सभी SSL articles SSL और Certificates

Certificate Authority (CA) क्या है?

Certificate Authority (CA) एक trusted organization है जो SSL/TLS certificates issue और sign करता है। जब कोई CA आपके certificate को sign करता है, तो browsers trust करते हैं कि आपकी website वही है जो claim करती है। CAs के बिना, verify करने का कोई तरीका नहीं होता कि https://yourbank.com actually आपका bank है और कोई imposter नहीं।

CA trust model कैसे काम करता है

  1. Root CAs browsers और operating systems में pre-installed होते हैं। Apple, Google, Mozilla, और Microsoft हर एक trusted root CAs की list maintain करते हैं (“root store”)।
  2. जब आप certificate request करते हैं, CA आपके domain ownership verify करता है (DV) या organizational identity (OV/EV)।
  3. CA आपके certificate पर अपनी private key से sign करता है। यह signature trust का proof है।
  4. जब visitors connect होते हैं, उनका browser signature verify करता है अपनी pre-installed trusted CAs की list के against।

अगर CA trust store में है और signature valid है → padlock। अगर नहीं → security warning।

Major Certificate Authorities

CAMarket shareFree optionNotes
Let’s Encrypt63.9%✅ सब freeNon-profit, globally सबसे बड़ा CA
GlobalSign22.2%Commercial, Europe में popular
Sectigo5.9%Limited (ZeroSSL free tier)Previously Comodo, ZeroSSL का owner
DigiCert~3%Enterprise-focused, Symantec CA का owner
Google Trust ServicesGrowing✅ ACME के throughGoogle का own CA
Buypass<1%✅ Go SSL (180 days)Norwegian CA

Let’s Encrypt की 63.9% market share इसे dominant CA बनाती है — अगले पाँच combined से ज्यादा।

Let’s Encrypt ने सब कैसे बदला

Let’s Encrypt से पहले (2016 में launch):

  • SSL certificates $50-500/year cost करते थे
  • Verification के लिए manual paperwork जरूरी था
  • सिर्फ ~18% websites HTTPS use करती थीं

Let’s Encrypt के बाद:

  • सबके लिए free DV certificates
  • ACME protocol से fully automated
  • 86.9% websites HTTPS use करती हैं
  • 1 billion से ज्यादा certificates issued

Let’s Encrypt ने prove किया कि domain-validated encryption एक basic utility होनी चाहिए, premium product नहीं। अपने browser में Let’s Encrypt certificate पाने के लिए GetHTTPS use करें।

CA/Browser Forum

CA/Browser Forum (CA/B Forum) वो industry body है जहाँ Certificate Authorities और browser vendors jointly certificate issuance के standards set करते हैं। Key decisions include:

  • Baseline Requirements — सभी public CAs को follow करने वाले minimum standards
  • Certificate validity reduction2029 तक max validity 47 days तक reduce करने का vote
  • Certificate Transparency — CAs को सभी issued certificates public logs में log करना required
  • Weak algorithms deprecation — SHA-1, MD5, etc. को phase out किया

Members में Apple, Google, Mozilla, Microsoft (browser side) और Let’s Encrypt, DigiCert, Sectigo, GlobalSign (CA side) include हैं। Decisions के लिए दोनों sides से supermajority vote required है।

Certificate Transparency

2018 से, सभी publicly trusted CAs को हर issued certificate Certificate Transparency (CT) logs में submit करना होगा — publicly auditable append-only logs। इसका मतलब:

  • कोई भी monitor कर सकता है कि उनके domain के लिए कौन से certificates issue हुए
  • Mis-issued certificates detectable हैं (अगर कोई CA google.com के लिए किसी ऐसे person को certificate issue करता है जो control नहीं करता, Google logs में देख सकता है)
  • crt.sh जैसे tools आपको किसी भी domain के लिए CT logs search करने देते हैं

CT mis-issuance prevent नहीं करता, लेकिन detectable बनाता है — जो एक strong deterrent है।

CA कैसे choose करें

ज्यादातर websites के लिए, choice simple है:

RequirementRecommended CAकैसे लें
Free DV certificateLet’s EncryptGetHTTPS या Certbot
Longer validity free DVBuypass Go (180 days)acme.sh या Certbot
Compliance के लिए OV/EVDigiCert या Sectigoउनकी website से buy करें
Cloudflare के साथ automaticCloudflareCloudflare dashboard में enable करें

सभी free providers comparison →

FAQ

क्या कोई भी CA बन सकता है?

Technically आप अपना CA बना सकते हैं, लेकिन browsers तब तक trust नहीं करेंगे जब तक CA/Browser Forum की Baseline Requirements pass न कर लें और browser trust store में add न हो जाएँ — एक process जिसमें years लगते हैं, audits में millions खर्च होते हैं, और strict operational security (offline root keys, hardware security modules, 24/7 incident response) maintain करनी होती है।

CA compromise होने पर क्या होता है?

CA को software updates के through browser trust stores से remove कर दिया जाता है। उस CA द्वारा issued सभी certificates untrusted हो जाते हैं। Notable incidents:

  • DigiNotar (2011) — Hacked, Google और other domains के लिए fraudulent certificates issued। CA revoke हुआ और bankrupt हो गया।
  • Symantec (2018) — Persistent mis-issuance issues। Google Chrome ने gradually सभी Symantec-issued certificates distrust किए। DigiCert ने Symantec के CA business acquire किया।

Risk mitigate करने के लिए root keys offline hardware security modules (HSMs) में physical access controls के साथ stored होती हैं।

क्या सभी CA certificates browsers equally trust करते हैं?

हाँ, padlock के terms में। Free Let’s Encrypt DV certificate और $500 DigiCert EV certificate दोनों address bar में same padlock दिखाते हैं। Browsers encryption purposes के लिए अपने root store के सभी CAs पर equally trust करते हैं। Difference validation level (DV/OV/EV) और services (support, warranty) में है, encryption strength या browser trust में नहीं।

कितने CAs हैं?

Major trust stores में लगभग 100-150 root CAs हैं, लेकिन market highly concentrated है। Let’s Encrypt (63.9%), GlobalSign (22.2%), और Sectigo (5.9%) सभी issued certificates के 90% से ज्यादा control करते हैं।

संबंधित लेख

SSL और Certificates 2026-05-07
Certificate Chain of Trust की explanation
Browser root CA से intermediate CA से आपके certificate तक की chain के through SSL certificates को कैसे verify करते हैं। जानें chain order क्यों matter करता है और 'certificate not trusted' errors को कैसे fix करें।
SSL और Certificates 2026-05-08
HTTPS क्या है? Complete Guide
HTTPS आपके browser और website के बीच connection encrypt करता है। जानें HTTPS कैसे काम करता है, TLS handshake, HTTP vs HTTPS difference, performance impact, और free में कैसे enable करें।
तुलना 2026-05-08
2026 में Best Free SSL Certificate Providers (Comparison)
9 free SSL certificate providers की privacy, limits, wildcard support और automation पर comparison। इसमें standalone CAs, hosting providers और CDNs शामिल हैं — साथ ही एक privacy analysis जो कोई और comparison नहीं करती।
अपने browser में मुफ़्त SSL certificate पाएँ
कोई installation नहीं, कोई account नहीं। आपकी private key कभी आपका device नहीं छोड़ती।
अपना certificate पाएँ