सुरक्षा से जुड़ी अहम शब्दावली

एचटीटीपीएस पर माइग्रेट करते समय, डेवलपर को कॉन्सेप्ट और शब्दावली से जुड़ी दो समस्याओं का सामना करना पड़ता है. इस गाइड में, दोनों के बारे में खास जानकारी दी गई है.

Chris Palmer
Chris Palmer

खास जानकारी

  • ब्राउज़र और सर्वर के बीच मैसेज पर हस्ताक्षर करने और उन्हें डिक्रिप्ट करने के लिए, सार्वजनिक/निजी कुंजियों का इस्तेमाल किया जाता है.
  • सर्टिफ़िकेट देने वाली संस्था (सीए) एक ऐसा संगठन है जो सार्वजनिक कुंजियों और सार्वजनिक डीएनएस नेम (जैसे, "www.foobar.com") के बीच मैपिंग की पुष्टि करता है.
  • सर्टिफ़िकेट साइनिंग रिक्वेस्ट (सीएसआर), एक डेटा फ़ॉर्मैट है. इसमें सार्वजनिक कुंजी के साथ-साथ, कुंजी के मालिक की इकाई के बारे में कुछ मेटाडेटा भी होता है

सार्वजनिक और निजी कुंजी के जोड़े क्या होते हैं?

सार्वजनिक/निजी कुंजी का जोड़ा, बहुत बड़ी संख्याओं का जोड़ा होता है. इसका इस्तेमाल, एन्क्रिप्शन और डिक्रिप्शन कुंजियों के तौर पर किया जाता है. साथ ही, इनमें गणितीय संबंध भी होता है. कुंजी के जोड़े के लिए, आरएसए क्रिप्टो सिस्टम एक सामान्य सिस्टम है. मैसेज को एन्क्रिप्ट करने के लिए, सार्वजनिक कुंजी का इस्तेमाल किया जाता है. साथ ही, मैसेज को सिर्फ़ उससे जुड़ी निजी कुंजी से डिक्रिप्ट किया जा सकता है. आपका वेब सर्वर, दुनिया को अपनी सार्वजनिक कुंजी का एलान करता है. क्लाइंट (जैसे, वेब ब्राउज़र) इसका इस्तेमाल, आपके सर्वर के लिए सुरक्षित चैनल को बूटस्ट्रॉप करने के लिए करते हैं.

सर्टिफ़िकेट देने वाली संस्था क्या है?

सर्टिफ़िकेट देने वाली संस्था (सीए) एक ऐसा संगठन है जो सार्वजनिक कुंजियों और सार्वजनिक डीएनएस नेम (जैसे, "www.foobar.com") के बीच मैपिंग की पुष्टि करता है. उदाहरण के लिए, क्लाइंट को कैसे पता चलेगा कि कोई सार्वजनिक कुंजी, www.foobar.com के लिए सही सार्वजनिक कुंजी है या नहीं? पहले से, यह जानने का कोई तरीका नहीं है. सीए, किसी खास साइट के लिए किसी खास पासकोड की पुष्टि करता है. इसके लिए, वह अपनी निजी पासकोड का इस्तेमाल करके, वेबसाइट की सार्वजनिक पासकोड पर क्रिप्टोग्राफ़िक तरीके से हस्ताक्षर करता है. इस हस्ताक्षर को गलत तरीके से बनाने के लिए, कंप्यूटर का इस्तेमाल करना मुमकिन नहीं है. ब्राउज़र (और अन्य क्लाइंट) ट्रस्ट ऐंकर स्टोर मैनेज करते हैं. इनमें, जाने-माने सीए के मालिकाना हक वाली सार्वजनिक कुंजियां होती हैं. ये ब्राउज़र, सीए के हस्ताक्षरों की क्रिप्टोग्राफ़ी से पुष्टि करने के लिए, उन सार्वजनिक कुंजियों का इस्तेमाल करते हैं.

X.509 सर्टिफ़िकेट एक डेटा फ़ॉर्मैट है. इसमें सार्वजनिक कुंजी के साथ-साथ, उस इकाई के बारे में कुछ मेटाडेटा भी होता है जिसके पास कुंजी का मालिकाना हक होता है. वेब के मामले में, साइट ऑपरेटर पासकोड का मालिक होता है. साथ ही, वेब सर्वर का डीएनएस नेम अहम मेटाडेटा होता है. जब कोई क्लाइंट, एचटीटीपीएस वेब सर्वर से कनेक्ट होता है, तो वेब सर्वर अपना सर्टिफ़िकेट दिखाता है, ताकि क्लाइंट उसकी पुष्टि कर सके. क्लाइंट इस बात की पुष्टि करता है कि सर्टिफ़िकेट की समयसीमा खत्म नहीं हुई है, डीएनएस नेम उस सर्वर के नाम से मेल खाता है जिससे क्लाइंट कनेक्ट करने की कोशिश कर रहा है, और किसी भरोसेमंद ऐंकर सीए ने सर्टिफ़िकेट पर हस्ताक्षर किया है. ज़्यादातर मामलों में, सीए सीधे तौर पर वेब सर्वर के सर्टिफ़िकेट पर हस्ताक्षर नहीं करते. आम तौर पर, किसी ट्रस्ट ऐंकर को साइन करने वाले एक या उससे ज़्यादा लोगों से वेब सर्वर के सर्टिफ़िकेट (आखिरी इकाई) को जोड़ने वाली सर्टिफ़िकेट की चेन होती है.

सर्टिफ़िकेट पर हस्ताक्षर करने का अनुरोध क्या होता है?

सर्टिफ़िकेट साइनिंग रिक्वेस्ट (सीएसआर) एक डेटा फ़ॉर्मैट है. यह सर्टिफ़िकेट की तरह ही, एक सार्वजनिक पासकोड को उस इकाई के कुछ मेटाडेटा के साथ बंडल करता है जिसके पास पासकोड का मालिकाना हक होता है. हालांकि, क्लाइंट सीएसआर का विश्लेषण नहीं करते. सीए ऐसा करते हैं. जब आपको अपने वेब सर्वर की सार्वजनिक कुंजी के लिए सीए की पुष्टि करनी होती है, तो सीए को सीएसआर भेजा जाता है. सीएसआर में दी गई जानकारी की पुष्टि करने के बाद, सीए उसका इस्तेमाल सर्टिफ़िकेट जनरेट करने के लिए करता है. इसके बाद, सीए आपको फ़ाइनल सर्टिफ़िकेट भेजता है. इसके बाद, आपको अपने वेब सर्वर पर उस सर्टिफ़िकेट (या ज़्यादातर मामलों में, सर्टिफ़िकेट चेन) और अपनी निजी पासकोड को इंस्टॉल करना होता है.