ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) सिक्योर सॉकेट लेयर (SSL) प्रोटोकॉल का नवीनतम संस्करण है। दोनों प्रोटोकॉल इंटरनेट पर डेटा गोपनीयता और प्रामाणिकता सुनिश्चित करते हैं। व्यापक रूप से उपयोग किए जाने वाले ये प्रोटोकॉल वेब-आधारित संचार के लिए एन्क्रिप्शन लागू करके संपूर्ण सुरक्षा प्रदान करते हैं। हालाँकि, TLS और SSL की समानता के बावजूद, उनमें भी महत्वपूर्ण अंतर हैं।

यह लेख बताता है कि टीएलएस और एसएसएल एन्क्रिप्शन प्रोटोकॉल कैसे काम करते हैं, उनका महत्व, वे कैसे भिन्न होते हैं, और टीएलएस प्रोटोकॉल पर स्विच करने का यह सही समय क्यों है।

टीएलएस और एसएसएल की ऐतिहासिक पृष्ठभूमि

इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ), इंटरनेट मानकों को विकसित करने के लिए जिम्मेदार संगठन, प्रकाशित टिप्पणियों के लिए अनुरोध (आरएफसी-1984), बढ़ते इंटरनेट में व्यक्तिगत डेटा सुरक्षा के महत्व को पहचानना। नेटस्केप कम्युनिकेशन कॉरपोरेशन ने वेब संचार को सुरक्षित करने के लिए एसएसएल की शुरुआत की जिसमें कई उन्नयन हुए।

एसएसएल 1.0 संस्करण सुरक्षा खामियों के कारण कभी जारी नहीं किया गया था, और एसएसएल 2.0 1995 में नेटस्केप द्वारा पहली सार्वजनिक रिलीज थी। हालांकि, सुरक्षा कमजोरियों और कमियों के कारण, इसे नवंबर 1996 में एक अन्य एसएसएल संस्करण 3.0 से बदल दिया गया था। नवीनतम एसएसएल संस्करण भी इसके खिलाफ असुरक्षा के कारण उपयोग में नहीं है

instagram viewer
अक्टूबर 2014 में पूडल हमला और जून 2015 में आधिकारिक तौर पर बहिष्कृत कर दिया गया था।

टीएलएस 1999 में एक एप्लिकेशन-स्वतंत्र प्रोटोकॉल के रूप में जारी किया गया था: इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ) द्वारा बनाए गए एसएसएल संस्करण 3.0 में अपग्रेड। एफ़टीपी, आईएमएपी, एसएमटीपी और एचटीटीपी प्रोटोकॉल का उपयोग करके अनुप्रयोगों को एन्क्रिप्ट करने के लिए टीसीपी पर टीएलएस को लागू करने का विचार था। उदाहरण के लिए, HTTPS HTTP का एक सुरक्षित संस्करण है क्योंकि यह सामग्री परिवर्तन और छिपकर बातें करने से बचकर सुरक्षित डेटा वितरण सुनिश्चित करने के लिए टीएलएस लागू करता है।

टीएलएस/एसएसएल प्रोटोकॉल की बुनियादी कार्यप्रणाली

पार्टियों के बीच संचार (उदाहरण के लिए, आपका कंप्यूटर ब्राउज़र और एक वेबसाइट) यह पहचान कर शुरू करता है कि क्या यह टीएलएस/एसएसएल प्रोटोकॉल को शामिल करेगा या नहीं, जैसे कि क्लाइंट टीएलएस एन्क्रिप्शन के उपयोग को निर्दिष्ट कर सकता है द्वारा:

  • एसएसएल संचार एन्क्रिप्शन का समर्थन करने वाले पोर्ट को निर्दिष्ट करना, या
  • TLS प्रोटोकॉल-विशिष्ट अनुरोध करके

इस बीच में, किसी वेबसाइट को TLS/SSL प्रमाणपत्र की आवश्यकता होती है प्रोटोकॉल का उपयोग करने के लिए अपने होस्टिंग सर्वर पर स्थापित। एक विश्वसनीय तृतीय पक्ष उस प्रमाणपत्र को जारी करता है जो सार्वजनिक कुंजी को उस डोमेन से बांधता है जो निजी कुंजी का मालिक है और इसे संचार को एन्क्रिप्ट/डिक्रिप्ट करने में सक्षम बनाता है।

क्लाइंट-सर्वर संचार के लिए टीएलएस/एसएसएल का उपयोग करने पर सहमत होने के बाद, यह हैंडशेक करने के लिए आगे बढ़ता है। हैंडशेक संदेशों के आदान-प्रदान के लिए आवश्यक विशिष्टताओं को स्थापित करता है। निम्नलिखित खंड टीएलएस/एसएसएल कनेक्शन को सक्षम करने के लिए सूचना आदान-प्रदान की श्रृंखला को सारांशित करता है:

  1. पार्टियां उस प्रोटोकॉल के संस्करण पर सहमत होती हैं जिसका वे उपयोग करेंगे, फिर
  2. उपयोग करने के लिए क्रिप्टोग्राफिक एल्गोरिदम या सिफर सूट पर निर्णय लेता है, फिर
  3. जारीकर्ता प्रमाणपत्र प्राधिकारी के सार्वजनिक कुंजी और डिजिटल हस्ताक्षर के साथ संचार करने वाले दलों को प्रमाणित करता है, फिर
  4. संचार के दौरान उपयोग की जाने वाली सत्र कुंजियों का आदान-प्रदान करता है। टीएलएस और एसएसएल दोनों प्रोटोकॉल साझा (सार्वजनिक) और निजी कुंजी उत्पन्न करने के लिए असममित क्रिप्टोग्राफी का उपयोग करते हैं।

यदि ब्राउज़र टीएलएस/एसएसएल प्रमाणपत्र को मान्य नहीं कर सकता है, तो यह "कनेक्शन निजी नहीं है" की त्रुटि देता है।

हैंडशेक के दौरान डिक्रिप्शन विधि स्थापित करने के बाद, रिकॉर्ड प्रोटोकॉल सममित एन्क्रिप्शन का उपयोग करता है पूरे सत्र के लिए संचार के लिए। इसके अलावा, डेटा अखंडता सुनिश्चित करने के लिए रिकॉर्ड प्रोटोकॉल टीएलएस के लिए एचएमएसी और एसएसएल के लिए मैक के साथ संदेश भी जोड़ता है।

इसलिए, प्रोटोकॉल सुरक्षा के तीन मूलभूत लक्ष्यों को पूरा करते हैं:

  • गोपनीयता: डेटा को तीसरे पक्ष से छिपाने के लिए एन्क्रिप्ट करता है जैसे कि केवल एक इच्छित प्राप्तकर्ता ही सामग्री को देख सकता है।
  • अखंडता: एन्क्रिप्टेड संदेश सामग्री को सत्यापित करने के लिए संदेश प्रमाणीकरण कोड लागू करता है।
  • प्रमाणीकरण: एक प्रमाणपत्र की मदद से वेबसाइट/क्लाइंट/सर्वर की पहचान को प्रमाणित करता है ताकि यह सुनिश्चित किया जा सके कि सूचनाओं का आदान-प्रदान करने वाले पक्ष अपनी पहचान से पीछे नहीं हट सकते।

टीएलएस और एसएसएल में क्या अंतर है?

जैसा कि पहले उल्लेख किया गया है, आप दोनों प्रोटोकॉल के बीच मुख्य अंतर यह देखते हैं कि वे कनेक्शन कैसे स्थापित करते हैं। टीएलएस हैंडशेक प्रोटोकॉल के माध्यम से कनेक्शन स्थापित करने के एक निहित तरीके का उपयोग करता है, जबकि एसएसएल एक पोर्ट के साथ स्पष्ट कनेक्शन बनाता है।

अन्य सभी अंतरों के बावजूद, मौलिक विशेषता जो टीएलएस/एसएसएल दोनों कनेक्शनों को अलग करती है, एक सिफर सूट का उपयोग है जो कनेक्शन की समग्र सुरक्षा को तय करता है।

टीएलएस/एसएसएल कनेक्शन का अनिवार्य हिस्सा एक सिफर सूट पर सहमत होना है जो कुंजी एक्सचेंज के लिए एल्गोरिदम के एक सेट को परिभाषित करता है, प्रमाणीकरण, बल्क एन्क्रिप्शन, और हैश-आधारित संदेश प्रमाणीकरण कोड (HMAC) या संदेश प्रमाणीकरण कोड एल्गोरिदम, आदि। एक विशेष सत्र के लिए। प्रत्येक टीएलएस/एसएसएल संस्करण संचार सत्र के लिए सिफर सूट के एक अलग सेट का समर्थन करता है। इसलिए, प्रत्येक सिफर सूट अपने स्वयं के एल्गोरिदम के सेट का समर्थन करता है जो सुरक्षा और समग्र कनेक्शन प्रदर्शन में सुधार करता है।

एसएसएल टीएलएस
एसएसएल लागू करने के लिए एक जटिल प्रोटोकॉल है। टीएलएस एक सरल प्रोटोकॉल है।
एसएसएल के तीन संस्करण हैं, जिनमें एसएसएल 3.0 नवीनतम है। TLS के चार संस्करण हैं, जिनमें से TLS 1.3 संस्करण नवीनतम है
सभी एसएसएल प्रोटोकॉल संस्करण हमलों की चपेट में हैं। TLS प्रोटोकॉल उच्च सुरक्षा प्रदान करता है।
डेटा अखंडता के लिए संदेश एन्क्रिप्शन के बाद एसएसएल एक संदेश प्रमाणीकरण कोड (मैक) का उपयोग करता है TLS अपने रिकॉर्ड प्रोटोकॉल में हैश-आधारित संदेश प्रमाणीकरण कोड का उपयोग करता है।
एसएसएल एक मास्टर सीक्रेट बनाने के लिए मैसेज डाइजेस्ट का उपयोग करता है। टीएलएस एक मास्टर सीक्रेट बनाने के लिए एक छद्म-यादृच्छिक कार्य करता है।

टीएलएस ने एसएसएल को क्यों बदला?

टीएलएस एन्क्रिप्शन अब वेब एप्लिकेशन या इन-ट्रांजिट डेटा को ईव्सड्रॉपिंग और छेड़छाड़ से सुरक्षित करने के लिए एक मानक अभ्यास है। टीएलएस को सबसे सुरक्षित प्रोटोकॉल के रूप में मानना ​​अवास्तविक है क्योंकि यह अपराध जैसे उल्लंघनों के लिए प्रवण है और 2012 और 2014 में हार्टबलेड, लेकिन इसने प्रदर्शन के मामले में बहुत सुधार दिखाया है और सुरक्षा।

टीएलएस एसएसएल की जगह ले रहा है, और लगभग सभी एसएसएल संस्करणों को अब इसकी ज्ञात कमजोरियों के कारण बहिष्कृत कर दिया गया है। Google क्रोम एक ऐसा उदाहरण है जिसने 2014 में एसएसएल 3.0 संस्करण का उपयोग करना बंद कर दिया था, और अधिकांश आधुनिक वेब ब्राउज़र एसएसएल का बिल्कुल भी समर्थन नहीं करते हैं।

एन्क्रिप्टेड संचार के लिए टीएलएस का प्रयोग करें

टीएलएस क्रेडिट कार्ड विवरण, ईमेल, वॉयस ओवर आईपी (वीओआइपी), फ़ाइल स्थानांतरण और पासवर्ड जैसी संवेदनशील ऑन-ट्रांजिट जानकारी को सुरक्षित करने में मदद करता है। भले ही दोनों प्रमाणपत्र इन-ट्रांजिट डेटा एन्क्रिप्शन का कार्य करते हैं, वे कार्यक्षमता में भिन्न हैं और इंटरऑपरेबल नहीं हैं।

यह ध्यान रखना महत्वपूर्ण है कि टीएलएस को केवल एसएसएल के रूप में संदर्भित किया जाता है क्योंकि एसएसएल सबसे अधिक इस्तेमाल की जाने वाली शब्दावली है, और प्रमाण पत्र की उपस्थिति टीएलएस प्रोटोकॉल के उपयोग की गारंटी नहीं देती है। इसके अलावा, आपको एसएसएल को टीएलएस प्रमाणपत्रों में बदलने के बारे में चिंता करने की ज़रूरत नहीं है क्योंकि आपको केवल सर्वर पर प्रमाणपत्र स्थापित करना है क्योंकि यह दोनों प्रोटोकॉल का समर्थन करता है और यह तय करता है कि किसका उपयोग करना है।

आपकी साइट को SSL प्रमाणपत्र की आवश्यकता के 7 कारण

इससे कोई फर्क नहीं पड़ता कि आप एक मामूली ब्लॉग या एक पूर्ण ईकामर्स साइट विकसित कर रहे हैं: आपको एक एसएसएल प्रमाणपत्र की आवश्यकता है। यहां कुछ व्यावहारिक कारण दिए गए हैं।

आगे पढ़िए

साझा करनाकलरवईमेल
संबंधित विषय
  • प्रौद्योगिकी की व्याख्या
  • सुरक्षा
  • एसएसएल
  • ओपनएसएसएल
  • ऑनलाइन सुरक्षा
  • ब्राउज़र सुरक्षा
  • डाटा सुरक्षा
लेखक के बारे में
रुमैसा नियाज़िक (16 लेख प्रकाशित)

रुमैसा MUO में एक स्वतंत्र लेखिका हैं। उसने गणितज्ञ से लेकर सूचना सुरक्षा के प्रति उत्साही तक कई टोपियाँ पहनी हैं, और अब वह SOC विश्लेषक के रूप में काम कर रही है। उसकी रुचियों में नई तकनीकों के बारे में पढ़ना और लिखना, लिनक्स वितरण, और सूचना सुरक्षा के आसपास कुछ भी शामिल है।

Rumaisa Niazi. की और फ़िल्में या टीवी शो

हमारे न्यूज़लेटर की सदस्यता लें

तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!

सब्सक्राइब करने के लिए यहां क्लिक करें