अब समय आ गया है कि HTTPS डिफ़ॉल्ट हो

 (security.googleblog.com)
5 पॉइंट द्वारा GN⁺ 2025-10-31 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • अब से 1 साल बाद, अक्टूबर 2026 में जारी होने वाले Chrome 154 से ब्राउज़र की डिफ़ॉल्ट सेटिंग “Always Use Secure Connections” पर स्विच हो जाएगी
  • यह सेटिंग HTTPS के बिना सार्वजनिक साइटों पर पहुंचने पर उपयोगकर्ता को चेतावनी और अनुमति अनुरोध दिखाएगी
  • HTTPS अपनाने की दर 2015 में 30~45% से बढ़कर 2020 में 95~99% हो गई थी, लेकिन उसके बाद ठहराव की स्थिति में है
  • Chrome सिर्फ सार्वजनिक साइटों के लिए HTTPS enforcement mode को डिफ़ॉल्ट रूप से लागू करने की योजना बना रहा है, ताकि उपयोगकर्ता असुविधा कम हो और सुरक्षा स्तर बढ़े
  • इस बदलाव का लक्ष्य पूरे वेब की सुरक्षा को मजबूत करना और बचे हुए HTTP जोखिमों को न्यूनतम करना है

Chrome की डिफ़ॉल्ट सेटिंग में बदलाव

  • अक्टूबर 2026 में जारी होने वाले Chrome 154 से “Always Use Secure Connections” सेटिंग डिफ़ॉल्ट रूप से सक्षम होगी
    • HTTPS के बिना सार्वजनिक साइट पर पहली बार पहुंचने पर उपयोगकर्ता को चेतावनी और अनुमति अनुरोध दिखाया जाएगा
    • Chrome 147 (अप्रैल 2026) में Enhanced Safe Browsing उपयोग करने वाले 1 अरब से अधिक उपयोगकर्ताओं पर इसे पहले लागू करने की योजना है
  • उपयोगकर्ता यदि चाहें तो इस सेटिंग को निष्क्रिय कर सकते हैं

HTTPS अपनाने की स्थिति

  • Google 10 साल से अधिक समय से HTTPS Transparency Report के जरिए Chrome में HTTPS उपयोग दर को ट्रैक करता आ रहा है
    • 2015 में 30~45% से बढ़कर 2020 में 95~99%
    • उसके बाद वृद्धि की रफ्तार ठहर गई है
  • उच्च adoption rate की वजह से अब बचे हुए HTTP ट्रैफ़िक के लिए मजबूत उपायों पर विचार संभव हुआ है

उपयोगकर्ता सुरक्षा और कम से कम चेतावनियों के बीच संतुलन

  • कुल ट्रैफ़िक का 95% HTTPS होने के बावजूद, बचा हुआ 5% HTTP एक्सेस अब भी जोखिम बना हुआ है
  • Chrome एक ही साइट के लिए बार-बार चेतावनी दिखाने से बचकर उपयोगकर्ता असुविधा कम करता है
    • अक्सर देखी जाने वाली असुरक्षित साइटों पर बार-बार चेतावनी नहीं दिखाई जाएगी
  • प्राइवेट साइटें (जैसे: 192.168.0.1, intranet आदि) में certificate जारी करना कठिन होता है, इसलिए वहां अब भी HTTP का उपयोग ज्यादा है
    • इन साइटों का जोखिम अपेक्षाकृत कम होने के कारण, चेतावनियों को केवल सार्वजनिक साइटों तक सीमित करने का तरीका अपनाया गया है
  • परीक्षण परिणामों के अनुसार, सार्वजनिक साइट-केवल मोड में उपयोगकर्ता चेतावनी की दर 3% से कम रही, और अधिकांश उपयोगकर्ताओं ने सप्ताह में 1 बार से कम चेतावनी देखी

HTTP उपयोग की स्थिति और सुधार उपाय

  • HTTP ट्रैफ़िक का एक बड़ा हिस्सा HTTPS पर redirect होने वाले शुरुआती अनुरोधों से आता है
  • लोकल नेटवर्क डिवाइस सेटिंग पेज जैसी जगहों पर certificate समस्याओं के कारण अक्सर HTTP उपयोग होता है
  • Chrome Local Network Access Permission फीचर पेश कर रहा है
    • HTTPS पेज से भी उपयोगकर्ता की सहमति के बाद लोकल नेटवर्क एक्सेस संभव होगा
    • इससे लोकल डिवाइस configuration पेजों को HTTPS में शिफ्ट करने की संभावना बढ़ेगी

डेवलपर और IT एडमिन के लिए मार्गदर्शन

  • वेबसाइट डेवलपर और IT एडमिन को सलाह दी गई है कि वे अभी से “Always Use Secure Connections” सेटिंग सक्षम करके प्रभावित होने वाली साइटों की जांच करें
  • Chrome managed environment (enterprise, educational institution आदि) में आधिकारिक गाइड दस्तावेज़ के जरिए
    • चेतावनी दिखने की शर्तें
    • mitigation के तरीके
    • संगठन-स्तरीय policy settings आदि देखे जा सकते हैं

आगे की योजना

  • Google ने लोकल नेटवर्क साइटों में HTTPS अपनाने की बाधाएं कम करना भी अतिरिक्त लक्ष्य के रूप में रखा है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.