What is SSL/TLS?

SSL/TLS হলো ওয়েবের এনক্রিপশন প্রোটোকল যা আপনার ব্রাউজার ও সার্ভারের মাঝের ডেটা সুরক্ষিত রাখে। এই গাইডে সহজ ভাষায় জানুন SSL/TLS কীভাবে কাজ করে, কেন গুরুত্বপূর্ণ, SSL সার্টিফিকেটের ধরন ও ভ্যালিডেশন লেভেল, আর কীভাবে সার্টিফিকেট পাওয়া যায়।

ধরুন আপনি ঢাকার এক কফি শপে বসে online shopping করছেন। Wi-Fi তো পাবলিক, তাই না? এখানেই SSL/TLS আপনার ঢাল। যেমন ঈদের সময়ে ভিড় সামলাতে বিশেষ নিরাপত্তা থাকে, ঠিক তেমনি ওয়েবে আপনার password, credit card নম্বর, আর ব্যক্তিগত ডেটা রক্ষা করে SSL/TLS।

এটিকে ভাবুন এক ধরণের “গোপন কোডে কথা বলা” যাতে মাঝপথে কেউ শুনলেও কিছুই বুঝবে না। আজকের লেখায় আমরা বোঝার চেস্টা করবো SSL/TLS কী, কীভাবে কাজ করে, কেন দরকার, কোন ধরনের SSL certificate নেবেন, আর কোথায় পাবেন সবকিছু এক সাথে।

SSL কী?

SSL (Secure Sockets Layer) হলো একটি encryption-based Internet security protocol। ১৯৯৫ সালে Netscape এটি তৈরি করে ওয়েবে privacy, authentication, এবং data integrity নিশ্চিত করার জন্য। পরবর্তীতে SSL-এর উত্তরসূরি হলো TLS (Transport Layer Security)। আজকে আমরা মূলত TLS-ই ব্যবহার করি।

যেসব ওয়েবসাইটে SSL/TLS চালু থাকে, সেগুলোর URL HTTP না হয়ে HTTPS দিয়ে শুরু হয়।

SSL/TLS কীভাবে কাজ করে?

• Encryption: ওয়েবে যেসব ডেটা আদান-প্রদান হয়, SSL/TLS সেগুলো encrypt করে। ফলে মাঝখানে কেউ intercept করলেও কেবল কিছু এলোমেলো অক্ষরের জগাখিচুড়ি দেখবে যা বোঝা প্রায় অসম্ভব।
• Authentication (Handshake): ব্রাউজার ও সার্ভারের মধ্যে এক ধরনের handshake হয়, উভয় পক্ষ আসলেই কারা, সেটি যাচাই করতে।
• Data Integrity: ডেটার ওপর digital signature ব্যবহৃত হয়, যাতে গন্তব্যে পৌঁছানোর আগে কেউ tamper করতে না পারে।

SSL-এর কয়েকটি সংস্করণ ছিল। ১৯৯৯ সালে এটি আপডেট হয়ে TLS নামে পরিচিত হয়।

কেন SSL/TLS গুরুত্বপূর্ণ?

আগে ওয়েবে ডেটা plaintext আকারে যেত। মাঝপথে কেউ পেলে সহজেই পড়ে ফেলতে পারত। যেমন, আপনি কোনো shopping সাইটে credit card দিলেন, এটি সরাসরি খোলামেলা অবস্থায় ইউজার থেকে সার্ভারে যেত। SSL/TLS এই সমস্যার সমাধান করে।

• গোপনীয়তা: ইউজার ও ওয়েব সার্ভারের মাঝে যেকোনো ডেটা encrypt থাকে, মাঝখানের কেউ দেখলেও শুধু অর্থহীন টেক্সট দেখতে পাবে।
• ফিশিং/ভুয়া সাইট প্রতিরোধ: Server authentication হওয়ার কারণে আক্রমণকারীরা ভুয়া সাইট বানিয়ে ডেটা চুরি করা কঠিন হয়ে যাবে।
• ডেটা টেম্পারিং রোধ: ডেটা ট্রান্সমিটের সময় কেউ বদলে ফেললে সেটি ধরা পড়ে, ঠিক যেমন ওষুধের বোতলে থাকা tamper-proof seal ছিঁড়ে গেলে সঙ্গে সঙ্গেই বোঝা যায়।

SSL আর TLS কি একই জিনিস?

SSL হলো TLS-এর পূর্বসূরি। ১৯৯৯ সালে IETF (Internet Engineering Task Force) যখন SSL আপডেট প্রস্তাব করে,তখন Netscape এর সাথে জড়িত ছিল না। তাই নাম বদলে TLS হয়। SSL 3.0 এবং TLS 1.0-এর পার্থক্য খুব বড় নয়। মূলত ownership পরিবর্তনের প্রতীক হিসেবেই নাম বদল।

বাস্তবে অনেকে এখনো SSL বললে TLS-কেই বোঝায়। SSL/TLS encryption কথাটাও জনপ্রিয়, কারণ SSL নামটির পরিচিতি বেশি।

SSL কি এখনো আপ-টু-ডেট?

না। SSL 3.0 (১৯৯৬)-এর পর থেকে নিয়ে আজ পর্যন্ত SSL আর আপডেট হয়নি এবং এটা এখন deprecated। SSL-এ বেশ কিছু পরিচিত দুর্বলতা আছে যার কারনে modern ব্রাউজারগুলো SSL support-ই করে না।

আজকের স্ট্যান্ডার্ড হলো TLS। তবে বাজারে অনেকেই অভ্যাসবশত কারনে SSL protection বলেই প্রচার করে। আসলেই তারা TLS-ই দেয়, যা ২০ বছরের বেশি সময় ধরে ইন্ডাস্ট্রি স্ট্যান্ডার্ড।

SSL Certificate কী?

SSL/TLS চালাতে হলে সাইটে একটি SSL certificate (আসলে TLS certificate) থাকতে হয়। এটিকে ভাবুন ওয়েবসাইটের ID card। সার্ভারে এটি রাখা থাকে এবং ব্রাউজারকে দেখানো হয়।

এই সার্টিফিকেটে থাকে সাইটের public key, এটি দিয়েই encryption ও authentication সম্ভব হয়। ইউজারের ডিভাইস public key দেখে সার্ভারের সাথে নিরাপদ session keys সেট করে। সার্ভারের কাছে থাকে private key যেটি দিয়ে public key-এ এনক্রিপ্টেড ডেটা decrypt করা হয়।

এই সার্টিফিকেট ইস্যু করে Certificate Authority (CA)।

SSL Certificate-এর ধরন

একটি সার্টিফিকেট এক বা একাধিক ডোমেইনে প্রযোজ্য হতে পারে তবে ধরন অনুযায়ী পার্থক্য হয়।

ডোমেইন কাভারেজ অনুযায়ী certificates

• Single-domain: কেবল একটি ডোমেইনের জন্য (যেমন: www.devopsquad.com)।
• Wildcard: একটি ডোমেইন + তার সব সাবডোমেইন (যেমন: www.devopsquad.com, courses.devopsquad.com)।
• Multi-domain (SAN): একটাই সার্টিফিকেটে একাধিক ডোমেইন কাভার করে।

Validation Level অনুযায়ী Certificates

ভ্যালিডেশন মানে হলো CA আপনার পরিচয় কতটা গভীরে যাচাই করছে, যেমন ব্যাকগ্রাউন্ড চেক:

• Domain Validation (DV): সবচেয়ে সহজ ও সস্তা।কেবল ডোমেইন নিয়ন্ত্রণ প্রমাণ করলেই হয়।
• Organization Validation (OV): CA সরাসরি প্রতিষ্ঠান/ব্যক্তির সাথে যোগাযোগ করে।ইউজারের আস্থা বেশি।
• Extended Validation (EV): পূর্ণাঙ্গ ব্যাকগ্রাউন্ড চেক, কঠোর যাচাইয়ের পর ইস্যু হয়।

টিপস: ছোট/ব্যক্তিগত সাইটের জন্য DV যথেষ্ট। ব্যাংক, ফাইন্যান্স, সরকারি/এন্টারপ্রাইজ সাইটে OV/EV বেশি উপযোগী, কারণ ব্র্যান্ড-ট্রাস্ট গুরুত্বপূর্ণ।

কীভাবে SSL Certificate পাওয়া যায়?

Cloudflare-সহ অনেক প্রোভাইডার free SSL/TLS দেয়। আপনার সাইট Cloudflare-এ প্রটেক্টেড থাকলে কয়েকটি ক্লিকেই SSL চালু করতে পারবেন। প্রয়োজন হলে আপনার origin server-এও সার্টিফিকেট সেটআপ করতে হবে (Cloudflare-এর Origin Certificate অপশন আছে)।

তেমনি আরেকটি জনপ্রিয় প্রোভাইডার হলো Certbot (Let’s Encrypt)। চাইলে আপনি Certbot দিয়ে একেবারে বিনামূল্যে Let’s Encrypt DV certificate ইস্যু ও auto-renew সেটআপ করতে পারেন।Nginx থাকলে সাধারণত এক লাইনের কমান্ডেই কাজ হয়ে যায়। অফিসিয়াল গাইডে OS ও Web Server বেছে নিলেই ধাপে ধাপে নির্দেশনা মেলে pip ইনস্টলেশনও সাপোর্টেড, আর certbot renew/systemd টাইমার দিয়ে মেয়াদ শেষ হওয়ার আগেই সার্টিফিকেট নিজে নিজে রিনিউ হয়ে যায়।

বাংলায় ভাবলে, যেমন পদ্মা সেতুর দুই প্রান্তে চেকপোস্ট থাকলে চলাচল নিরাপদ হয়, তেমনি ক্লায়েন্ট-সাইডে HTTPS আর সার্ভার-সাইডে সঠিক origin certificate দুই দিকেই বন্দোবস্ত রাখলে পুরো pipeline নিরাপদ থাকে।

দ্রুত তুলনামূলক টেবিল

বিষয়	SSL	TLS
স্ট্যাটাস	Deprecated	Current standard
সর্বশেষ বড় রিলিজ	SSL 3.0 (1996)	TLS 1.2/1.3 (বর্তমানে ব্যবহৃত)
ব্রাউজার সাপোর্ট	কার্যত নেই	পূর্ণ সমর্থিত
নিরাপত্তা	পরিচিত দুর্বলতা	শক্তিশালী, আধুনিক cipher suites
সাধারণ নাম	SSL নামে পরিচিতি বেশি	আসল প্রযুক্তি কিন্তু অনেকে SSL বলেই উল্লেখ করে

FAQs

• HTTPS দেখলে কি আমি পুরোপুরি নিরাপদ?
  HTTPS ডেটা-ইন-ট্রানজিট নিরাপদ করে। তবে phishing, malware, বা compromised endpoint-এর ঝুঁকি আলাদা। সেগুলোর জন্য বাড়তি সচেতনতা দরকার।
• Padlock আইকন না দেখালে?
  ব্রাউজার সতর্ক করবে। পরামর্শ হলো এমন সাইটে পাসওয়ার্ড/কার্ড নম্বর দেবেন না।
• Wildcard না Multi-domain?
  একই রুট ডোমেইনের অনেক সাবডোমেইন হলে Wildcard।একাধিক ভিন্ন ডোমেইন হলে Multi-domain ভালো।

আমরা কী শিখলাম

• SSL/TLS ওয়েবে encryption, authentication, ও data integrity নিশ্চিত করে।
• SSL পুরনো ও deprecated। বাস্তবে আমরা TLS ব্যবহার করি, যদিও অনেকে SSL বলেই চেনে।
• HTTPS মানেই ব্রাউজার-সার্ভারের ট্রাফিক encrypted। ইন্টারসেপ্ট করলে পড়তে পারবে না।
• SSL certificate-এ থাকে public key যা সার্ভারের private key দিয়ে ডেটা decrypt হয়।
• সার্টিফিকেটের ধরন: Single-domain, Wildcard, Multi-domain চাহিদা অনুযায়ী।
• ভ্যালিডেশন লেভেল: DV (সহজ), OV (বিশ্বাসযোগ্য), EV (কঠোর) ব্যবহারের কেস অনুসারে বেছে নিতে হয়।Cloudflare-এর মতো প্রোভাইডার থেকে free SSL/TLS সম্ভব। প্রয়োজন হলে origin server-এও সার্টিফিকেট কনফিগার করুন।
• নিরাপত্তা একহাতে হয় না যেমন এক হাতে তালি বাজে না।server config, certificate management, এবং user awareness সব মিলেই শক্ত দেয়াল।