ऊपर दिया गया SSL checker किसी भी सार्वजनिक SSL/TLS certificate पर पूर्ण diagnostic चलाता है और एक विस्तृत रिपोर्ट प्रस्तुत करता है जिसमें security rating, certificate chain, cipher suites, vulnerability scans, और browser compatibility शामिल हैं। नीचे के अनुभाग बताते हैं कि रिपोर्ट के प्रत्येक भाग को कैसे पढ़ें।
अपनी SSL Security Rating को समझना
प्रत्येक SSL checker scan एक letter grade उत्पन्न करता है जो A+ से लेकर F तक होती है, साथ ही 100 में से एक numeric score भी दिया जाता है।
- A या A+ का अर्थ है कि certificate सही तरीके से install की गई है, आधुनिक cryptography का उपयोग करती है, और server पर सही security features सक्रिय हैं।
- B-grade certificates कार्यात्मक हैं लेकिन hardening की गुंजाइश दर्शाती हैं।
- C और उससे नीचे आमतौर पर किसी deprecated TLS version, किसी missing security feature, या ऐसे certificate की ओर इशारा करते हैं जो जल्द expire होने वाला है।
Score को पाँच श्रेणियों में weighted किया जाता है:
- Certificate (validity और algorithm)
- Trust (मान्यता प्राप्त Certificate Authority और chain integrity)
- Protocol (समर्थित TLS versions, deprecated protocols अक्षम)
- Features (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Validity (expiration से पहले शेष समय)
अधिकांश rating drops Features श्रेणी से आती हैं। Certificate काम करती है, chain ठीक है, protocol वर्तमान है, लेकिन HSTS configure नहीं है या CAA record publish नहीं किया गया है। ये server-side और DNS-side की समस्याएँ हैं, certificate की नहीं।
अपने certificate details पढ़ना
SSL checker chain में प्रत्येक certificate को field-by-field विभाजित करता है।
Common Name — वह primary domain जिसके लिए certificate जारी की गई है। यह check किए जा रहे URL से मेल खाना चाहिए, अन्यथा browser connection अस्वीकार कर देता है।
Issued By — जारी करने वाला intermediate और parent Certificate Authority। Sectigo, DigiCert, GeoTrust, या Google Trust Services जैसे मान्यता प्राप्त नाम स्वतः trusted होते हैं। अज्ञात issuers या कोई भी “self-signed” certificate चेतावनी उत्पन्न करेगा।
Valid From / Valid To — certificate की validity window। Valid From उससे अधिक महत्वपूर्ण है जितना लोग सोचते हैं: यदि server की clock गलत है या certificate जल्दी install की गई है, तो browsers इसे “अभी valid नहीं” मानकर अस्वीकार कर देते हैं।
Signature Algorithm — आधुनिक certificates SHA-256, SHA-384, या ecdsa-with-SHA256 का उपयोग करती हैं। SHA-1 को वर्षों पहले deprecated किया जा चुका है और इसका उपयोग करने वाली किसी भी certificate को reissue किया जाना चाहिए।
Public Key — RSA 2048-bit या उससे अधिक standard है। ECC 256-bit आधुनिक विकल्प है और छोटी, तेज़ certificates उत्पन्न करता है।
SAN (Subject Alternative Name) — वे अतिरिक्त hostnames जिन्हें certificate cover करती है। Wildcards जैसे *.example.com सभी single-level subdomains को cover करते हैं। Multi-domain certificates यहाँ प्रत्येक protected hostname सूचीबद्ध करती हैं। DV, OV, या EV certificates के लिए, SAN list ठीक-ठीक परिभाषित करती है कि cert किन domains के लिए validate करेगी।
SSL certificate security features की व्याख्या
Certificate के अलावा, SSL checker छह security features के एक panel पर रिपोर्ट करता है।
OCSP Stapling — server CA से अपनी revocation status पहले से प्राप्त करता है और इसे port 443 पर TLS handshake में शामिल करता है। “Not Supported” प्रत्येक connection में latency जोड़ता है। आमतौर पर Apache, Nginx, या IIS में यह एक-line config बदलाव होता है।
Perfect Forward Secrecy (PFS) — प्रत्येक session एक unique key का उपयोग करता है, इसलिए भविष्य में private-key compromise पुराने traffic को decrypt नहीं कर सकता। “Not Supported” का अर्थ है कि recorded sessions को बाद में decrypt किया जा सकता है। ECDHE cipher suites को प्राथमिकता देकर इसे सक्षम करें।
Certificate Transparency (CT) — जारी की गई certificates को public CT logs में दर्ज किया जाता है, जिससे domain owners गलत issuance का पता लगा सकते हैं। किसी public cert पर “Not Supported” असामान्य है।
HSTS (HTTP Strict Transport Security) — एक server response header जो browsers को plain HTTP connections अस्वीकार करने का निर्देश देता है। HSTS के बिना, कोई attacker visitor को HTTPS से downgrade करके traffic intercept कर सकता है। Web server config में Strict-Transport-Security header जोड़ें।
Certificate Revocation Status — checker OCSP और CRL से query करता है यह पुष्टि करने के लिए कि cert revoke नहीं की गई है। “Good” = सक्रिय। “Revoked” = browsers इसे अस्वीकार करेंगे, तुरंत reissue करें। CRL पर “Unknown” सामान्य है और कोई समस्या नहीं है यदि OCSP Good लौटाता है।
DNS CAA Record — एक DNS record जो यह सूचीबद्ध करता है कि कौन से Certificate Authorities domain के लिए certificates जारी कर सकते हैं। इसके बिना, कोई भी CA तकनीकी रूप से cert जारी कर सकता है। DNS provider पर अपने CAs को सूचीबद्ध करते हुए CAA record जोड़ें।
TLS vulnerability scan के परिणाम
पाँच नामित TLS vulnerabilities को scan किया जाता है। अधिकांश servers ने वर्षों पहले patch कर लिया है, इसलिए SSL checker आमतौर पर all-clear की पुष्टि करता है।
Heartbleed (CVE-2014-0160) — एक OpenSSL memory-read bug जिसने private keys उजागर कीं। “Safe” का अर्थ है कि server एक patched OpenSSL build चला रहा है।
POODLE (CVE-2014-3566) — SSLv3 के विरुद्ध एक padding-oracle attack। “Safe” का अर्थ है कि SSLv3 अक्षम है।
BEAST (CVE-2011-3389) — TLS 1.0 cipher block chaining की एक खामी। “Safe” का अर्थ है कि TLS 1.0 अक्षम है या server non-vulnerable cipher suites का उपयोग करता है।
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat। एक RSA padding खामी जो कई vendor implementations में फिर से सामने आई। “Safe” का अर्थ है कि server vulnerable key exchange उजागर नहीं करता।
Ticketbleed (CVE-2016-9244) — TLS session tickets के माध्यम से F5 BIG-IP-specific memory disclosure। “Safe” का अर्थ है कि कोई unpatched F5 device नहीं है।
Cipher suites और protocol support
SSL checker समर्थित cipher suites को TLS 1.3, TLS 1.2, और Weak के अंतर्गत वर्गीकृत करता है।
- TLS 1.3 में design से ही strong suites की एक छोटी सूची है।
- TLS 1.2 cipher quality भिन्न होती है, इसीलिए प्रत्येक suite को अलग-अलग सूचीबद्ध किया जाता है।
- Weak column deprecated protocols या ciphers को flag करता है जिन्हें अक्षम किया जाना चाहिए: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES, और कोई भी NULL या EXPORT cipher।
Cipher suite के नाम एक अनुमानित संरचना का पालन करते हैं। TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 में:
- ECDHE key exchange है (Perfect Forward Secrecy प्रदान करता है)
- ECDSA signature algorithm है
- AES_256_GCM symmetric cipher है
- SHA384 hash function है
128-bit और 256-bit दोनों AES सुरक्षित हैं।
Certificate chain validation
रिपोर्ट पूरी certificate chain को तीन स्तरों में दर्शाती है:
- Server certificate
- Intermediate certificate
- Root certificate
प्रत्येक स्तर उसके ऊपर वाले द्वारा sign किया जाता है, और chain को उस root पर समाप्त होना चाहिए जिस पर browser पहले से trust करता है।
“Chain Complete” का अर्थ है कि browsers बिना किसी समस्या के server से root तक जा सकते हैं।
“Incomplete” का अर्थ है कि server जो भेजता है उसमें एक या अधिक intermediates गायब हैं, इसलिए browsers certificate को किसी trusted root से नहीं जोड़ पाते और visitors को security warning दिखती है।
Incomplete chains SSL installation की सबसे सामान्य समस्याओं में से एक हैं, और SSL checker उन्हें रिपोर्ट के शीर्ष पर flag करता है। समाधान लगभग हमेशा CA द्वारा प्रदान किए गए full chain bundle का उपयोग करके पुनः install करना होता है। Server-specific paths भिन्न होते हैं: Apache एक chain file directive का उपयोग करता है जबकि Nginx एक fullchain.pem की अपेक्षा करता है। IIS certificate import wizard के माध्यम से chain rebuilds संभालता है।
SSL certificate expiration की जाँच करना
SSL checker दो स्थानों पर expiration दर्शाता है: शीर्ष summary में शेष दिन और Valid To date प्रदर्शित होती है, और chain में प्रत्येक certificate अपनी validity window दिखाती है।
CA/Browser Forum Ballot SC-081v3 के अंतर्गत, public SSL/TLS certificate lifetimes को चरणबद्ध तरीके से कम किया जा रहा है। 15 मार्च 2026 से, अधिकतम validity 398 दिनों से घटकर 200 दिन हो गई। यह 15 मार्च 2027 से 100 दिन और 15 मार्च 2029 से 47 दिन हो जाएगी।
200-day certificate के साथ, मासिक जाँच और 30-day mark पर reminder काम करता है। जब 47-day certificates आएंगी, तब manual renewal अव्यावहारिक हो जाएगा। इसका मानक समाधान ACME-based automation है, जो server को manual हस्तक्षेप के बिना certificates request और renew करने देता है।
Browser compatibility — यह कब मायने रखती है
SSL checker 13 browser और device combinations के विरुद्ध certificate का परीक्षण करता है। आधुनिक browsers (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) को वर्तमान certificate पर हमेशा Supported दिखाना चाहिए।
Android 5-7 और iOS 12 जैसे पुराने mobile platforms अक्सर partial support दिखाते हैं। यह मायने रखता है या नहीं, यह audience पर निर्भर करता है। Internet Explorer 10 और 11 जैसे legacy desktop browsers आधुनिक certificates पर लगभग हमेशा fail होते हैं क्योंकि वे default रूप से TLS 1.2 नहीं बोलते। 2026 में सभी modern browsers के green होने के साथ 9/13 score सामान्य है।
SSL check कब चलाएँ
Installation के बाद एक बार की जाँच पर्याप्त नहीं है। SSL checker चलाएँ:
- नई certificate install करने के बाद
- 200-day cycle पर expiration से 30 दिन पहले
- प्रत्येक renewal या reissue के बाद
- Server migration या IP बदलने के बाद
- Certificate Authorities बदलने के बाद
- Wildcard या multi-domain setup पर जाने के बाद
- HSTS, OCSP Stapling, या कोई भी TLS config बदलाव सक्षम करने के बाद
अक्सर पूछे जाने वाले प्रश्नों
मासिक एक उचित आधार है। 200-दिन के प्रमाणपत्र अब अधिकतम होने के साथ, समाप्ति से 30 दिन पहले एक पूर्ण जांच चलाने के लिए एक कठोर अनुस्मारक सेट करें। नवीनीकरण के बाद एक अतिरिक्त जांच चलाएं, क्योंकि chain bundle की गलतियां नवीनीकरण के बाद सबसे आम समस्या हैं।
लिंक की प्रतिलिपि करें
A या A+ का लक्ष्य रखें। B हर ब्राउज़र में काम करता है, लेकिन अंतर आमतौर पर समस्याओं को इंगित करता है जिन्हें ठीक किया जा सकता है। अधिकांश रेटिंग में गिरावट दो चीजों के कारण होती है जो SSL checker सुरक्षा सुविधाओं पैनल में फ्लैग करता है: एक लापता HSTS हेडर या एक अनकॉन्फ़िगर किया गया CAA रिकॉर्ड। न तो प्रमाणपत्र को छूने की आवश्यकता है।
लिंक की प्रतिलिपि करें
आपका सर्वर ब्राउज़रों को आवश्यक सभी मध्यवर्ती प्रमाणपत्र नहीं भेज रहा है। त्वरित समाधान: Apache SSLCertificateChainFile या एक संयुक्त बंडल का उपयोग करता है, Nginx एक fullchain.pem फ़ाइल की अपेक्षा करता है, और IIS प्रमाणपत्र आयात विज़ार्ड के माध्यम से श्रृंखला को पुनः बनाता है।
लिंक की प्रतिलिपि करें
नहीं, सार्वजनिक चेकर फायरवॉल के पीछे आंतरिक होस्ट तक नहीं पहुंच सकते। एक ही नेटवर्क पर किसी मशीन से, समान आउटपुट के लिए openssl s_client -connect host:443 -servername host चलाएं। OpenSSL कमांड-लाइन टूल अधिकांश Linux वितरणों के साथ आता है और Windows के लिए उपलब्ध है।
लिंक की प्रतिलिपि करें
हाँ। यह सर्वर द्वारा प्रस्तुत किसी भी प्रमाणपत्र को पढ़ता है, Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services, और अन्य से। SSL Dragon का SSL certificate catalog उन छह CAs को एक साथ कवर करता है।
लिंक की प्रतिलिपि करें
HSTS एक सर्वर रेस्पांस हेडर है, प्रमाणपत्र का हिस्सा नहीं। प्रमाणपत्र पूरी तरह से वैध हो सकता है जबकि HSTS अनकॉन्फ़िगर रहता है। इसे वेब सर्वर कॉन्फ़िग में जोड़ें: Apache Header always set Strict-Transport-Security का उपयोग करता है, Nginx add_header Strict-Transport-Security का उपयोग करता है।
लिंक की प्रतिलिपि करें
