गूगल द्वारा “असुरक्षित” (Not Secure) चिह्नित वेबसाइट को कैसे ठीक करें

जब आपकी वेबसाइट को अचानक गूगल “असुरक्षित” (Not Secure) के रूप में चिह्नित कर देता है, और विज़िटर लॉगिन या पेमेंट पेज पर चेतावनी पॉपअप देखते हैं, तो 63% से ज़्यादा लोग तुरंत पेज बंद कर देते हैं — यानी ट्रैफिक का नुकसान और ब्रांड पर भरोसे में जबरदस्त गिरावट!

यह लेख सीधे लागू करने योग्य समाधान प्रदान करता है जिन्हें तकनीकी ज्ञान के बिना भी अपनाया जा सकता है — सिर्फ 2 घंटे में आपकी वेबसाइट को फिर से “सुरक्षित” बना सकते हैं!

आपकी वेबसाइट को “असुरक्षित” क्यों बताया गया?

2018 से, गूगल ने अनिवार्य कर दिया है कि किसी भी पेज पर जहां यूज़र इनपुट होता है (जैसे लॉगिन, पेमेंट या फॉर्म), वहां SSL सर्टिफिकेट जरूर लगा होना चाहिए — नहीं तो उसे सीधे “Not Secure” बता दिया जाएगा।

बात यहीं खत्म नहीं होती — अगर आपने SSL इंस्टॉल किया हुआ है, लेकिन सर्टिफिकेट की समयसीमा खत्म हो गई (जैसे मुफ्त सर्टिफिकेट 3 महीने में रिन्यू नहीं किया गया), डोमेन मेल नहीं खाता (जैसे सर्टिफिकेट सिर्फ domain.com के लिए है, लेकिन यूज़र www.domain.com खोल रहा है), या पेज पर किसी HTTP लिंक वाली इमेज या स्क्रिप्ट है, तो भी HTTPS फेल हो सकता है।

HTTP मतलब “नग्न” ट्रांसमिशन

एक ऑफलाइन स्टोर की ऑनलाइन साइट पर HTTPS चालू नहीं था, जिसकी वजह से यूज़र का रजिस्ट्रेशन डेटा हैकर ने चुरा लिया। टेक टीम ने पाया कि हैकर ने सिर्फ एक पब्लिक WiFi और Wireshark टूल की मदद से 5 मिनट में 200+ पासवर्ड पकड़ लिए।

मुख्य समस्याएं:

• HTTP में सभी डेटा (पासवर्ड, पेमेंट जानकारी) बिना एन्क्रिप्शन के भेजा जाता है
• HTTP पेज को छेड़छाड़ का खतरा HTTPS से 3.6 गुना ज्यादा होता है (स्रोत: Sucuri सिक्योरिटी रिपोर्ट 2024)
• गूगल HTTP पेज की रैंकिंग 15%-20% तक घटा देता है (SEMrush टेस्ट डेटा)

SSL सर्टिफिकेट की “घातक” डिटेल्स

2023 के एक सेल के दौरान, एक कपड़ों की वेबसाइट का SSL सर्टिफिकेट एक्सपायर हो गया, जिसकी वजह से पेमेंट पेज ब्राउज़र द्वारा ब्लॉक कर दिया गया — सीधा ₹3.7 लाख ऑर्डर का नुकसान।

1. सर्टिफिकेट एक्सपायर: फ्री सर्टिफिकेट (जैसे Let’s Encrypt) हर 90 दिन में रिन्यू करना पड़ता है
2. डोमेन मेल नहीं खाता: सर्टिफिकेट domain.com पर है, लेकिन विज़िटर www.domain.com खोलता है तो चेतावनी आती है
3. इंटरमीडिएट सर्टिफिकेट मिसिंग: खासकर एंड्रॉइड डिवाइस में यह “सर्टिफिकेट चेन अधूरी” जैसी त्रुटि देता है

वर्तमान स्थिति: HTTPS का उपयोग करने वाली वेबसाइटों में से 43% में अभी भी सर्टिफिकेट कॉन्फ़िगरेशन की गड़बड़ियां हैं (SSL Labs 2024 डेटा)

मिक्स कंटेंट: “एक खराब लिंक पूरे पेज को बिगाड़ देता है”

एक WordPress एडमिन ने कहा: “मैंने SSL लगाया हुआ है लेकिन अभी भी ‘Not Secure’ दिखा रहा है!” बाद में पता चला कि थीम में इस्तेमाल एक HTTP लिंक वाली इमेज पूरे पेज को असुरक्षित बना रही थी।

आम समस्याएं:

• पुरानी पोस्ट में HTTP इमेज लिंक (जैसे http://image.com/1.jpg)
• थर्ड पार्टी प्लगइन जो HTTP API से कनेक्ट होता है (जैसे लाइव चैट या ऐड कोड)
• डेटाबेस में हार्डकोडेड HTTP लिंक

खुद चेक करने के टूल:

• Chrome में F12 दबाएं → Console टैब में जाकर एरर देखें
• SSL Checker से सर्टिफिकेट जांचें

छिपा हुआ खतरा: क्षेत्रीय नेटवर्क हैकिंग

कुछ क्षेत्रों में लोकल ISP HTTP ट्रैफिक को इंटरसेप्ट कर विज्ञापन या रीडायरेक्ट डालते हैं। जैसे युन्नान के एक एंटरप्राइज यूज़र ने शिकायत की: “हमारी वेबसाइट पर जुआ वाले पॉपअप आ रहे हैं” — असल में यह ISP द्वारा किया गया नेटवर्क हाइजैक था।

ऐसी स्थिति में ब्राउज़र सुरक्षा चेतावनी देता है और यूज़र को लगता है कि वेबसाइट ही गड़बड़ है, जिससे शिकायतें 280% तक बढ़ जाती हैं (स्रोत:站长之家 केस स्टडी)

तेजी से फ्री SSL सर्टिफिकेट पाने के 3 तरीके

“SSL इंस्टॉल करना मुश्किल है? सर्वर एडमिन की ज़रूरत होगी?” — यही गलतफहमी है जिसके चलते 90% छोटे वेबमास्टर “Not Secure” का समाधान नहीं करते।

असल में, दुनिया में 430 मिलियन से ज़्यादा वेबसाइटें फ्री SSL सर्टिफिकेट इस्तेमाल कर रही हैं (BuiltWith डेटा), जिनमें Amazon, WordPress जैसे दिग्गज भी शामिल हैं।

फ्री सर्टिफिकेट की सिक्योरिटी पेड वर्जन जैसी ही होती है — फर्क सिर्फ वेरिफिकेशन मेथड में होता है।

1. होस्टिंग पैनल से एक-क्लिक इंस्टॉल (बिलकुल शुरुआती लोगों के लिए)

कब इस्तेमाल करें: वर्चुअल होस्टिंग या क्लाउड सर्वर यूज़र (जैसे Alibaba Cloud, Tencent Cloud, SiteGround)
ऑपरेशन स्टेप्स：

1. होस्टिंग प्रदाता के बैकएंड में लॉगिन करें, “SSL/TLS” या “सिक्योरिटी” सेक्शन ढूंढें
2. “फ्री सर्टिफिकेट” चुनें, और जिन डोमेन को एन्क्रिप्ट करना है उन्हें चेक करें (बैच में भी किया जा सकता है)
3. “Deploy” पर क्लिक करें, और 3–5 मिनट में ऑटोमैटिक प्रभाव का इंतज़ार करें

सक्सेस रेट：98%（चीन के ज्यादातर होस्टिंग प्रदाता पहले से ही अनुकूलित हैं）

फायदे：कोई तकनीकी ज्ञान नहीं चाहिए, ऑटो-रिन्यू होता है, असफलता की संभावना बहुत कम

सावधानी के बिंदु：

• कुछ होस्टिंग कंपनियाँ फ्री सर्टिफिकेट की संख्या सीमित करती हैं (जैसे West.cn सिर्फ 1 देता है)
• यह सुनिश्चित करें कि डोमेन DNS वर्तमान सर्वर IP से जुड़ा हो

2. Let’s Encrypt + Certbot (डेवलपर्स की पसंद)

उपयोग का मामला：अगर आपका खुद का सर्वर है (जैसे Nginx/Apache), या आप मल्टी-डोमेन संभालते हैं

रियल केस：एक ब्लॉग साइट जिसमें 1 लाख+ डेली यूज़र हैं, ने सिर्फ 3 मिनट में 100 सबडोमेन एन्क्रिप्ट कर लिए

ऑपरेशन प्रोसेस：

# Certbot इंस्टॉल करें (Ubuntu + Nginx का उदाहरण)
sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx

# सर्टिफिकेट अप्लाई और ऑटो-कॉन्फ़िगर करें (yourdomain.com बदलें)
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

# ऑटो रिन्यू चालू करें (90 दिन की वैधता)
sudo certbot renew --dry-run

सक्सेस रेट：92%（सर्वर कॉन्फ़िगरेशन पर निर्भर करता है）

कॉमन एरर सॉल्यूशन：

• Failed to connect to host for DVSNI challenge → चेक करें कि फायरवॉल में पोर्ट 80/443 खुले हैं
• The server experienced an internal error → डोमेन DNS अभी अपडेट नहीं हुआ, कुछ समय इंतजार करें

​3. CDN सेवा में HTTPS शामिल (स्पीड + सुरक्षा दोनों)​

सपोर्टेड प्लेटफॉर्म：Cloudflare, Baidu Cloud Acceleration, Tencent Cloud CDN

ऑपरेशन गाइड (Cloudflare उदाहरण)：

1. अकाउंट बनाएं, वेबसाइट डोमेन जोड़ें
2. “SSL/TLS” सेटिंग्स में जाएँ और “Flexible” मोड चुनें (पूरे साइट पर HTTPS लागू होता है)
3. “Always Use HTTPS” और “Automatic HTTPS Rewrites” ऑन करें

इफेक्ट टाइम：तुरंत (ग्लोबल नोड्स पर एक्टिवेटेड)

मुख्य फायदे：

• ऑरिजिन सर्वर पर कोई सर्टिफिकेट इंस्टॉल करने की जरूरत नहीं
• पुराने HTTP सर्वर के साथ भी काम करता है
• फ्री वर्ज़न में वाइल्डकार्ड सपोर्ट मिलता है (*.domain.com)

समस्या और समाधान

पूरी साइट को HTTPS पर जबरन रीडायरेक्ट करें (कोड उदाहरण)

“मैंने SSL सर्टिफिकेट इंस्टॉल कर लिया, फिर भी यूज़र HTTP वर्जन क्यों खोल पा रहे हैं?” — यह मिक्स्ड कंटेंट फिक्स के बाद सबसे खतरनाक कमजोरी होती है।

एक मदर-केयर ई-कॉमर्स साइट में 40% मोबाइल यूज़र्स पुराने HTTP पेज खोल रहे थे, जिससे Google ने डुप्लिकेट कंटेंट पकड़ा और रैंकिंग 30% गिर गई।

इसका समाधान है: सभी HTTP रिक्वेस्ट को पकड़कर उन्हें 301 स्टेटस कोड से HTTPS पर स्थायी रूप से रीडायरेक्ट करना

1. कॉमन कोड टेम्प्लेट (Apache/Nginx/IIS के लिए)

Apache सर्वर (.htaccess फ़ाइल)

RewriteEngine On  
# मुख्य डोमेन पर फोर्स रीडायरेक्ट  
RewriteCond %{HTTPS} !=on  
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]  
# www और non-www के मिक्स यूज़ को ठीक करना  
RewriteCond %{HTTP_HOST} !^www\. [NC]  
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]  

उपयोग के मामले: वर्चुअल होस्टिंग, WordPress, Joomla और बाकी PHP साइट्स
बचाव की टिप्स:

• सुनिश्चित करें कि सर्वर पर mod_rewrite मॉड्यूल चालू है
• फाइल को वेबसाइट के रूट डायरेक्टरी में अपलोड करें
• अगर रीडायरेक्ट काम नहीं कर रहा है, तो देखें कहीं कई .htaccess फाइलों में टकराव तो नहीं है

Nginx सर्वर (nginx.conf में कोड सेगमेंट)

server {  
    listen 80;  
    server_name example.com www.example.com;  
    # पूरी साइट को 301 रीडायरेक्ट करना  
    return 301 https://$server_name$request_uri;  
    # सेंसिटिव HTTP मेथड्स को ब्लॉक करना  
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {  
        return 444;  
    }  
}  

डिबगिंग टिप्स:

• बदलाव के बाद nginx -t चलाकर कॉन्फ़िग चेक करें
• कॉन्फ़िग रीलोड करें: nginx -s reload
• ज़रूरत से ज़्यादा HTTP मेथड्स को ब्लॉक करें ताकि डेटा लीक न हो

Windows IIS सर्वर (web.config में नियम)

<configuration>  
  <system.webServer>  
    <rewrite>  
      <rules>  
        <rule name="HTTPS लागू करें" stopProcessing="true">
<match url="(.*)" />  
<conditions>  
  <add input="{HTTPS}" pattern="^OFF$" />  
</conditions>  
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />  
</rule>  
</rules>  
</rewrite>  
</system.webServer>  
</configuration>  

आम त्रुटियाँ：

• IIS में “URL Rewrite” मॉड्यूल इंस्टॉल नहीं है → आधिकारिक डाउनलोड लिंक
• चीनी कैरेक्टर वाले रास्तों की एन्कोडिंग में गलती → नियम में encode="false" जोड़ें

​2. CMS सिस्टम के लिए विशेष समाधान

WordPress उपयोगकर्ता

1. डैशबोर्ड में लॉगिन करें → सेटिंग्स → सामान्य
2. WordPress पता और साइट पता को http:// से https:// में बदलें
3. Really Simple SSL प्लगइन इंस्टॉल करें → एक क्लिक में मिक्स कंटेंट को ठीक करें

Shopify/Laravel जैसे फ्रेमवर्क
पर्यावरण वेरिएबल फाइल (.env) में HTTPS को फोर्स करें:

APP_URL=https://www.example.com  
FORCE_SSL=true  
SESSION_SECURE_COOKIE=true  

3. मोबाइल उपकरणों के लिए विशेष प्रक्रिया (AMP/WeChat ब्राउज़र)

• AMP पेज रीडायरेक्ट: AMP HTML में यह कोड जोड़ें:
• WeChat कैश समस्या: URL के आखिर में एक रैंडम पैरामीटर जोड़ें, जैसे ?v=2024 ताकि HTTPS वर्जन जबरन रिफ्रेश हो

4. चेक करें कि रीडायरेक्ट काम कर रहा है या नहीं

ब्राउज़र टेस्ट:

• http://example.com पर जाएं → एड्रेस बार अपने आप https:// में बदल जाना चाहिए
• रीडायरेक्ट के बाद ब्राउज़र में लॉक सिंबल हरा दिखना चाहिए

कमांड लाइन से जांचें:

curl -I http://example.com
# सही रिस्पॉन्स में होना चाहिए:  
# HTTP/1.1 301 Moved Permanently  
# Location: https://example.com  

ऑनलाइन टूल से जांचें:

1. Redirect Checker
2. Varvy SSL Test

एरर अलर्ट:

गलत कॉन्फ़िगरेशन → रीडायरेक्ट लूप (ERR_TOO_MANY_REDIRECTS)
आम वजहें:
1. CDN में HTTPS रीडायरेक्ट चालू होना (सर्वर की रूल्स से टकराव)
2. लोड बैलेंसर प्रॉपर हेडर नहीं भेज रहा
समाधान:
Nginx सेटिंग में यह जोड़ें:
proxy_set_header X-Forwarded-Proto $scheme;  

SEO-फ्रेंडली रीडायरेक्ट के नियम:

• पूरी साइट पर 301 रीडायरेक्ट (स्थायी) इस्तेमाल करें, जिससे रैंकिंग पूरी तरह ट्रांसफर हो
• चेन रीडायरेक्ट से बचें (जैसे http→http://www→https), एक से ज्यादा रीडायरेक्ट न हों
• Google Search Console में HTTPS वर्जन का sitemap सबमिट करें

Google ने 2018 से HTTPS को रैंकिंग फैक्टर मानना शुरू कर दिया है। बिना एन्क्रिप्शन वाली साइट्स हर साल औसतन 12%-15% ट्रैफिक खोती हैं, और यूज़र की सुरक्षा जागरूकता बढ़ने से यह गिरावट और तेज़ हो रही है।