, संगठन के वास्तविक प्रदर्शन की जाँच की जा सकती है——
2015 में मुफ्त एसएसएल प्रमाणपत्र जारी होने के दस साल बीत चुके हैं और संगठन ने 500 मिलियन से अधिक एसएसएल प्रमाणपत्र जारी किए हैं। और W3Techs के आँकड़ों के अनुसार, Let's Encrypt की बाज़ार हिस्सेदारी अब 60% से अधिक हो गई है।

मुफ़्त प्रमाणपत्र बाज़ार की मुख्यधारा बनने लगे हैं, और लेट्स एनक्रिप्ट स्वाभाविक रूप से भुगतान किए गए एसएसएल प्रमाणपत्रों का हिस्सा खा जाता है, इसलिए आप पाएंगे कि भुगतान किया गया एसएसएल प्रमाणपत्र उद्योग धीरे-धीरे मानकीकृत होता जा रहा है -
उदाहरण के लिए, प्रतिस्पर्धा की स्थिति में, कुछ मुख्यधारा सीए संगठनों ने कीमतें कम करना शुरू कर दिया और यहां तक कि मुफ्त डीवी प्रमाणपत्र भी प्रदान किए; कुछ पारंपरिक सीए संगठनों ने भी लेट्स एनक्रिप्ट से सीखना शुरू किया और प्रमाणपत्रों का स्वचालित जारी करना और स्वचालित नवीनीकरण शुरू किया। यदि वे इसे हरा नहीं सके तो वे इसमें शामिल हो गए।

क्या लेट्स एनक्रिप्ट की बाजार हिस्सेदारी में और विस्तार होने पर मुफ्त प्रमाणपत्र पूरी तरह से भुगतान किए गए एसएसएल प्रमाणपत्रों की जगह ले लेंगे?
आवश्यक रूप से नहीं।
क्योंकि एसएसएल जारी करने वाला उद्योग बड़ा और बड़ा होता जा रहा है——
एक ओर, ब्राउज़र उद्योग डिफ़ॉल्ट रूप से HTTPS प्रोटोकॉल को बढ़ावा देता है, जिसके परिणामस्वरूप लगभग सभी वेबसाइट मालिकों को SSL प्रमाणपत्र तैनात करना पड़ता है।
दूसरी ओर, IoT नेटवर्किंग उपकरणों की बढ़ती संख्या ने सार्वजनिक नेटवर्क एन्क्रिप्टेड संचार और एसएसएल प्रमाणपत्रों की भारी मांग को जन्म दिया है, जो सीए संस्थानों के लिए एक नया राजस्व वृद्धि बिंदु भी बन गया है।
इससे भी महत्वपूर्ण बात यह है कि सरकारी, वित्तीय, चिकित्सा उद्योगों और कुछ बड़े उद्यमों में पोर्टलों के लिए कुछ अनुपालन समीक्षाएं हैं, जो ऐसी वेबसाइटों को ओवी या ईवी जैसे भुगतान किए गए एसएसएल प्रमाणपत्र स्थापित करने के लिए मजबूर करेंगी।
इसलिए, अब वास्तविक स्थिति वास्तव में यह है:एसएसएल जारी करने वाली एजेंसियां अभी भी पैसा कमा सकती हैं, लेकिन लेट्स एनक्रिप्ट जैसे सार्वजनिक कल्याण संगठनों के अस्तित्व के कारण, अतीत का भारी मुनाफा हमेशा के लिए खत्म हो गया है।.
यह अच्छी बात है कि हर कोई ईमानदारी से काम करना और पैसा कमाना शुरू कर रहा है।