Joseph Goodman
0 
2686
416
Bogactwo danych osobowych, które udostępniamy online, gwałtownie wzrosło od 1994 r., Od momentu powstania protokołu Secure Sockets Layer (SSL).
Internet jest pełen haseł Dlaczego hasła są wciąż lepsze niż hasła i odciski palców Dlaczego hasła są jeszcze lepsze niż hasła i odciski palców Pamiętaj, że hasła nie musiały być skomplikowane? Kiedy łatwo było zapamiętać kody PIN? Te dni minęły, a ryzyko cyberprzestępczości oznacza, że skanery linii papilarnych są prawie bezużyteczne. Czas zacząć korzystać z kodów dostępu…, danych karty kredytowej i danych bankowości internetowej. 6 Powodów, dla których nie powinieneś korzystać z bankowości online, jeśli nie jesteś jeszcze [Opinia] 6 Powodów, dla których nie powinieneś korzystać z bankowości online, jeśli jeszcze nie jesteś [ Opinia] Jak zazwyczaj prowadzisz bankowość? Czy jedziesz do swojego banku? Czy czekasz w długich kolejkach, aby złożyć tylko jeden czek? Czy otrzymujesz miesięczne wyciągi papierowe? Czy archiwizujesz te… Posiadamy certyfikaty SSL, aby podziękować za nasze bezpieczeństwo i prywatność. Ale prawdopodobnie słyszałeś o ostatnich wadach, które podważyły twoje zaufanie do protokołu kryptograficznego.
Na szczęście protokół SSL dostosowuje się, jest aktualizowany i zastępowany, aby zapewnić ci spokój. Oto jak.
Co to jest SSL?
Zacznijmy dokładnie od tego, czym jest SSL Co to jest certyfikat SSL i czy go potrzebujesz? Co to jest certyfikat SSL i czy go potrzebujesz? Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. .
Certyfikaty SSL to dokumenty autoryzacji cyfrowej, które mogą być uzyskane przez organizację lub osobę prowadzącą witrynę zajmującą się poufnymi informacjami. Zapewnia bezpieczny transport danych między serwerem internetowym a przeglądarką, że informacje te nie zostały przechwycone, a ich źródła są autentyczne.
Sprawdź na przykład Amazon. Spójrz na adres URL i zamiast typowego adresu HTTP (HyperText Transfer Protocol) powinieneś zostać przekierowany na adres HTTPS Co to jest HTTPS i jak włączyć bezpieczne połączenia domyślnie Co to jest HTTPS i jak włączyć bezpieczne połączenia według domyślnych obaw dotyczących bezpieczeństwa rozprzestrzeniają się daleko i osiągnęły czołową pozycję w umyśle większości. Terminy takie jak program antywirusowy lub zapora ogniowa nie są już dziwnym słownictwem i są nie tylko zrozumiałe, ale również używane przez… - to dodatkowe “S.” oznacza, że jest to bezpieczny link HTTPS wszędzie: Użyj HTTPS zamiast HTTP, gdy to możliwe HTTPS wszędzie: Użyj HTTPS zamiast HTTP, gdy jest to możliwe, i możesz bezpiecznie płacić za przedmioty za pośrednictwem witryny. Hotmail, WordPress, a nawet Tumblr używają certyfikatów SSL.
Jest to świetne dla konsumenta (który wie, że ich dane są traktowane w sposób odpowiedzialny) i dla sprzedawcy (który nie tylko korzysta z zaufania kupujących, ale także zajmuje wyższą pozycję w Google).
Jednak nic nie jest nieomylne i świadczy o tym kilka wad protokołu SSL ujawnionych w ciągu ostatniego roku. Na szczęście przeglądanie sieci znów staje się bezpieczniejsze…
Uaktualnienia TLS
Być może widziałeś, jak SSL i Transport Layer Security (TLS) są używane zamiennie, i chociaż różnice są być może subtelne, pozostają godne uwagi.
Oba korzystają z tego samego systemu szyfrowania danych i przed nawiązaniem połączenia z urzędem certyfikacji (CA). TLS jest jednak następcą SSL, więc jest oczywiste, że TLS byłby bezpieczniejszy. Rzeczywiście, jego trzy wcielenia - TLS 1.0, 1.1 i 1.2 - eliminują niektóre luki wykryte w metodzie SSL.
TLS 1.3 istnieje już od 2008 roku, ale ponieważ wady poprzednich wersji były uważane za tak małe, że nie wpłynęłyby na nie “prawdziwy świat” sytuacje, do niedawna było to masowo wdrażane. W rzeczywistości w 2013 r. Okazało się, że nawet Agencja Bezpieczeństwa Narodowego (NSA) nie atakowała domen z protokołami TLS, ponieważ tak niewielu z nich faktycznie korzystało. Teraz jednak mandat Rady Bezpieczeństwa PCI zmusił każdą witrynę, która przesyła lub przetwarza dane posiadacza karty, na aktualizację.
Co więcej, wszystkie główne przeglądarki - Google Chrome, Microsoft Edge, Safari, Firefox i Opera - domyślnie obsługują TLS 1.2, dzięki czemu obie strony zapewniają poziom szyfrowania. Należy jednak pamiętać, że wydaje się, że upoważnienie dotyczy wyłącznie szczegółów płatności, a nie danych logowania.
Szyfrowanie wszędzie
Aktualizacja certyfikatów jest przydatna tylko wtedy, gdy jest powszechnie stosowana, i tak nie jest. Wszystkie witryny handlu elektronicznego wymagają praktyk bezpieczeństwa, a większość z nich naprawdę powinna mieć SSL lub TLS. Wiele osób korzysta z ochrony zewnętrznych podmiotów przetwarzających płatności, takich jak PayPal (wydaje się to luką w mandacie Rady Bezpieczeństwa PCI), ale jeśli witryna akceptuje prywatne informacje, powinna korzystać z bezpiecznej warstwy.
Jeśli Twoje połączenie nie jest prywatne, hakerzy mogą uzyskać dane, w tym adres e-mail i hasło podczas logowania. A ponieważ większość ludzi używa tych samych haseł 7 najczęstszych taktyk używanych do hakowania haseł 7 najczęstszych taktyk wykorzystywanych do hakowania haseł Kiedy słyszysz „naruszenie bezpieczeństwa”, co przychodzi ci na myśl? Zły haker? Jakieś dziecko mieszkające w piwnicy? W rzeczywistości wszystko, czego potrzeba, to hasło, a hakerzy mają 7 sposobów na zdobycie twojego. na wielu stronach (pomimo wszystkich ostrzeżeń 7 błędów hasła, które prawdopodobnie Cię zhakują 7 błędów hasła, które prawdopodobnie Cię zhakują Najgorsze hasła z 2015 roku zostały wydane i są dość niepokojące. Ale pokazują, że jest to absolutnie niezbędne wzmocnij swoje słabe hasła za pomocą kilku prostych poprawek.), które mogą być istotną informacją.
Niemniej jednak wiele witryn nie przyjmuje protokołów SSL, ponieważ może to być kosztowne i skomplikowane. Właśnie tutaj pojawia się program Symantec Encryption Everywhere.
Amerykańska firma ochroniarska oferuje usługę freemium, dzięki której certyfikat jest uzyskiwany całkowicie bezpłatnie, a aktualizacje (takie jak skanowanie złośliwego oprogramowania) są dostępne za opłatą. Partnerstwa z firmami hostingowymi usuwają złożoność z rąk administratorów witryn, a automatyczne aktualizacje usprawniają proces usuwania wszelkich dalszych luk w zabezpieczeniach.
Ma to na celu uzyskanie 100% użycia warstwy bezpieczeństwa do 2018 r., Więc spodziewamy się, że zostanie wkrótce przyjęta przez większość witryn.
Szyfrujmy
Ale poczekaj! Firma Symantec nie jest jedyną firmą, która dąży do szyfrowania SSL / TLS w Internecie.
Let's Encrypt wydaje się być na fali najnowszych błędów; rozpoczęty publicznie w grudniu 2015 r., projekt ma już wielu dużych międzynarodowych sponsorów, w tym Google Chrome, Mozilla, Facebook, Shopify, YunPian i Akamai. Prowadzony przez Internet Security Research Group (ISRG), Let's Encrypt wydał w tym miesiącu ponad 5 milionów certyfikatów i do końca tego roku prognozuje 50% załadowań stron HTTPS.
Dlaczego Let's Encrypt okazuje się popularny? Po prostu, ponieważ jest bezpłatny i zautomatyzowany, co oznacza, że witryny są niezwykle łatwe do uzyskania certyfikatów i aktualizacji.
Inicjatywa rozpoczyna się od nowej pary kluczy prywatnych i dowodu właściciela domeny do urzędu certyfikacji; po sprawdzeniu za pomocą protokołu Automated Certificate Management Environment (ACME) oprogramowanie witryny może podpisywać komunikaty zarządzania certyfikatami kluczem w celu odnowienia i unieważnienia certyfikatów lub utworzenia nowych dla tej samej domeny.
Właśnie wydaliśmy nasz 5-milionowy certyfikat!
- Let's Encrypt (@letsencrypt) 17 czerwca 2016 r
Let's Encrypt to prawdopodobnie najbardziej znany projekt oferujący bezpłatne certyfikaty, a między tymi głównymi programami z pewnością wydaje się być godną zaufania przyczyną.
Konwergencja
Jednak możesz być rozczarowany certyfikatami SSL.
W ostatnich latach ich reputacja uległa pogorszeniu: większość słyszała przynajmniej o Heartbleed Heartbleed - Co można zrobić, aby zachować bezpieczeństwo? Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? , luka w bibliotece kryptograficznej OpenSSL, OpenSSL, która umożliwia hakerom odczytanie niezaszyfrowanych informacji. Heartbleed wpłynął na wiele usług Przekopywanie się przez szum: czy Heartbleed rzeczywiście skrzywdził kogoś? Pogrzebanie w szumie: czy Heartbleed rzeczywiście skrzywdził kogoś? , ale to było dwa lata temu Pięć naruszeń prywatności w 2014 r., które mogliście przegapić Pięć naruszeń prywatności w 2014 r., że mogliście przeoczyć Liczne publikacje cieszyły się prywatnym życiem celebrytów w 2014 r. świeciło ogółowi społeczeństwa. Czy możemy się czegoś nauczyć z tych naruszeń? i dostępna jest poprawka. Ale w zeszłym roku pojawił się Superfish Lenovo Właściciele laptopów Uwaga: Twoje urządzenie może mieć wstępnie zainstalowane złośliwe oprogramowanie Lenovo Właściciele laptopów Uwaga: Twoje urządzenie może mieć wstępnie zainstalowane złośliwe oprogramowanie Chiński producent komputerów Lenovo przyznał, że laptopy wysyłane do sklepów i konsumentów pod koniec 2014 r. Miały wstępnie zainstalowane złośliwe oprogramowanie. , złośliwe oprogramowanie, które powodowało, że HTTPS działało to też zostało załatane Superfish nie został jeszcze złapany: Porażenie SSL Wyjaśnienie Superfish jeszcze nie został złapany: Porażenie SSL Wyjaśnienie złośliwego oprogramowania Lenovo Superfish wywołało poruszenie, ale historia się jeszcze nie skończyła. Nawet jeśli usunąłeś adware ze swojego komputera, ta sama luka istnieje w innych aplikacjach online. .
Nie ogranicza się to również do komputera: problem dotyczy aplikacji na smartfony. 1000 aplikacji na iOS ma błąd Crippling SSL: jak sprawdzić, czy jesteś dotknięty 1000 aplikacji na system iOS ma błąd Crippling SSL: jak sprawdzić, czy masz wpływ Błąd AFNetworking jest stwarzając problemy użytkownikom iPhone'a i iPada, ponieważ tysiące aplikacji zawierają lukę, w wyniku której certyfikaty SSL są poprawnie uwierzytelniane, co potencjalnie ułatwia kradzież tożsamości w wyniku ataków typu man-in-the-middle. przez wady SSL.
Konwergencja jest więc dodatkiem do przeglądarki, który wielu myli z systemem, który zastępuje certyfikaty SSL; bardziej niż cokolwiek innego, to kolejny etap dla urzędów certyfikacji. Zasadniczo, zamiast ufać jednemu urzędowi certyfikacji, który gwarantuje autentyczność witryny, Convergence zwraca się do usług notarialnych, aby potwierdzić bezpieczeństwo witryny.
Odwiedzasz adres HTTPS. Istnieją trzy główne wyniki: wszyscy notariusze zgadzają się, że jest bezpieczny, w takim przypadku korzystasz z witryny; nie wszyscy są zgodni, ale możesz przejść większością głosów lub odrzucić witrynę, ponieważ nie ufasz notariuszom, że zrobić ręczyć za to; lub w skrajnych przypadkach większość lub wszyscy notariusze zgadzają się, że nie można ufać. W ten sposób nie ma ani jednego punktu awarii.
Pomyśl o tym w ten sposób: to zbieżność opinii na temat tego, czy użytkownik może zaufać HTTPS.
Jak Internet staje się bezpieczniejszy??
Dlaczego nadal nazywamy je certyfikatami SSL? Z pewnością powinny to być certyfikaty TLS? #ssl #tls #MostBrowsersDontDoSSLAnymoreore
- Chris Pont (@chrispont) 7 czerwca 2016 r
W skrócie: certyfikaty SSL uwierzytelniające witryny są uaktualniane do TLS, co najważniejsze w domenach takich jak PayPal, które obsługują informacje o płatności. Są one wdrażane masowo, w celu 100% wykorzystania HTTPS w ciągu najbliższych kilku lat. Także urzędy certyfikacji są poddawane ponownej ocenie, a dodatek „Konwergencja” wydaje się być solidnym etapem w sprawdzaniu wiarygodności witryny, polegając na zgodzie z notariuszami.
Czy te środki znów dają wiarę w SSL? Czy ty czuć bezpieczne wprowadzanie danych płatności online? Jakie dodatkowe protokoły bezpieczeństwa chciałbyś, aby były szeroko wdrażane?
Zdjęcia: HTTPS (WeTransfer) Christiaan Colen; i https by Sean MacEntee.