Certificate Authority (CA) एक trusted organization है जो SSL/TLS certificates issue और sign करता है। जब कोई CA आपके certificate को sign करता है, तो browsers trust करते हैं कि आपकी website वही है जो claim करती है। CAs के बिना, verify करने का कोई तरीका नहीं होता कि https://yourbank.com actually आपका bank है और कोई imposter नहीं।
CA trust model कैसे काम करता है
- Root CAs browsers और operating systems में pre-installed होते हैं। Apple, Google, Mozilla, और Microsoft हर एक trusted root CAs की list maintain करते हैं (“root store”)।
- जब आप certificate request करते हैं, CA आपके domain ownership verify करता है (DV) या organizational identity (OV/EV)।
- CA आपके certificate पर अपनी private key से sign करता है। यह signature trust का proof है।
- जब visitors connect होते हैं, उनका browser signature verify करता है अपनी pre-installed trusted CAs की list के against।
अगर CA trust store में है और signature valid है → padlock। अगर नहीं → security warning।
Major Certificate Authorities
| CA | Market share | Free option | Notes |
|---|---|---|---|
| Let’s Encrypt | 63.9% | ✅ सब free | Non-profit, globally सबसे बड़ा CA |
| GlobalSign | 22.2% | ❌ | Commercial, Europe में popular |
| Sectigo | 5.9% | Limited (ZeroSSL free tier) | Previously Comodo, ZeroSSL का owner |
| DigiCert | ~3% | ❌ | Enterprise-focused, Symantec CA का owner |
| Google Trust Services | Growing | ✅ ACME के through | Google का own CA |
| Buypass | <1% | ✅ Go SSL (180 days) | Norwegian CA |
Let’s Encrypt की 63.9% market share इसे dominant CA बनाती है — अगले पाँच combined से ज्यादा।
Let’s Encrypt ने सब कैसे बदला
Let’s Encrypt से पहले (2016 में launch):
- SSL certificates $50-500/year cost करते थे
- Verification के लिए manual paperwork जरूरी था
- सिर्फ ~18% websites HTTPS use करती थीं
Let’s Encrypt के बाद:
- सबके लिए free DV certificates
- ACME protocol से fully automated
- 86.9% websites HTTPS use करती हैं
- 1 billion से ज्यादा certificates issued
Let’s Encrypt ने prove किया कि domain-validated encryption एक basic utility होनी चाहिए, premium product नहीं। अपने browser में Let’s Encrypt certificate पाने के लिए GetHTTPS use करें।
CA/Browser Forum
CA/Browser Forum (CA/B Forum) वो industry body है जहाँ Certificate Authorities और browser vendors jointly certificate issuance के standards set करते हैं। Key decisions include:
- Baseline Requirements — सभी public CAs को follow करने वाले minimum standards
- Certificate validity reduction — 2029 तक max validity 47 days तक reduce करने का vote
- Certificate Transparency — CAs को सभी issued certificates public logs में log करना required
- Weak algorithms deprecation — SHA-1, MD5, etc. को phase out किया
Members में Apple, Google, Mozilla, Microsoft (browser side) और Let’s Encrypt, DigiCert, Sectigo, GlobalSign (CA side) include हैं। Decisions के लिए दोनों sides से supermajority vote required है।
Certificate Transparency
2018 से, सभी publicly trusted CAs को हर issued certificate Certificate Transparency (CT) logs में submit करना होगा — publicly auditable append-only logs। इसका मतलब:
- कोई भी monitor कर सकता है कि उनके domain के लिए कौन से certificates issue हुए
- Mis-issued certificates detectable हैं (अगर कोई CA
google.comके लिए किसी ऐसे person को certificate issue करता है जो control नहीं करता, Google logs में देख सकता है) - crt.sh जैसे tools आपको किसी भी domain के लिए CT logs search करने देते हैं
CT mis-issuance prevent नहीं करता, लेकिन detectable बनाता है — जो एक strong deterrent है।
CA कैसे choose करें
ज्यादातर websites के लिए, choice simple है:
| Requirement | Recommended CA | कैसे लें |
|---|---|---|
| Free DV certificate | Let’s Encrypt | GetHTTPS या Certbot |
| Longer validity free DV | Buypass Go (180 days) | acme.sh या Certbot |
| Compliance के लिए OV/EV | DigiCert या Sectigo | उनकी website से buy करें |
| Cloudflare के साथ automatic | Cloudflare | Cloudflare dashboard में enable करें |
सभी free providers comparison →
FAQ
क्या कोई भी CA बन सकता है?
Technically आप अपना CA बना सकते हैं, लेकिन browsers तब तक trust नहीं करेंगे जब तक CA/Browser Forum की Baseline Requirements pass न कर लें और browser trust store में add न हो जाएँ — एक process जिसमें years लगते हैं, audits में millions खर्च होते हैं, और strict operational security (offline root keys, hardware security modules, 24/7 incident response) maintain करनी होती है।
CA compromise होने पर क्या होता है?
CA को software updates के through browser trust stores से remove कर दिया जाता है। उस CA द्वारा issued सभी certificates untrusted हो जाते हैं। Notable incidents:
- DigiNotar (2011) — Hacked, Google और other domains के लिए fraudulent certificates issued। CA revoke हुआ और bankrupt हो गया।
- Symantec (2018) — Persistent mis-issuance issues। Google Chrome ने gradually सभी Symantec-issued certificates distrust किए। DigiCert ने Symantec के CA business acquire किया।
Risk mitigate करने के लिए root keys offline hardware security modules (HSMs) में physical access controls के साथ stored होती हैं।
क्या सभी CA certificates browsers equally trust करते हैं?
हाँ, padlock के terms में। Free Let’s Encrypt DV certificate और $500 DigiCert EV certificate दोनों address bar में same padlock दिखाते हैं। Browsers encryption purposes के लिए अपने root store के सभी CAs पर equally trust करते हैं। Difference validation level (DV/OV/EV) और services (support, warranty) में है, encryption strength या browser trust में नहीं।
कितने CAs हैं?
Major trust stores में लगभग 100-150 root CAs हैं, लेकिन market highly concentrated है। Let’s Encrypt (63.9%), GlobalSign (22.2%), और Sectigo (5.9%) सभी issued certificates के 90% से ज्यादा control करते हैं।