हम सभी ने कभी न कभी फिल्मों में देखा है कई बार पुलिस अपराधियों को पकड़ने के लिए उनके टेलीफोन पर होने वाले वार्तालाप को सुनती है या टेप करती है। यहाँ एक स्थिति यह भी हो सकती है कि वार्तालाप करने वाले दोनों व्यक्तियों को इसकी जानकारी न हो की जिस टेलीफोन नेटवर्क के लम्बे जाल से वे जुड़े हुए हैं उसमें कहीं बीच में कोई उनकी बात भी सुन रहा है। इसके आलावा ऐसी स्थितियां भी हो सकती हैं जब संवाद करने वाले दोनों व्यक्तियों को यह अंदेशा हो की उनकी बातें विशाल अंतर्जाल के बीच में कोई तकनीकी घुसपैठ करके सुन रहा है। ऐसी स्थिति में दोनों और के लोग कूट (कोड) भाषा में बात करते हैं और ऐसे शब्दों का प्रयोग करते हैं जिनका अर्थ केवल वे दोनों बात करने वाले ही समझते हैं, ताकि यदि कोई बीच में गुप्त रूप से उनके संवाद सुन भी रहा हो तो सुन भले ही ले परन्तु समझ ना सके। इस तरह के सुरक्षा उपाय को भी हमने सैनिकों को रेडियो सम्पर्क के दौरान देखा है।
SSL भी इन्टरनेट जगत में भी कुछ ऐसा ही कूट (क्रिप्टोग्राफ़ी) का कार्य करता है। हम जानते हैं इन्टरनेट विश्व भर के कम्प्युटर्स का आपस में जुड़ा हुआ एक जाल है। जहाँ कई मशीनों का आपस में संवाद अनेक माध्यमों से चलता हुआ एक दुसरे तक पहुँचता है। यदि बीच में कोई हैकर किन्हीं दो कम्प्युटर्स के बीच होने वाली सूचना को टेप करने में सफल हो जाये तो सुरक्षा की दृष्टि से अत्यधिक हानि हो सकती है। इसी सुरक्षा को प्रगाढ़ करने वाली एक तकनीकी का नाम है SSL Certifiate. यहाँ मैं इसके जटिल तकनीकी कार्यप्रणाली पर विमर्श न करते हुए सरल भाषा में इसे समझाने का प्रयास करूँगा।
SSL क्या है?
SSL का पूरा नाम Secure Sockets Layer है। आप इसे गणितीय आधार पर बनायी गयी तकनीकी या सॉफ्टवेयर फाइल के जैसे समझ सकते हैं। क्लाइंट (जो सामान्यत: आपका वेब ब्राउज़र होता है) और सर्वर (जहाँ से आपको किसी वेबसाइट की सामग्री प्रस्तुत की जाती है) के मध्य होने वाले सूचना के आदान-प्रदान को कूट भाषा में बदल देता है। जिससे अंतर्जाल में कहीं बीच में कोई सूचना को रिकॉर्ड भी कर रहा हो तो उसे वास्तविक डाटा/सूचना समझ में ना आ सके।
अब यहाँ पर यह प्रश्न भी उठाया जा सकता है की सूचना को बाइनरी (१ / ०) के तकनीकी रूप में पहले से ही ऐसी स्थिति में होती है जो कूट की तरह है और केवल कंप्यूटर ही उसे समझ सकता है। यह बात ठीक है, और इन्टरनेट की शुरुआती दिनों में SSL का प्रयोग इसलिए नहीं भी था। परन्तु स्मरण रखिये कोई कूट तभी तक कूट समझा जा सकता है जब तक वह तोड़ा न जाए। एक भी घटना यदि सुरक्षा को भेद दे तो हम नए सुरक्षा उपायों पर काम करना प्रारम्भ कर देते हैं। ठीक इसी तरह १९९४-९५ के आस-पास SSL के प्रयोग होने लगे जब तकनीकी के जानकारों को लगा की क्लाइंट-सर्वर के मध्य डाटा को भी चुराया जा सकता है।
एक और शब्द है TLS. जिसका पूरा नाम Transport Layer Security. TLS कोई अलग तकनीकी नहीं है अपितु SSL का ही नया रूप है। अर्थात SSL पर काम करते हुए एक सीमा के बाद इस तकनीकी को सुधार लाया गया तब बनाने वाले ने नया नाम TLS दे दिया। तो SSL एवं TLS एक ही तकनीकी के क्रमश: पुराने और नए नाम है। दोनों ही शब्द एक दुसरे के पर्यायवाची जैसे हैं। परन्तु SSL शब्द अधिक रूढ़ हो गया इसलिए सामान्यत: SSL का नाम ही प्रयोग होता है। जबकि वर्तमान में हम सभी TLS तकनीकी का ही प्रयोग करते हैं।
डिजिटल सर्टिफिकेट कार्यप्रणाली और HTTPS
इस सम्पूर्ण प्रणाली को Digital Certificate के नाम से भी जाना जाता है। अर्थात एक प्रकार का प्रमाण पत्र। किसके लिए? आपकी वेबसाइट के लिए। कौन देता है? जी, इसके लिए भी बाजार में कुछ लाला सेठ लोग होते हैं। कुछ कम्पनियां स्वयं को एक विश्वसनीय मीडिएटर के रूप में स्थापित करती हैं। जो बाजार में ये बताने का काम कार्य करती हैं कि फलां व्यक्ति (वेबसाइट) कोई चीज़ है हम उसकी गारंटी लेते हैं, ये फ्रॉड नहीं है। अर्थात ये कंपनियां एक डिजिटल प्रमाण पत्र, जो कि एक सॉफ्टवेयर ही होता है, वेबसाइट मालिकों (जैसे की आप) को प्रदान करती हैं। ऐसी कई कंपनियां बाजार में हैं जैसे VeriSign, GeoTrust, Comodo, Digicert, Thawte, GoDaddy आदि। स्पष्ट रूप से ये ऐसे SSL सर्टिफिकेट प्रदान करने के बदले में आप से कुछ शुल्क भी लेती हैं।
अब होता ये है कि लगभग सभी मुख्य वेब ब्राउज़र बनाने वाली कम्पनियाँ आपको जो ब्राउज़र देती हैं उनमें पहले से इन सभी बड़ी कंपनियों के बारे में जानकारी होती है। तो जब क्लाइंट (आपका वेब ब्राउज़र) सर्वर से किसी वेबसाइट के लिए रिक्वेस्ट भेजता है तो सर्वर अन्य सूचना के साथ-साथ, यदि वेबसाइट पर SSL Certificate इनस्टॉल है तो, प्रमाण पत्र की जानकारी भी भेजता है। ब्राउज़र अपने पास पड़ी सूची में मिलान करता है की उसके पास ऐसी विश्वसनीय कंपनी की जानकारी है या नहीं जो सर्वर ने भेजी है। यदि मिलन हो जाता है तो ब्राउज़र आगे सर्वर से संवाद करना शुरू कर देता है अन्यथा आपको वेबसाइट के संदेहास्पद होने का अलर्ट देता है।
डोमेन वेलिडेशन (DV), आर्गेनाइजेशन वेलिडेशन (OV), एक्सटेंडेड वेलिडेशन (EV) प्रकार के SSL क्या हैं?
आप सोच रहे होंगे, तकनीकी तो कूट में बदलने की थी विश्वसनीयता की बातें बीच में कहाँ से आई? जी, SSL तो एक तकनीकी ही है जिसे कोई भी बना सकता है और सॉफ्टवेयर की तरह बेच भी सकता है। ओपन सोर्स और फी सॉफ्टवेयर बनाने वाले ऐसा करते भी हैं। परन्सेतु बाजार में लाभ कमाने के सदैव उपाय किये जाते हैं। जब कुछ तकनीकविदों ने नि:शुल्क SSL सर्टिफिकेट उपलब्ध करवाना प्रारंभ किया तब बेचने वालों ने कुछ नए नामों से वर्गीकरण करना शुरू किया।
०१. डोमेन वेलिडेशन (DV) प्रकार का SSL
यह लेवल, जो की अब अन्यों की तुलना के कारण एक निम्न स्तर या प्राथमिक स्तर का SSL सर्टिफिकेट माना जाता है, (कहने के लिए) सिर्फ डोमेन को वेलिडेट करता है। Let’s Encrypt और CloudFlare जैसी कुछ कम्पनियाँ इसे नि:शुल्क प्रदान करती हैं। इसे प्राप्त करना और तकनीकी रूप से क्रियान्वित करने में कुछ ही सेकंड्स का समय लगता है क्योंकि यह सब स्वचालित तकनीकी से डोमेन की जानकारी आदि जूता लेता है और आपको वेबसाइट HTTP से बदलकर HTTPS प्रोटोकॉल पर चलने लगती है। यूआरएल में हरे या ग्रे रंग का ताला (पेडलॉक) भी ब्राउज़र प्रदर्शित करने लगता है, निचे चित्र देखें। सूचना पूर्णत: कूट (encrypted) रूप से ही चलनी शुरू हो जाती है और सुरक्षा की दृष्टि से इसमें अन्य प्रकार के SSL की तुलना में कोई कमी नहीं होती है।
०२. आर्गेनाइजेशन वेलिडेशन (OV) प्रकार का SSL
ये विपणन वाली श्रेणी में आने वाले प्रकार हैं। इसे बेचने वाली कंपनी, आर्गेनाइजेशन (जिसकी वेबसाइट है और जो यह प्रमाण पत्र चाहता है) के बारे कुछ आधारभूत जानकारियां मैन्युअल आधार पर वेरीफाई करता है जैसे, नाम, पता आदि। इसलिए इसे इशू करने में कुछ घंटों या दिनों का समय लगता है। अब इसके लिए तुर्रा यह दिया जाता है कि ऐसी वेबसाइट ब्राउज़र में लोग होने पर आप ये नाम पते आदि भी देख सकते हैं। बस इतना ही प्रमाण होता है। तो यह कूट सन्देश के साथ वेबसाइट वालों की कुछ आधारभूत जानकारी भी देता है जिसे कोई भी प्रयोक्ता अपने ब्राउज़र में प्रमाण पत्र में देख सकता है। निम्न चित्र देखें।
०३. एक्सटेंडेड वेलिडेशन (EV) प्रकार का SSL
यह तीसरी और सबसे ऊपर की श्रेणी या कहें सबसे ‘उत्तम’ गुणवत्ता वाला SSL सर्टिफिकेट होता है। जब कोई वेबसाइट मालिक इसे किसी कंपनी से खरीदता है तो कम्पनी या प्रमाण पत्र जारी करने से पहले वेबसाइट वालों को ऊपर से नीचे तक जानकारी जुटाती है। यह मैन्युअल होने के करना कई दिनों के प्रक्रिया हो जाती है। ठीक से जांच-परख करने और संतुष्ट होने के बाद इसे जारी किया जाता है। यदि किसी वेबसाइट पर इस SSL प्रकार का प्रमाण पत्र इनस्टॉल होता है तो उसकी आधारभूत जानकारी के साथ-साथ विशेष हरित ब्राण्ड नाम जैसा भी ब्राउज़र के यूआरएल में दिखाई देना प्रारम्भ हो जाता है। अर्थात उत्तम, विश्वसनीय, ब्राण्डेड आदि। निम्न चित्र देखें।
अब होता ये है कि सशुल्क SSL देने वाली कम्पनियाँ हमेशा नए वाग्जाल और चमक-दमक वाले प्रलोभनों से विज्ञापन करके अपना व्यापर करती हैं, जो की स्वाभाविक है एवं गलत नहीं कहा जा सकता है। परन्तु तकनीकी रूप से आप नि:शुल्क वाले SSL प्रयोग कर सकते हैं बिना किसी समस्या के। परन्तु क्योंकि नि:शुल्क या ओपन-सोर्स सॉफ्टवेर वाले केवल तकनीकी ही नि:शुल्क प्रस्तुत कर देते हैं संस्थागत रूप से किन्ही सेवाओं के लिए बहुधा सपोर्ट नहीं देते, स्वाभाविक रूप से। नि:शुल्क वाले SSL की वैलिडिटी तीन महीने की होती है उसके बाद उसका पुनर्नविनिकरण करना होता है। यह प्रक्रिया स्वचालित भी करी जा सकती है। वहीँ सशुल्क देने वाली कम्पनियाँ वैलिडिटी दो वर्षों तक भी देती है। इसके अतिरिक्त नि:शुल्क वाला एक बार में केवल एक डोमेन को वेरीफाई करता है। अर्थात यदि आपको एक साथ कई सब-डोमेन या वाइल्ड कार्ड डोमेन अर्थात कई सारे SSL चाहिए होते हैं तो सामूहिक रूप से ये कम्पनियाँ प्रदान करती हैं जबकि नि:शुल्क में आपको एक-एक करके ही यह सब प्रक्रिया से गुजरना होता है।
क्या SSL आवश्यक ही है?
कुछ वर्ष पूर्व तक इस पर अधिक ध्यान नहीं दिया जाता था। परन्तु इन्टरनेट जगत की प्रभावशाली कंपनी ‘गूगल’ ने घोषणा कर दी की वह अपने क्रोम ब्राउज़र में http प्रोटोकॉल पर चलने वाली वेबसाइट जो पासवर्ड, क्रेडिट कार्ड जैसी संवेदनशील सूचना सर्वर और अपने मध्य आदान-प्रदान करती है उसे वह लाल रंग में असुरक्षित वाली श्रेणी में चेतावनी के रूप में प्रदर्शित करेगा। इससे SSL सर्टिफिकेट का चलन बढ़ना शुरू हो गया। सुरक्षा की दृष्टि से यह प्रयोक्ता और वेबसाइट मालिक दोनों ही के लिए आज के समय में आवश्यक भी हो चला है। विशेषत: ई-कॉमर्स प्रकार की वेबसाइटस् पर।
मजे की बात क्या है?
मजे की एक बात ये है कि गूगल ने कुछ समय पूर्व एक और संकेत दे दिया कि वे अपने ब्राउज़र ‘क्रोम’ ने हरित ब्राण्ड को ‘विशेष’ रूप से नहीं दिखायेंगे। अर्थात किसी भी श्रेणी वाला SSL हो वे सिर्फ ताले वाला (हरा पेडलॉक) ही एड्रेस बार में दिखायेंगे। तो बेचने वाली कंपनियों का ये दावा अब असफल होता दीख रहा है। दूसरी मजे की बात ये है कि मोबाइल प्रयोक्ता बढ़ रहे हैं। लोग वेबसाइट को ब्राउज़र में एक्सेस करने की बजाय उसी वेबसाइट के मोबाइल एप्प को प्रयोग करना पसंद कर रहे हैं। मोबाइल एप्प में यूआरएल वाला एड्रेस स्थान और हरित ब्राण्ड चलन में नहीं होता है। तो आर्गेनाइजेशन वेलिडेशन (OV), एक्सटेंडेड वेलिडेशन (EV) प्रकार के SSL बेचने वालों को अब कुछ नया सोचना पड़ेगा।
