बीबीसी अपनी वेबसाइट की सुरक्षा और परफ़ॉर्मेंस को बेहतर करने के लिए, एचएसटीएस लॉन्च कर रहा है. जानें कि इसका क्या मतलब है और एचएसटीएस आपकी मदद कैसे कर सकता है.
हाल ही के सालों में, एचटीटीपीएस का इस्तेमाल करने वाले लोगों की संख्या में लगातार बढ़ोतरी हो रही है. एचटीटीपी संग्रह की 2021 के वेब कैलेंडर के मुताबिक, डेस्कटॉप और मोबाइल, दोनों के लिए किए गए सभी अनुरोध में से करीब 91% अनुरोध एचटीटीपीएस पर मिले. एचटीटीपीएस का इस्तेमाल सिर्फ़ एचटीटीपीएस पर न करना पड़े. इसके लिए, सर्विस वर्कर जैसी सुविधाओं और एचटीटीपी/2 और एचटीटीपी/3 जैसे मॉडर्न प्रोटोकॉल का इस्तेमाल करना ज़रूरी है.
हाल ही में, नील क्रेग—बीबीसी के एक लीड टेक्निकल आर्किटेक्ट—ने ट्वीट किया था कि bbc.com के लिए एचटीटीपी स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी (एचएसटीएस) को धीरे-धीरे रोल आउट किया जा रहा है. आइए, जानते हैं कि बीबीसी के लिए इसका क्या मतलब है और आपके लिए इसका क्या मतलब हो सकता है.
समस्या
वेब सर्वर अक्सर पोर्ट 80 और 443, दोनों पर आने वाले अनुरोधों को सुनते हैं. पोर्ट 80, असुरक्षित एचटीटीपी अनुरोधों के लिए है, जबकि 443 सुरक्षित एचटीटीपीएस के लिए है. इसकी वजह से समस्या हो सकती है, क्योंकि जब पता बार में https:// प्रोटोकॉल प्रीफ़िक्स के बिना कोई पता डाला जाता है, जैसा कि ज़्यादातर उपयोगकर्ता करते हैं, तो कुछ ब्राउज़र लेगसी वजहों से, किसी साइट के असुरक्षित एचटीटीपी वर्शन पर ट्रैफ़िक भेज देते हैं. हालांकि, ऐसा हमेशा नहीं होता है.
उपयोगकर्ता किसी वेबसाइट के असुरक्षित वर्शन को ऐक्सेस नहीं कर सकते, यह पक्का करने का एक सामान्य तरीका यह है कि सभी अनुरोधों के लिए एचटीटीपी-टू-एचटीटीपीएस रीडायरेक्ट लागू किया जाए. यह निश्चित रूप से काम करता है, लेकिन इससे इवेंट की नीचे दी गई शृंखला शुरू हो जाती है:
- सर्वर को एचटीटीपी के ज़रिए एक अनुरोध मिलता है.
- सर्वर, अनुरोध किए गए रिसॉर्स के बराबर एचटीटीपीएस पर जाने के लिए रीडायरेक्ट जारी करता है.
- एचटीटीपीएस से सर्वर को ब्राउज़र के साथ सुरक्षित कनेक्शन के लिए बातचीत करनी होगी.
- कॉन्टेंट सामान्य तरीके से लोड होता है.
रीडायरेक्ट करने की सुविधा ठीक से काम करती है. हालांकि, इसे इस तरह से गलत तरीके से कॉन्फ़िगर किया जा सकता है जिससे अब भी किसी साइट के असुरक्षित वर्शन का ऐक्सेस मिल सके. अगर सब कुछ सही तरीके से कॉन्फ़िगर किया गया हो, तो भी सुरक्षा से जुड़ी समस्या बनी रहेगी. रीडायरेक्ट करने के दौरान, उपयोगकर्ता असुरक्षित एचटीटीपी पर कनेक्ट हो सकेगा. इससे उपयोगकर्ताओं को मैन इन द मिडल अटैक के जोखिम का खतरा पैदा हो जाता है.
एचएसटीएस डालें
एचटीटीपीएस अनुरोधों के लिए, एचएसटीएस को Strict-Transport-Security एचटीटीपी रिस्पॉन्स हेडर से तय किया जाता है. इस नीति को सेट करने पर, किसी वेबसाइट पर वापस आने पर होने वाली विज़िट, एक खास रीडायरेक्ट को ट्रिगर करेगी. इस रीडायरेक्ट को "307 इंटरनल रीडायरेक्ट" कहते हैं. ऐसा तब होता है, जब ब्राउज़र, सर्वर के बजाय रीडायरेक्ट लॉजिक को हैंडल करता है. इससे अनुरोध को बीच में नहीं रोका जाता, क्योंकि यह ब्राउज़र में कभी नहीं जाता. इसलिए, यह ज़्यादा सुरक्षित रहता है. अतिरिक्त बोनस के रूप में, इस प्रकार के रीडायरेक्ट बहुत तेज़ होते हैं, इसलिए HTTP-से-एचटीटीपीएस हॉप करने के दौरान कोई भी ध्यान देने योग्य इंतज़ार के समय को खत्म कर दिया जाता है.
Cache-Control के max-age डायरेक्टिव की तरह ही, एचएसटीएस हेडर max-age डायरेक्टिव के बारे में बताता है. इस डायरेक्टिव की वैल्यू सेकंड में दिखती है. इससे पता चलता है कि यह नीति कितने समय तक काम करती है:
Strict-Transport-Security: max-age=3600
ऊपर दिए गए उदाहरण में, नीति को सिर्फ़ एक घंटे तक ही लागू किया जाना चाहिए.
एचएसटीएस को डिप्लॉय करना
एचएसटीएस लागू करने का मुख्य नुकसान यह है कि अगर आप अपने मूल डोमेन को पूरी तरह से सुरक्षित के रूप में इस्तेमाल करने के लिए तैयार नहीं हैं. मान लें कि आपके पास ऐसे कई सबडोमेन हैं जिनसे संसाधन इस्तेमाल किए जा रहे हैं, लेकिन हो सकता है कि वे सभी सुरक्षित न हों. ऐसी स्थिति में, एचएसटीएस हेडर आपकी वेबसाइट को नुकसान पहुंचा सकता है.
बीबीसी ने एचएसटीएस को लागू करने के लिए सही तरीका अपनाया. जैसा कि नील क्रेग ने अपने ट्वीट में बताया है, bbc.com के लिए सेट की गई शुरुआती वैल्यू max-age=10 थी.
इसका मतलब है कि शुरुआत में यह नीति सिर्फ़ 10 सेकंड के लिए लागू थी. इससे ज़्यादा फ़ायदा नहीं मिलता, लेकिन यह पता लगाने की कोशिश करें कि क्या एचएसटीएस लागू करने में कोई समस्या हो सकती है. समय के साथ, नीति को धीरे-धीरे बढ़ाया जा सकता है और देखा जा सकता है कि कोई समस्या होती है या नहीं. यह लिखते समय, bbc.com max-age=86400 की एचएसटीएस नीति के बारे में बता रहा है. यह नीति समय के साथ बढ़ने वाली है.
एचएसटीएस को डिप्लॉय करते समय, max-age की लंबी वैल्यू का इस्तेमाल करके खरीदारी पूरी नहीं करनी चाहिए. अगर उपयोगकर्ताओं को समस्याएं आ रही हैं, तो आपको उन्हें ठीक करने में अचानक समस्या आ सकती है. छोटी चीज़ों से शुरुआत करें और समय के साथ बजट बढ़ाएं! जब आपको लगे कि सब ठीक है, तो max-age डायरेक्टिव को ज़्यादा समय के लिए सेट किया जा सकता है. हमारा सुझाव है कि पूरी तरह रोल आउट होने के बाद, max-age को एक या दो साल पर सेट करें.
एचएसटीएस प्रीलोड सूची की मदद से, शुरुआती और सुरक्षित नेविगेशन पाएं
एचएसटीएस नीति, किसी वेबसाइट पर पहली बार आने के बाद ही लागू होती है. इसलिए, साइट पर पहली बार आने पर आपको इससे कोई फ़ायदा नहीं मिलेगा. इसके लिए अब भी असुरक्षित रीडायरेक्ट की ज़रूरत होगी. हालांकि, अपनी वेबसाइट को एचएसटी प्रीलोड सूची में सबमिट करके, एचएसटीएस नीति को पहले से लोड किया जा सकता है. यह उन वेबसाइटों की हार्डकोड सूची होती है जिनके बारे में ब्राउज़र को पता चलता है कि वे एचटीटीपीएस हैं. जब आपकी साइट पहले से लोड की गई सूची में होती है, तो पहली विज़िट भी सुरक्षित रहती है. साथ ही, एचएसटीएस के ज़रिए एचटीटीपी-से-एचटीटीपीएस रीडायरेक्ट होने में लगने वाला समय तुरंत होता है.
इसे खुद आज़माएं
अगर बीबीसी को एचएसटीएस की जांच करने में कोई परेशानी नहीं है, तो इस बात की संभावना है कि आप अपनी वेबसाइट के लिए भी ऐसा करें. अपनी वेबसाइट पर एक नज़र डालें और—अगर आपको चीज़ों को बेहतर बनाना है, तो इसे एचएसटीएस प्रीलोड सूची में जोड़ें. ऐसा तब करें, जब आपको भरोसा हो कि आपके उपयोगकर्ताओं को सुरक्षित और तेज़ अनुभव देने के लिए कोई गड़बड़ी नहीं है.