सभी SSL articles SSL और Certificates

SSL vs TLS: क्या अंतर है?

SSL (Secure Sockets Layer) और TLS (Transport Layer Security) दोनों cryptographic protocols हैं जो internet connections encrypt करते हैं। Practical difference: सभी SSL versions outdated और insecure हैं। TLS वही है जो आज actually web को secure करता है। जब लोग “SSL certificate” कहते हैं, तो उनका मतलब TLS के साथ use होने वाला certificate होता है।

अगर आप यहाँ इसलिए हैं क्योंकि जानना चाहते हैं कि आपको कुछ करना है — तो सीधे आपको क्या करना चाहिए पर जाएँ।

Quick comparison

SSLTLS
Full nameSecure Sockets LayerTransport Layer Security
Created byNetscape (1994)IETF (1999)
Latest versionSSL 3.0 (1996)TLS 1.3 (2018)
Status⛔ सभी versions outdated✅ TLS 1.2 और 1.3 actively use में
Known weaknessesPOODLE, BEAST, CRIME, DROWNNone (TLS 1.3), कुछ mitigatable (TLS 1.2)
PerformanceSlow (2+ round trips)TLS 1.3: 1-RTT handshake
Forward secrecyOptional (rarely used)TLS 1.3 में mandatory
Cipher suitesWeak (RC4, DES, export ciphers)Strong (AES-GCM, ChaCha20)
Message authMD5/SHA-1 के साथ MACSHA-256+ के साथ HMAC
Browser supportसभी browsers से removedUniversal

Complete version history

YearProtocolक्या हुआ
1994SSL 1.0Netscape ने design किया। कभी release नहीं हुआ — launch से पहले internally serious flaws मिले।
1995SSL 2.0पहली public release। Early HTTPS sites ने use किया। जल्द ही major vulnerabilities मिलीं (weak MAC, truncation attacks)।
1996SSL 3.0Paul Kocher + Netscape द्वारा complete redesign। 18 साल तक widely deployed। POODLE attack (October 2014) ने तोड़ा। IETF ने June 2015 में deprecated किया (RFC 7568)।
1999TLS 1.0IETF ने SSL 3.0 based protocol standardize किया। Minor improvements। BEAST attack (2011) के लिए vulnerable। March 2021 में deprecated (RFC 8996)।
2006TLS 1.1BEAST vulnerability fix की। CBC ciphers के लिए explicit IV add किया। TLS 1.0 के साथ March 2021 में deprecated
2008TLS 1.2Major upgrade। AEAD ciphers (AES-GCM) add किए, handshake से MD5/SHA-1 हटाया, signature algorithm negotiation add की। अभी भी widely used और secure जब correctly configure किया जाए।
2018TLS 1.3Current standard (RFC 8446)। सभी old algorithms हटाए, 1-RTT handshake, forward secrecy mandatory, encrypted handshake। एक fundamental redesign।

Key moments:

  • October 2014: Google ने POODLE vulnerability discover की — SSL 3.0 fix नहीं हो सकता, छोड़ना होगा
  • June 2015: IETF ने officially SSL 3.0 deprecated किया (RFC 7568)
  • March 2021: IETF ने TLS 1.0 और 1.1 deprecated किया (RFC 8996)
  • 2020-2021: सभी major browsers ने TLS 1.0/1.1 support drop किया

हम अभी भी “SSL” क्यों कहते हैं

“SSL” term इसलिए stick हो गया क्योंकि यह पहले आया। Netscape ने इसे 1994 में coin किया, और जब तक TLS ने 1999 में replace किया, “SSL” पहले से common terminology बन चुका था। आज:

  • “SSL certificate” = TLS के साथ use होने वाला certificate (SSL नहीं)
  • “SSL/TLS” = दोनों terms cover करने वाला compromise
  • Product names में “SSL” = Marketing, actual protocol नहीं
  • “Free SSL” = Free TLS certificate

GetHTTPS, Certbot, Let’s Encrypt, ZeroSSL — ये सभी TLS connections के लिए certificates issue करते हैं, चाहे उनके names या marketing “SSL” कहे। Certificates खुद X.509 format के हैं और किसी भी TLS version के साथ काम करते हैं।

यह article “SSL certificate” उसी तरह use करता है जैसे industry करती है: TLS के साथ use होने वाले certificate के लिए।

Technical differences जो matter करते हैं

Cipher suites

SSL उन algorithms पर depend था जो अब हम जानते हैं कि broken हैं:

AlgorithmUseStatus
RC4SSL 2.0, 3.0Broken — RFC 7465 इसे prohibit करता है
DES, 3DESSSL 2.0, 3.0Broken/outdated
MD5SSL handshakeCollision attacks demonstrated
Export ciphersSSL (US policy)Intentionally weak (40/56-bit keys)
AES-GCMTLS 1.2, 1.3✅ Current standard
ChaCha20-Poly1305TLS 1.2, 1.3✅ Mobile/ARM के लिए excellent

TLS 1.3 cipher suite list को सिर्फ 5 options तक reduce करता है — सभी secure। TLS 1.2 में 37+ हैं, जिनमें से कुछ weak हैं। TLS 1.3 की simplicity का मतलब है misconfiguration की कम possibility।

Handshake speed

SSL 3.0TLS 1.2TLS 1.3
Full handshake2+ round trips2 round trips1 round trip
Session resume1 round trip1 round trip0-RTT (first message के साथ data)
Practical latency60-120ms40-80ms20-40ms

TLS 1.3 का 0-RTT resumption मतलब returning visitors instantly encrypted data भेज सकते हैं — कोई handshake delay नहीं।

Forward secrecy

Forward secrecy का मतलब है कि हर connection एक unique key use करता है। चाहे कोई server की private key चुरा ले, वो past conversations decrypt नहीं कर सकता।

  • SSL 3.0: Forward secrecy support नहीं करता था
  • TLS 1.0-1.2: Support करता है (ECDHE के through) लेकिन RSA key exchange भी allow करता है (कोई forward secrecy नहीं)
  • TLS 1.3: Mandatory — RSA key exchange completely removed

Message authentication

  • SSL: MD5 या SHA-1 के साथ MAC use करता था — दोनों अब weak माने जाते हैं
  • TLS: SHA-256 या stronger के साथ HMAC use करता है — कोई known weakness नहीं

आपको क्या करना चाहिए

ज्यादातर website operators के लिए: शायद कुछ नहीं। अगर आप:

  1. एक valid SSL/TLS certificate रखते हैं (Let’s Encrypt या किसी CA से)
  2. reasonably modern web server use करते हैं (Nginx 1.13+, Apache 2.4.37+, IIS 10)
  3. अपने config में TLS 1.2/1.3 explicitly disable नहीं किया है

…तो आप पहले से TLS use कर रहे हैं। आपका “SSL certificate” TLS 1.2 और 1.3 के साथ automatically काम करता है — same .pem files दोनों protocols serve करती हैं।

एक चीज verify करें: Ensure करें कि TLS 1.0 और 1.1 आपके server पर disabled हैं। ये 2021 से deprecated हैं।

Nginx:

ssl_protocols TLSv1.2 TLSv1.3;

Apache:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

अपना current TLS version कैसे check करें:

# दिखाता है कौन सा TLS version negotiate हुआ
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Protocol"
# Expected: TLSv1.2 या TLSv1.3

Online tool: SSL Labs Server Test exactly दिखाता है आपका server कौन से protocols support करता है।

TLS 1.3 adoption

2026 की शुरुआत तक, 62% websites TLS 1.3 support करती हैं। सभी major browsers इसे support करते हैं। अगर आपका server updated है, तो शायद आपके पास पहले से TLS 1.3 है।

Servers जो TLS 1.3 out of the box support करते हैं (कोई special config जरूरी नहीं):

  • Nginx 1.13+ (OpenSSL 1.1.1+ के साथ)
  • Apache 2.4.37+ (OpenSSL 1.1.1+ के साथ)
  • Caddy (सभी versions — हमेशा latest TLS use करता है)
  • Cloudflare (automatic)
  • AWS ALB/CloudFront (automatic)

आगे क्या: Post-quantum cryptography

अगला major TLS development post-quantum key exchange है — future quantum computers से protection जो current key exchange algorithms (ECDHE, RSA) तोड़ सकते हैं। Google Chrome और Cloudflare ने पहले से TLS 1.3 में hybrid key exchange (classical + post-quantum) experiment शुरू कर दिया है।

इसके लिए new certificates जरूरी नहीं होंगे — change key exchange mechanism में है, certificate format में नहीं। जब post-quantum TLS आएगा तो आपका Let’s Encrypt certificate इसके साथ काम करेगा।

FAQ

क्या TLS vs SSL के लिए अलग certificate चाहिए?

नहीं। Same certificate किसी भी TLS version के साथ काम करता है। “SSL certificate” और “TLS certificate” same X.509 file refer करते हैं। जब आप GetHTTPS से certificate लेते हैं, तो यह TLS 1.2 और 1.3 के साथ काम करता है — कोई special configuration नहीं।

क्या TLS 1.2 अभी भी secure है?

हाँ। AEAD cipher suites (AES-GCM या ChaCha20-Poly1305) के साथ TLS 1.2 production use के लिए secure है। TLS 1.3 better है (faster, simpler, forward secrecy enforce करता है), लेकिन TLS 1.2 secure रहता है। Recommended config है TLSv1.2 TLSv1.3

क्या सिर्फ TLS 1.3 enforce करना चाहिए?

अभी नहीं। लगभग 38% sites TLS 1.3 support नहीं करतीं, और कुछ older clients (corporate environments, embedded devices, Java 8) सिर्फ TLS 1.2 support कर सकते हैं। आज TLS 1.2 हटाने से कुछ legitimate users बाहर हो जाएँगे। दोनों support करें।

क्या “SSL certificates” काम करना बंद कर देंगे?

नहीं। Name के बावजूद, “SSL certificates” X.509 certificates हैं जो किसी भी TLS version के साथ काम करते हैं। Name एक legacy है। जब तक CA trusted है और certificate expired नहीं है, आपके certificates काम करते रहेंगे।

क्या HTTPS, SSL या TLS के same है?

HTTPS HTTP + TLS है। यह HTTP connection पर TLS encryption apply करने का result है। जब आप https://example.com visit करते हैं, तो आपका browser HTTP traffic encrypt करने के लिए TLS protocol use करता है। HTTPS, TLS से अलग protocol नहीं है — यह TLS tunnel के अंदर run होने वाला HTTP है।

POODLE attack क्या है?

POODLE (Padding Oracle On Downgraded Legacy Encryption) Google ने October 2014 में discover किया। इसने SSL 3.0 के CBC cipher padding में एक flaw exploit किया। इस attack ने same network पर attacker को encrypted traffic के individual bytes decrypt करने दिए। चूँकि flaw protocol design में था (किसी specific implementation में नहीं), SSL 3.0 patch नहीं हो सकता था — इसे completely छोड़ना पड़ा। यह SSL के coffin में last nail था।

संबंधित लेख

SSL और Certificates 2026-05-08
HTTPS क्या है? Complete Guide
HTTPS आपके browser और website के बीच connection encrypt करता है। जानें HTTPS कैसे काम करता है, TLS handshake, HTTP vs HTTPS difference, performance impact, और free में कैसे enable करें।
SSL और Certificates 2026-05-07
SSL/TLS कैसे काम करता है: TLS Handshake explained
TLS handshake का visual walkthrough — आपका browser और server milliseconds में encrypted connection कैसे establish करते हैं। TLS 1.2, TLS 1.3, session resumption, और forward secrecy covered है।
SSL और Certificates 2026-05-07
ECC vs RSA Certificates: आपको कौन सा choose करना चाहिए?
ECC (ECDSA P-256) और RSA (2048/4096-bit) certificates compare करें। ECC keys छोटी और fast होती हैं। जानें GetHTTPS ECC को default क्यों रखता है और RSA कब sense बनाता है।
शुरुआत करें 2026-05-08
Free SSL certificate कैसे पाएं (step-by-step guide)
Let's Encrypt से 5 minutes में free SSL certificate पाएं — कोई software install नहीं, कोई account नहीं बनाना। 4 methods, दोनों challenge types, 6 platforms पर installation, और troubleshooting cover करने वाली complete guide।
अपने browser में मुफ़्त SSL certificate पाएँ
कोई installation नहीं, कोई account नहीं। आपकी private key कभी आपका device नहीं छोड़ती।
अपना certificate पाएँ