किसी भी वेबसाइट की सफलता में सुरक्षा एक गंभीर रूप से महत्वपूर्ण कारक है। यह उन साइटों के लिए विशेष रूप से सच है जिन्हें आगंतुकों से पीआईए, या "व्यक्तिगत पहचान योग्य जानकारी" एकत्र करने की आवश्यकता है। ऐसी साइट के बारे में सोचें जिसके लिए आपको एक सामाजिक सुरक्षा नंबर दर्ज करना होगा, या अधिक सामान्यतः, एक ई-कॉमर्स साइट जो आपको अपनी खरीद पूरी करने के लिए क्रेडिट कार्ड जानकारी जोड़ने की आवश्यकता है। इन तरह की साइटों पर, सुरक्षा केवल उन आगंतुकों से ही अपेक्षित नहीं है, यह सफलता के लिए आवश्यक है।
जब आप ई-कॉमर्स साइट बना रहे हों, तो आपको पहले सेट अप करने की आवश्यकता होगी, एक सुरक्षा प्रमाण पत्र है ताकि आपका सर्वर डेटा सुरक्षित रहे। जब आप इसे सेट अप करते हैं, तो आपके पास एक स्व-हस्ताक्षरित प्रमाणपत्र बनाने या प्रमाण पत्र प्राधिकरण द्वारा अनुमोदित प्रमाण पत्र बनाने का विकल्प होता है। आइए वेबसाइट सुरक्षा सुरक्षा के लिए इन दो दृष्टिकोणों के बीच मतभेदों पर नज़र डालें।
हस्ताक्षरित और स्व-हस्ताक्षरित प्रमाणपत्रों के बीच समानताएं
चाहे आप प्रमाण पत्र प्राधिकरण द्वारा हस्ताक्षरित अपना प्रमाणपत्र प्राप्त करें या स्वयं इसे साइन करें, एक ऐसी चीज है जो दोनों पर बिल्कुल समान है:
- दोनों प्रमाण पत्र ऐसी साइट उत्पन्न करेंगे जो तृतीय पक्षों द्वारा नहीं पढ़ा जा सकता है। एक HTTPS कनेक्शन, या SSL पर भेजा गया डेटा, इस पर ध्यान दिए बिना कि प्रमाणपत्र हस्ताक्षरित है या स्वयं हस्ताक्षरित है या नहीं।
दूसरे शब्दों में, दोनों प्रकार के प्रमाणपत्र एक सुरक्षित वेबसाइट बनाने के लिए डेटा एन्क्रिप्ट करेंगे। डिजिटल सुरक्षा परिप्रेक्ष्य से, यह प्रक्रिया का चरण 1 है।
आप एक प्रमाणपत्र प्राधिकरण का भुगतान क्यों करेंगे
एक प्रमाण पत्र प्राधिकरण आपके ग्राहकों को बताता है कि इस सर्वर की जानकारी को एक विश्वसनीय स्रोत द्वारा सत्यापित किया गया है न कि केवल उस कंपनी के पास जो वेबसाइट का मालिक है। असल में, एक तृतीय पक्ष कंपनी है जिसने सुरक्षा की जानकारी सत्यापित की है।
सबसे अधिक इस्तेमाल किया जाने वाला प्रमाणपत्र प्राधिकरण Verisign है। किस सीए का उपयोग किया जाता है, इस पर निर्भर करता है कि डोमेन सत्यापित है और प्रमाण पत्र जारी किया गया है। Verisign और अन्य भरोसेमंद सीए सवाल में व्यापार के अस्तित्व और डोमेन के स्वामित्व को थोड़ा अधिक सुरक्षा प्रदान करने के लिए सत्यापित करेंगे कि प्रश्न में साइट वैध है।
एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करने में समस्या यह है कि लगभग हर वेब ब्राउज़र जांचता है कि एक मान्यता प्राप्त सीए द्वारा एक https कनेक्शन पर हस्ताक्षर किए जाते हैं। यदि कनेक्शन स्वयं हस्ताक्षरित है, तो इसे संभावित रूप से जोखिम भरा के रूप में फ़्लैग किया जाएगा और त्रुटि संदेश आपके ग्राहकों को साइट पर भरोसा करने के लिए प्रोत्साहित करेंगे, भले ही यह वास्तव में सुरक्षित हो।
एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करना
चूंकि वे एक ही सुरक्षा प्रदान करते हैं, आप किसी भी हस्ताक्षरित प्रमाणपत्र का उपयोग कहीं भी एक हस्ताक्षरित प्रमाणपत्र का उपयोग कर सकते हैं, लेकिन कुछ स्थान दूसरों की तुलना में बेहतर काम करते हैं।
सर्वर पर परीक्षण के लिए स्व-हस्ताक्षरित प्रमाणपत्र बहुत अच्छे हैं । यदि आप ऐसी वेबसाइट बना रहे हैं जिसे आपको https कनेक्शन पर परीक्षण करने की आवश्यकता है, तो आपको उस विकास साइट के लिए एक हस्ताक्षरित प्रमाणपत्र के लिए भुगतान नहीं करना है (जो एक आंतरिक संसाधन होने की संभावना है)। आपको बस अपने परीक्षकों को बताना होगा कि उनका ब्राउज़र चेतावनी संदेश पॉप कर सकता है।
आप उन परिस्थितियों के लिए स्वयं-हस्ताक्षरित प्रमाणपत्र भी उपयोग कर सकते हैं जिनके लिए गोपनीयता की आवश्यकता होती है, लेकिन लोग इस बारे में चिंतित नहीं हो सकते हैं। उदाहरण के लिए:
- उपयोगकर्ता नाम और पासवर्ड फॉर्म
- व्यक्तिगत, लेकिन पीआईए, गैर-वित्तीय जानकारी एकत्रित करना
- उन फॉर्मों पर जहां एकमात्र उपयोगकर्ता ऐसे लोग हैं जो आपको कंपनी इंट्रानेट की तरह जानते हैं और भरोसा करते हैं
यह विश्वास करने के लिए नीचे आता है। जब आप एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करते हैं, तो आप अपने ग्राहकों से कह रहे हैं "मेरा विश्वास करो - मैं हूं जो मैं कहता हूं कि मैं हूं।" जब आप किसी सीए द्वारा हस्ताक्षरित प्रमाणपत्र का उपयोग करते हैं, तो आप कह रहे हैं, "मेरा विश्वास करो - Verisign सहमत हैं मैं हूं जो मैं कहता हूं कि मैं हूं।" यदि आपकी साइट जनता के लिए खुली है और आप उनके साथ व्यापार करने की कोशिश कर रहे हैं, तो बाद में इसे बनाने के लिए एक बहुत ही मजबूत तर्क है।
यदि आप ई-कॉमर्स कर रहे हैं, तो आपको एक हस्ताक्षरित प्रमाणपत्र की आवश्यकता है
यह संभव है कि आपके ग्राहक आपको एक स्व-हस्ताक्षरित प्रमाणपत्र के लिए क्षमा करेंगे यदि वे इसका उपयोग अपनी वेबसाइट पर लॉग इन करना चाहते हैं, लेकिन यदि आप उन्हें अपने क्रेडिट कार्ड या पेपैल जानकारी इनपुट करने के लिए कह रहे हैं, तो आपको वास्तव में एक हस्ताक्षरित की आवश्यकता है प्रमाण पत्र। अधिकांश लोग हस्ताक्षरित प्रमाणपत्रों पर भरोसा करते हैं और एक के बिना एक HTTPS सर्वर पर व्यवसाय नहीं करेंगे। तो यदि आप अपनी वेबसाइट पर कुछ बेचने की कोशिश कर रहे हैं, तो उस प्रमाणपत्र में निवेश करें। यह व्यवसाय करने और ऑनलाइन बिक्री में लगे होने की लागत का हिस्सा है।
जेनिफर क्रिनिन द्वारा मूल लेख। जेरेमी गिरार्ड द्वारा संपादित।