ایس ایس ایل کیا ہے اور آپ کو کیوں دیکھ بھال کرنا چاہئے؟

فہرست کا خانہ:

Anonim

HTTP سے HTTP پر تبدیل کرنے کے بارے میں پچھلے رپورٹ میں، اس نے مختصر طور پر سنگل ساکٹ پرت (ایس ایس ایل) پر چھو لیا. مختصر میں، ایس ایس ایل اور اس کے جانشین، ٹرانسپورٹ کی پرت سیکورٹی (TLS)، محفوظ طریقے سے آن لائن چلانے کے لئے ضروری ہے.

اس آرٹیکل میں، "ایس ایس ایل کیا ہے" سوال کا جواب دینے کے بارے میں قریبی نظر ڈالیں اور یہ بھی کہ ایس ایس ایل / TLS آپ کی حساس معلومات کی حفاظت کیسے کرتا ہے.

آپ ایس ایس ایل / TLS کے بارے میں کیوں خیال رکھنا چاہئے؟

"کیسے" میں سرخی کرنے سے پہلے، "کیوں" آپ کو پہلی جگہ میں SSL / TLS استعمال کرنا چاہتے ہیں پر نظر ڈالیں.

$config[code] not found

ان دنوں، ڈیٹا سیکورٹی سنہری ہے. جو بھی اس کی شناخت کی چوری ہوئی ہے وہ آپ کو بتا سکتا ہے. آپ کی معلومات کو محفوظ رکھنے کے لئے کلید یہ ہے کہ اس جگہ کو محفوظ رکھیں جہاں کوئی اور نہیں دیکھ سکتا.

بدقسمتی سے، یہ آن لائن ممکن نہیں ہے. جب آپ آن لائن معلومات کو منتقلی کرتے ہیں تو وہاں ہے ہمیشہ اس عمل میں کچھ نقطہ نظر جہاں آپ اور آپ کے گاہک دونوں ڈیٹا کو کنٹرول کرتے ہیں.

آپ دیکھتے ہیں، جب آپ کا کسٹمر اس آلہ کو محفوظ کرسکتا ہے جس پر آپ کا براؤزر چلتا ہے اور آپ اپنے ویب سرور کو محفوظ کرسکتے ہیں، آن لائن دنیا کے پائپ آپ کے دونوں ہاتھوں سے باہر ہیں.

چاہے یہ کیبل کمپنی، فون کمپنی یا حکومت سے چلائے جانے والے ڈورور کیبل ہے، آپ کے گاہکوں کا ڈیٹا کسی اور کے ہاتھ آن لائن سے گزر جائے گا اور اس وجہ سے اسے ایس ایس ایل / TLS کا استعمال کرتے ہوئے انکوائری کرنے کی ضرورت ہے.

یہاں معلومات کی اقسام کے کچھ مثال ہیں جو آپ ایس ایس ایل / TLS آن لائن محفوظ کرنے کیلئے استعمال کرسکتے ہیں:

  • کریڈٹ کارڈ لین دین
  • ویب سائٹ لاگ ان
  • نجی اور ذاتی معلومات کو آگے آگے منتقل کرنا
  • آپ کے ای میل کو snoopers سے محفوظ کرنا.

جی ہاں، اگر آپ آن لائن کاروبار کرتے ہیں تو، آپ کی مسلسل کامیابی کے لئے SSL / TLS اہم ہے. کیوں؟ کیونکہ:

  • آپ کے گاہکوں کو آپ کو آن لائن کاروبار کرتے وقت محفوظ محسوس کرنا ہوگا یا وہ آپ کے ساتھ کاروبار نہیں کریں گے؛ اور
  • اپنے حساس معلومات کی حفاظت کیلئے اپنے گاہکوں کو آپ کے ساتھ اشتراک کرنے کا انتخاب کیا گیا ہے.

اگلا، ہم کس طرح SSL / TLS کام کرتا ہے ایک نظر ڈالیں.

پبلک، پبلک اور سیشن کی کلیدیں ہیں، کلید

جب آپ اپنے حساس اعداد و شمار کو آن لائن منتقل کرنے کے لئے ایس ایس ایل / TLS استعمال کرتے ہیں تو، آپ کے براؤزر اور محفوظ کردہ ویب سرور کو ایک محفوظ کنکشن قائم کرنے کیلئے دو الگ الگ چابیاں استعمال کرنا ہے: ایک عوامی اور نجی کلیدی. ایک بار کنکشن جگہ پر، ایک تیسری قسم کی کلیدی، سیشن کی کلید کو معلومات کو پیچھے سے آگے منتقل کر دیا اور ان کو منسوخ کرنے کے لئے استعمال کیا جاتا ہے.

$config[code] not found

یہ کیسے کام کرتا ہے:

  1. جب آپ ایک محفوظ برتن سے منسلک ہوتے ہیں (مثلا amazon.com)، "ہینڈشیک" عمل شروع ہوتا ہے:
    1. سب سے پہلے، سرور آپ کے براؤزر کو منتقل کرے گا یہ ایس ایس ایل / TLS سرٹیفکیٹ کے ساتھ ساتھ عوامی کلید ہے؛
    2. آپ کے براؤزر کے بعد سرور کا سرٹیفکیٹ اس کی جانچ پڑتال کرے گا کہ یہ عوامل کا استعمال کرتے ہوئے اس پر اعتماد کر سکتے ہیں جیسے کہ ایک قابل اعتماد ذریعہ کے ذریعے سرٹیفکیٹ جاری کیا گیا ہے اور اگر سرٹیفکیٹ ختم نہ ہو.
    3. اگر ایس ایس ایل / TLS پر اعتماد کیا جاسکتا ہے تو، آپ کا براؤزر سرور پر واپس ایک تسلیم شدہ بھیجے گا تاکہ اسے معلوم ہو کہ یہ جانے کے لئے تیار ہے. یہ پیغام سرور کی عوامی کلید کا استعمال کرتے ہوئے خفیہ کاری کی جائے گی اور سرور کی نجی کلید کا استعمال کرتے ہوئے صرف ڈس آرڈر ہوسکتا ہے. اس تسلیم میں شامل آپ کے براؤزر کی عوامی کلید ہے.
      1. اگر سرور پر اعتبار نہیں کیا جاسکتا ہے، تو آپ اپنے براؤزر کے اندر ایک انتباہ دیکھیں گے. آپ ہمیشہ انتباہ کو نظر انداز کر سکتے ہیں، لیکن یہ دانشور نہیں ہے.
    4. سرور پھر سیشن کلی تشکیل دیتا ہے. اپنے براؤزر کو بھیجنے سے پہلے، یہ اپنی عوامی کلید کا استعمال کرتے ہوئے پیغام کو خفیہ کرتا ہے تاکہ اس کے نجی کلید کا استعمال کرتے ہوئے، صرف اپنے براؤزر کو اسے ضائع کر سکے.
  2. اب یہ ہینڈشیک ختم ہو گیا ہے اور دونوں حصوں نے سیشن کلی کو محفوظ طریقے سے حاصل کیا ہے، آپ کے براؤزر اور سرور کو ایک محفوظ کنکشن کا اشتراک. آپ کے براؤزر اور سرور دونوں حساس اعداد و شمار کو خفیہ کاری اور ڈراپ کرنے کے لئے سیشن کلی کا استعمال کرتے ہیں کیونکہ یہ آن لائن سے زیادہ پیچھے اور آگے بھیجا جاتا ہے.
    1. ایک بار سیشن ختم ہو جانے کے بعد، سیشن کلی کو مسترد کر دیا گیا ہے. یہاں تک کہ اگر آپ ایک گھنٹہ بعد میں جڑیں تو، آپ کو اس عمل سے شروع ہونے کی ضرورت ہوگی جس سے ابتدائی طور پر نیا سیشن کلید ہو گا.

سائز کے معاملات

تمام تین اقسام کی چابیاں تعداد کی لمبی تار پر مشتمل ہیں. طویل عرصہ، خفیہ کاری زیادہ محفوظ ہے. نیچے کی طرف، ایک طویل تار اعداد و شمار کو خفیہ اور خراب کرنے کے لئے مزید وقت لگاتا ہے اور سرور اور آپ کے براؤزر کے وسائل دونوں پر مزید کشیدگی رکھتی ہے.

لہذا سیشن کی چابیاں موجود ہیں. ایک سیشن کلی عوامی اور نجی چابیاں دونوں کے مقابلے میں بہت کم ہے. نتیجہ: بہت تیزی سے خفیہ کاری اور ڈس کلیپشن لیکن کم سیکورٹی.

انتظار کرو - کم سیکورٹی؟ کیا برا نہیں ہے واقعی نہیں.

سیشن کی چابیاں ان سے پہلے ہی ختم ہو جانے سے قبل مختصر وقت تک موجود ہیں. اور جب تک وہ دوسرے دو قسم کی چابیاں نہیں ہیں، وہ مختصر وقت کے دوران ہیکنگ کو روکنے کے لئے کافی محفوظ ہیں کہ آپ کے براؤزر اور محفوظ سرور کے درمیان کنکشن موجود ہے.

خفیہ کاری الگورتھم

عوامی اور نجی چابیاں دونوں میں سے ایک تین خفیہ کاری الگورتھم استعمال کرتے ہیں.

ہم یہاں بہت گہرائی نہیں جا رہے ہیں، آپ کو خفیہ کاری الگورتھم کو مکمل طور پر تاہم مکمل طور پر تاہم ریاضی ڈگری (شاید بہت سے) کی ضرورت ہوتی ہے، یہ بنیادی طور پر جاننے کے لۓ کام کرتا ہے جب یہ آپ کی ویب سائٹ پر استعمال کی قسم کا انتخاب کرنے کا وقت آتا ہے.

تین بنیادی الگورتھم ہیں:

  • آر ایس ایس - اس کے تخلیق کاروں کے نام سے (رون آرivest، عیسی ایسحمیر، اور لیونارڈ Aدلیما)، آر ایس ایس 1977 سے زائد عرصے تک رہا ہے. آر ایس ایس حسابات کی ایک سلسلے میں دو بے شمار بے شمار نمبروں کا استعمال کرکے چابیاں پیدا کرتی ہے. اورجانیے…
  • ڈیجیٹل دستخط الگورتھم (ڈی ایس اے) - قومی سلامتی ایجنسی (این ایس اے) کی طرف سے تشکیل دیا گیا ہے، ڈی ایس اے حساب کی ایک سلسلے میں دو "مرحلے کے عمل" کا استعمال کرتے ہوئے ایک دو قدم کے عمل کا استعمال کرتے ہوئے کی چابیاں پیدا کرتا ہے. اورجانیے…
  • یلسیڈی وکر کرپٹیٹریگ (ای سی ای) - اے ای سی حساب کی ایک پیچیدہ سلسلہ میں "elliptical curves کی جغرافیائی ساخت" کا استعمال کرتے ہوئے چابیاں پیدا کرتا ہے. اورجانیے…
$config[code] not found

کون سی خفیہ کاری الگورتھم آپ کو منتخب کرنا چاہئے؟

متعدد ریاضی، کون استعمال کرنے کے لئے بہترین خفیہ کاری الگورتھم ہے؟

فی الحال، ای سی سی سب سے اوپر پر آ رہا ہے. ریاضی کا شکریہ، ای سی سی الگورتھم کے ساتھ پیدا کی جانے والی چابیاں کم ہوتی ہیں جبکہ ابھی بھی زیادہ چابیاں محفوظ ہیں. جی ہاں، ECC کم طاقتور آلات جیسے ایسے موبائل فون یا ٹیبلٹ پر محفوظ کنکشن کے لئے مثالی طور پر "سائز معاملات" کو برباد کرتی ہے.

بہترین نقطہ نظر ایک ہائبرڈ ایک ہوسکتا ہے، جہاں آپ کے سرور کو تین قسم کے الگورتھم کو قبول کرسکتے ہیں تاکہ اس پر جو کچھ بھی ڈالا جائے اسے سنبھال سکے. اس نقطہ نظر کے دو حصوں میں ہوسکتا ہے:

  1. سرور صرف ECC کے خلاف آر ایس ایس، ڈی ایس اے اور ای سی سی سے نمٹنے کے زیادہ وسائل کا استعمال کرتا ہے؛ اور
  2. آپ کا ایس ایس ایل / TLS سرٹیفکیٹ آپ کو مزید چارج کر سکتا ہے. تاہم اس کے ارد گرد دیکھو، بہت کریڈٹ فراہم کرنے والے ہیں جو تینوں کو استعمال کرنے کے لئے اضافی چارج نہیں کرتے ہیں.

کیوں TLS اب بھی SSL کال کیا جا رہا ہے؟

جیسا کہ ہم نے اس پوسٹ کے سب سے اوپر ذکر کیا ہے، TLS ایس ایس ایل کا جانشین ہے. جبکہ ایس ایس ایل ابھی تک استعمال میں ہے، TLS ایک زیادہ بہتر حل ہے اور اس سے سیکیورٹی سوراخ کو پلگ ان کرتا ہے جو ایس ایس ایل کو ضبط کرتی ہے.

زیادہ تر ہوسٹنگ کمپنیوں اور ایس ایس ایل / TLS سرٹیفکیٹ فراہم کرنے والے ابھی بھی "TLS سرٹیفکیٹ" کے بجائے "ایس ایس ایل سرٹیفکیٹ" کا استعمال کرتے ہیں.

تاہم واضح ہوجائیں، بہتر ہوسٹنگ اور سرٹیفکیٹ فراہم کنندہ واقعی TLS سرٹیفکیٹ کا استعمال کرتے ہیں - وہ صرف نام تبدیل نہیں کرنا چاہتے تھے، کیونکہ یہ اپنے گاہکوں کو الجھن دے گا.

نتیجہ

سنگل ساکٹ پرت (ایس ایس ایل)، اور اس کے جانشین، ٹرانسپورٹ کی پرت سیکورٹی (TLS)، محفوظ طریقے سے آن لائن کام کرنے کی ضرورت ہے. "Keys" نامی بڑی تعداد کا استعمال کرتے ہوئے، ایس ایس ایل / TLS کنکشن کو قابل بناتا ہے جہاں یہ آپ کے اور آپ کے گاہکوں کی معلومات کو بھیجنے سے قبل اور ڈرایڈ ہونے سے پہلے دونوں کو خفیہ کر دیا جاتا ہے.

نیچے کی لائن: اگر آپ آن لائن کاروبار چلاتے ہیں، تو آپ کی مسلسل کامیابی کے لئے ایس ایس ایل / ٹی ایل ایس اہم ہے کیونکہ یہ آپ کے اور آپ کے گاہکوں کی حفاظت کرتے وقت اعتماد بناتا ہے.

Shutterstock کے ذریعے سیکورٹی تصویر

مزید میں: 5 تبصرے کیا ہیں ▼