Back
What is SSL and TLS-devopsquad

What is SSL/TLS?

SSL/TLS হলো ওয়েবের এনক্রিপশন প্রোটোকল যা আপনার ব্রাউজার ও সার্ভারের মাঝের ডেটা সুরক্ষিত রাখে। এই গাইডে সহজ ভাষায় জানুন SSL/TLS কীভাবে কাজ করে, কেন গুরুত্বপূর্ণ, SSL সার্টিফিকেটের ধরন ও ভ্যালিডেশন লেভেল, আর কীভাবে সার্টিফিকেট পাওয়া যায়।

ধরুন আপনি ঢাকার এক কফি শপে বসে online shopping করছেন। Wi-Fi তো পাবলিক, তাই না? এখানেই SSL/TLS আপনার ঢাল। যেমন ঈদের সময়ে ভিড় সামলাতে বিশেষ নিরাপত্তা থাকে, ঠিক তেমনি ওয়েবে আপনার password, credit card নম্বর, আর ব্যক্তিগত ডেটা রক্ষা করে SSL/TLS।

এটিকে ভাবুন এক ধরণের “গোপন কোডে কথা বলা” যাতে মাঝপথে কেউ শুনলেও কিছুই বুঝবে না। আজকের লেখায় আমরা বোঝার চেস্টা করবো SSL/TLS কী, কীভাবে কাজ করে, কেন দরকার, কোন ধরনের SSL certificate নেবেন, আর কোথায় পাবেন সবকিছু এক সাথে।

SSL কী?

SSL (Secure Sockets Layer) হলো একটি encryption-based Internet security protocol। ১৯৯৫ সালে Netscape এটি তৈরি করে ওয়েবে privacy, authentication, এবং data integrity নিশ্চিত করার জন্য। পরবর্তীতে SSL-এর উত্তরসূরি হলো TLS (Transport Layer Security)। আজকে আমরা মূলত TLS-ই ব্যবহার করি।

যেসব ওয়েবসাইটে SSL/TLS চালু থাকে, সেগুলোর URL HTTP না হয়ে HTTPS দিয়ে শুরু হয়।

SSL/TLS কীভাবে কাজ করে?

  • Encryption: ওয়েবে যেসব ডেটা আদান-প্রদান হয়, SSL/TLS সেগুলো encrypt করে। ফলে মাঝখানে কেউ intercept করলেও কেবল কিছু এলোমেলো অক্ষরের জগাখিচুড়ি দেখবে যা বোঝা প্রায় অসম্ভব।
  • Authentication (Handshake): ব্রাউজার ও সার্ভারের মধ্যে এক ধরনের handshake হয়, উভয় পক্ষ আসলেই কারা, সেটি যাচাই করতে।
  • Data Integrity: ডেটার ওপর digital signature ব্যবহৃত হয়, যাতে গন্তব্যে পৌঁছানোর আগে কেউ tamper করতে না পারে।

SSL-এর কয়েকটি সংস্করণ ছিল। ১৯৯৯ সালে এটি আপডেট হয়ে TLS নামে পরিচিত হয়।

কেন SSL/TLS গুরুত্বপূর্ণ?

আগে ওয়েবে ডেটা plaintext আকারে যেত। মাঝপথে কেউ পেলে সহজেই পড়ে ফেলতে পারত। যেমন, আপনি কোনো shopping সাইটে credit card দিলেন, এটি সরাসরি খোলামেলা অবস্থায় ইউজার থেকে সার্ভারে যেত। SSL/TLS এই সমস্যার সমাধান করে।

  • গোপনীয়তা: ইউজার ও ওয়েব সার্ভারের মাঝে যেকোনো ডেটা encrypt থাকে, মাঝখানের কেউ দেখলেও শুধু অর্থহীন টেক্সট দেখতে পাবে।
  • ফিশিং/ভুয়া সাইট প্রতিরোধ: Server authentication হওয়ার কারণে আক্রমণকারীরা ভুয়া সাইট বানিয়ে ডেটা চুরি করা কঠিন হয়ে যাবে।
  • ডেটা টেম্পারিং রোধ: ডেটা ট্রান্সমিটের সময় কেউ বদলে ফেললে সেটি ধরা পড়ে, ঠিক যেমন ওষুধের বোতলে থাকা tamper-proof seal ছিঁড়ে গেলে সঙ্গে সঙ্গেই বোঝা যায়।

SSL আর TLS কি একই জিনিস?

SSL হলো TLS-এর পূর্বসূরি। ১৯৯৯ সালে IETF (Internet Engineering Task Force) যখন SSL আপডেট প্রস্তাব করে,তখন Netscape এর সাথে জড়িত ছিল না। তাই নাম বদলে TLS হয়। SSL 3.0 এবং TLS 1.0-এর পার্থক্য খুব বড় নয়। মূলত ownership পরিবর্তনের প্রতীক হিসেবেই নাম বদল।

বাস্তবে অনেকে এখনো SSL বললে TLS-কেই বোঝায়। SSL/TLS encryption কথাটাও জনপ্রিয়, কারণ SSL নামটির পরিচিতি বেশি।

SSL কি এখনো আপ-টু-ডেট?

না। SSL 3.0 (১৯৯৬)-এর পর থেকে নিয়ে আজ পর্যন্ত SSL আর আপডেট হয়নি এবং এটা এখন deprecated। SSL-এ বেশ কিছু পরিচিত দুর্বলতা আছে যার কারনে modern ব্রাউজারগুলো SSL support-ই করে না।

আজকের স্ট্যান্ডার্ড হলো TLS। তবে বাজারে অনেকেই অভ্যাসবশত কারনে SSL protection বলেই প্রচার করে। আসলেই তারা TLS-ই দেয়, যা ২০ বছরের বেশি সময় ধরে ইন্ডাস্ট্রি স্ট্যান্ডার্ড।

SSL Certificate কী?

SSL/TLS চালাতে হলে সাইটে একটি SSL certificate (আসলে TLS certificate) থাকতে হয়। এটিকে ভাবুন ওয়েবসাইটের ID card। সার্ভারে এটি রাখা থাকে এবং ব্রাউজারকে দেখানো হয়।

এই সার্টিফিকেটে থাকে সাইটের public key, এটি দিয়েই encryptionauthentication সম্ভব হয়। ইউজারের ডিভাইস public key দেখে সার্ভারের সাথে নিরাপদ session keys সেট করে। সার্ভারের কাছে থাকে private key যেটি দিয়ে public key-এ এনক্রিপ্টেড ডেটা decrypt করা হয়।

এই সার্টিফিকেট ইস্যু করে Certificate Authority (CA)

SSL Certificate-এর ধরন

একটি সার্টিফিকেট এক বা একাধিক ডোমেইনে প্রযোজ্য হতে পারে তবে ধরন অনুযায়ী পার্থক্য হয়।

ডোমেইন কাভারেজ অনুযায়ী certificates

  • Single-domain: কেবল একটি ডোমেইনের জন্য (যেমন: www.devopsquad.com)।
  • Wildcard: একটি ডোমেইন + তার সব সাবডোমেইন (যেমন: www.devopsquad.com, courses.devopsquad.com)।
  • Multi-domain (SAN): একটাই সার্টিফিকেটে একাধিক ডোমেইন কাভার করে।

Validation Level অনুযায়ী Certificates

ভ্যালিডেশন মানে হলো CA আপনার পরিচয় কতটা গভীরে যাচাই করছে, যেমন ব্যাকগ্রাউন্ড চেক:

  • Domain Validation (DV): সবচেয়ে সহজ ও সস্তা।কেবল ডোমেইন নিয়ন্ত্রণ প্রমাণ করলেই হয়।
  • Organization Validation (OV): CA সরাসরি প্রতিষ্ঠান/ব্যক্তির সাথে যোগাযোগ করে।ইউজারের আস্থা বেশি।
  • Extended Validation (EV): পূর্ণাঙ্গ ব্যাকগ্রাউন্ড চেক, কঠোর যাচাইয়ের পর ইস্যু হয়।

টিপস: ছোট/ব্যক্তিগত সাইটের জন্য DV যথেষ্ট। ব্যাংক, ফাইন্যান্স, সরকারি/এন্টারপ্রাইজ সাইটে OV/EV বেশি উপযোগী, কারণ ব্র্যান্ড-ট্রাস্ট গুরুত্বপূর্ণ।

কীভাবে SSL Certificate পাওয়া যায়?

Cloudflare-সহ অনেক প্রোভাইডার free SSL/TLS দেয়। আপনার সাইট Cloudflare-এ প্রটেক্টেড থাকলে কয়েকটি ক্লিকেই SSL চালু করতে পারবেন। প্রয়োজন হলে আপনার origin server-এও সার্টিফিকেট সেটআপ করতে হবে (Cloudflare-এর Origin Certificate অপশন আছে)।

তেমনি আরেকটি জনপ্রিয় প্রোভাইডার হলো Certbot (Let’s Encrypt)। চাইলে আপনি Certbot দিয়ে একেবারে বিনামূল্যে Let’s Encrypt DV certificate ইস্যু ও auto-renew সেটআপ করতে পারেন।Nginx থাকলে সাধারণত এক লাইনের কমান্ডেই কাজ হয়ে যায়। অফিসিয়াল গাইডে OSWeb Server বেছে নিলেই ধাপে ধাপে নির্দেশনা মেলে pip ইনস্টলেশনও সাপোর্টেড, আর certbot renew/systemd টাইমার দিয়ে মেয়াদ শেষ হওয়ার আগেই সার্টিফিকেট নিজে নিজে রিনিউ হয়ে যায়।

বাংলায় ভাবলে, যেমন পদ্মা সেতুর দুই প্রান্তে চেকপোস্ট থাকলে চলাচল নিরাপদ হয়, তেমনি ক্লায়েন্ট-সাইডে HTTPS আর সার্ভার-সাইডে সঠিক origin certificate দুই দিকেই বন্দোবস্ত রাখলে পুরো pipeline নিরাপদ থাকে।

দ্রুত তুলনামূলক টেবিল

বিষয়SSLTLS
স্ট্যাটাসDeprecatedCurrent standard
সর্বশেষ বড় রিলিজSSL 3.0 (1996)TLS 1.2/1.3 (বর্তমানে ব্যবহৃত)
ব্রাউজার সাপোর্টকার্যত নেইপূর্ণ সমর্থিত
নিরাপত্তাপরিচিত দুর্বলতাশক্তিশালী, আধুনিক cipher suites
সাধারণ নামSSL নামে পরিচিতি বেশিআসল প্রযুক্তি কিন্তু অনেকে SSL বলেই উল্লেখ করে

FAQs

  • HTTPS দেখলে কি আমি পুরোপুরি নিরাপদ?
    HTTPS ডেটা-ইন-ট্রানজিট নিরাপদ করে। তবে phishing, malware, বা compromised endpoint-এর ঝুঁকি আলাদা। সেগুলোর জন্য বাড়তি সচেতনতা দরকার।
  • Padlock আইকন না দেখালে?
    ব্রাউজার সতর্ক করবে। পরামর্শ হলো এমন সাইটে পাসওয়ার্ড/কার্ড নম্বর দেবেন না।
  • Wildcard না Multi-domain?
    একই রুট ডোমেইনের অনেক সাবডোমেইন হলে Wildcard।একাধিক ভিন্ন ডোমেইন হলে Multi-domain ভালো।

আমরা কী শিখলাম

  • SSL/TLS ওয়েবে encryption, authentication, ও data integrity নিশ্চিত করে।
  • SSL পুরনো ও deprecated। বাস্তবে আমরা TLS ব্যবহার করি, যদিও অনেকে SSL বলেই চেনে।
  • HTTPS মানেই ব্রাউজার-সার্ভারের ট্রাফিক encrypted। ইন্টারসেপ্ট করলে পড়তে পারবে না।
  • SSL certificate-এ থাকে public key যা সার্ভারের private key দিয়ে ডেটা decrypt হয়।
  • সার্টিফিকেটের ধরন: Single-domain, Wildcard, Multi-domain চাহিদা অনুযায়ী।
  • ভ্যালিডেশন লেভেল: DV (সহজ), OV (বিশ্বাসযোগ্য), EV (কঠোর) ব্যবহারের কেস অনুসারে বেছে নিতে হয়।Cloudflare-এর মতো প্রোভাইডার থেকে free SSL/TLS সম্ভব। প্রয়োজন হলে origin server-এও সার্টিফিকেট কনফিগার করুন।
  • নিরাপত্তা একহাতে হয় না যেমন এক হাতে তালি বাজে নাserver config, certificate management, এবং user awareness সব মিলেই শক্ত দেয়াল।

Tag:, , , ,

Munir Mahmud

You may also like

What is a CI/CD pipeline?
5 December, 2025

CI/CD Pipeline কী এবং আধুনিক সফটওয়্যারে এর গুরুত্ব একটা CI/CD pipeline আসলে এমন একটা automation flow, যেটা ধাপে ধাপে কোডকে Build, Test আর Deploy করার কাজগুলো করে দেয় খুব দ্রুত, নিরাপদ আর consistent ভাবে। আধুনিক Software Development-এ Continuous Integration আর …

what-is-devops
What is DevOps?
19 November, 2025
What-is-Chaos-Monkey-devopsquad
What is Chaos Monkey?
8 November, 2025

Leave A Reply

Your email address will not be published. Required fields are marked *