Как уеб сърфирането става още по-сигурно

реклама

Богатството на лична информация, която споделяме онлайн, нараства експоненциално от 1994 г. насам, когато се появи протоколът за сигурни сокети (SSL).

Интернет е облечете се с пароли Защо паролите все още са по-добри от паролите и отпечатъцитеПомните кога паролите не трябваше да бъдат сложни? Кога е лесно да се запомнят ПИН кодове? Тези дни отминаха, а рисковете за киберпрестъпност означават, че скенерите за пръстови отпечатъци са до безполезни. Време е да започнете да използвате пароли ... Прочетете още , данни за кредитна карта и данни за онлайн банкиране 6 основни причини за смисъл защо трябва да банково онлайн, ако вече не сте [мнение]Как обикновено правите банкирането си? Караш ли до банката си? Чакате ли в дълги линии, само за да депозирате една чек? Получавате ли месечни изявления на хартия? Подадете ли файловете ... Прочетете още . Имаме SSL сертификати, благодаря за сигурността и неприкосновеността на личния живот. Но вероятно сте чували за скорошни недостатъци, които са намалили доверието ви в криптографския протокол.

За щастие, SSL се адаптира, надгражда и заменя, за да ви осигури по-добро спокойствие. Ето как.

Какво е SSL така или иначе?

Нека започнем с точно какво е SSL Какво е SSL сертификат и имате ли нужда от такъв?Сърфирането в Интернет може да бъде страшно, когато става въпрос за лична информация. Прочетете още .

SSL сертификатите са документи за цифрово разрешение, които могат да бъдат получени от организация или физическо лице, което управлява сайт, който се занимава с чувствителна информация. Той гарантира, че данните могат да бъдат транспортирани сигурно между уеб сървър и браузър, че тази информация не е прихваната и източниците й са истински.

Вижте например Amazon. Погледнете URL адреса и вместо типичен адрес за протокол за прехвърляне на хипертекст (HTTP), трябва да бъдете пренасочен към HTTPS Какво е HTTPS и как да активирате сигурните връзки по подразбиранеЗагрижеността за сигурността се разпространява далеч и широко и достига до челните места на ума на повечето. Термини като антивирусна или защитна стена вече не са странни речници и не само се разбират, но и се използват от ... Прочетете още - това допълнително „S“ означава, че е сигурна връзка HTTPS навсякъде: Използвайте HTTPS вместо HTTP, когато е възможно Прочетете още и вие сте сигурни да плащате за артикули през сайта. Hotmail, WordPress и дори Tumblr използват SSL сертификати.

Той е чудесен за потребителя (който знае, че с техните данни се третира отговорно) и за продавача (който не само се възползва от доверието на купувачите, но и се класира по-високо от Google).

Нищо обаче не е безпогрешно и няколко SSL недостатъци, разкрити само през последната година, свидетелстват за това. За щастие, сърфирането в интернет отново става по-сигурно ...

TLS надстройки

Може би сте виждали сигурността на SSL и транспортния слой (TLS), които се използват взаимозаменяемо и макар разликите да са едва доловими, те остават забележими.

И двамата използват една и съща система за криптиране на данни и общуване с сертифициращия орган (CA), преди да осъществят тази връзка. TLS обаче е наследник на SSL, така че е причина TLS да бъде по-сигурен. Всъщност трите му въплъщения - TLS 1.0, 1.1 и 1.2 - изглаждат някои от уязвимостите, открити в метода SSL.

TLS 1.3 съществува от 2008 г., но тъй като недостатъците в предишните версии бяха счетени за такива нищожно, че те не биха повлияли на ситуациите в реалния свят, то се приемаше доскоро за неговата маса изпълнение. Всъщност, още през 2013 г., изглежда, че дори Агенцията за национална сигурност (NSA) не е била насочена към домейни, изпълняващи TLS протоколи, тъй като толкова малко реално го използват. Сега обаче мандат от Съвета за сигурност на PCI принуди всеки сайт, който предава или обработва информация за притежателя на карта, да обновява.

Нещо повече, всички основни браузъри - Google Chrome, Microsoft Edge, Safari, Firefox и Opera - поддържат TLS 1.2 по подразбиране, така че нивото на криптиране е гарантирано от двете страни. Имайте предвид обаче, че изглежда, че мандатът се прилага само за данни за плащане, а не за информация за вход.

Шифроване навсякъде

Надграждането на сертификати е полезно само ако е широко прието и това не е така. Всички сайтове за електронна търговия се нуждаят от практики за сигурност и мнозинството наистина трябва да имат SSL или TLS. Мнозина разчитат на защитата на процесори за плащане от трети страни, като PayPal (изглежда, че това е вратичка) мандата на Съвета за сигурност на PCI), но ако сайтът приема частна информация, той трябва да използва защитен слой.

Ако връзката ви не е частна, хакерите могат да получат данни, включително имейл адрес и парола при влизане. И защото повечето хора са склонни използвайте същите пароли 7-те най-често срещани тактики, използвани за хакване на паролиКогато чуете „нарушаване на сигурността“, какво ви идва на ум? Злобен хакер? Някакво жилище в мазе? Реалността е, че всичко, което е необходимо, е парола, а хакерите имат 7 начина да получат вашата. Прочетете още на множество сайтове (въпреки всички предупреждения 7 Грешки с парола, които вероятно ще ви хакнатПуснати са най-лошите пароли за 2015 г. и те са доста притеснителни. Но те показват, че е абсолютно критично да заздравите слабите си пароли, само с няколко прости ощипвания. Прочетете още ), това може да бъде жизненоважна информация.

Независимо от това, много сайтове не приемат протоколи SSL, защото това може да бъде скъпо и може да бъде сложно. Именно там идва програмата на Symantec Encryption Everywhere.

Американската фирма за сигурност предлага услуга freemium, при която сертификатът се получава напълно безплатно, като актуализациите (като сканиране на злонамерен софтуер) се предлагат на цена. Партньорствата с хостинг компании изваждат сложността от ръцете на администраторите на сайтове, докато автоматизираните актуализации оптимизират процеса на справяне с всички допълнителни уязвимости.

Това е в опит да се използва 100% защитен слой до 2018 г., така че очакваме то да бъде прието от повечето сайтове много скоро.

Да шифроваме

Но почакай! Symantec не е единственият, който се стреми към шифроване в мрежата SSL / TLS.

Нека Encrypt изглежда язди вълната от по-нови недостатъци; стартиран за обществеността през декември 2015 г., проектът вече има множество големи международни спонсори, включително Google Chrome, Mozilla, Facebook, Shopify, YunPian и Akamai. Под ръководството на изследователската група за сигурност на интернет (ISRG), Let’s Encrypt от този месец издаде повече от 5 милиона сертификати и предвижда 50% натоварвания на HTTPS страници до края на тази година.

Защо нека шифроването да се окаже популярно? Просто като е безплатен и автоматизиран, което означава, че за сайтовете е невероятно лесно да получават сертификати и надстройки.

Инициативата започва с нова двойка частни ключове и доказване на собственика на домейна на СА; след като това се потвърди с помощта на протокола за автоматизирана среда за управление на сертификати (ACME), софтуерът на сайта може да подпише съобщения за управление на сертификати с ключа за подновяване и отмяна на сертификати или създаване на нови за същите домейн.

Току-що издадохме нашия 5-милионен сертификат!

- Нека да шифроваме (@letsencrypt) 17 юни 2016 г.

Нека Encrypt е най-известният проект, предлагащ безплатни сертификати, и между тези големи програми, изглежда, че това е достоверна кауза.

Конвергенция

Възможно е обаче да сте разочаровани от SSL сертификати.

Репутацията им е повредена през последните години: повечето имат поне чух за Heartbleed Сърцебиене - какво можете да направите, за да останете в безопасност? Прочетете още , уязвимост в библиотеката за криптография с отворен код, OpenSSL, която позволява на хакерите да четат некриптирана информация. Сърцебиенето повлия на много услуги Копаене през Hype: Наистина ли е навредил на сърце? Прочетете още , но това беше преди две години Пет нарушения на вашата поверителност през 2014 г., които може да сте пропусналиМногобройни публикации, разкрити в личния живот на известни личности през 2014 г., година, в която прожекторите светнаха и за широката публика. Можем ли да научим нещо от тези нарушения? Прочетете още и се поправя. Но после миналата година, имаше Суперфиш Собствениците на лаптопи Lenovo Внимавайте: Вашето устройство може да е инсталирало предварително зловреден софтуерКитайският производител на компютри Lenovo призна, че лаптопите, изпращани до магазини и потребители в края на 2014 г., са имали предварително инсталиран зловреден софтуер. Прочетете още , зловреден софтуер, който генерира HTTPS спот; това също е кръпка Superfish все още не е хванат: обяснено отвличане на SSLЗловредният софтуер на Lenovo Superfish предизвика вълнение, но историята не свърши. Дори и да премахнете рекламния софтуер от компютъра си, същата уязвимост съществува и в други онлайн приложения. Прочетете още .

И това не е ограничено до вашия компютър: вашият приложенията за смартфони са засегнати 1000 приложения за iOS имат осакатяващ SSL бъг: Как да проверите дали сте засегнатиГрешката в AFNetworking създава проблеми на потребителите на iPhone и iPad, като в резултат на това има хиляди приложения, които носят уязвимост SSL сертификатите не са правилно удостоверени, което потенциално улеснява кражбата на самоличност чрез човек в средата атаки. Прочетете още от недостатъци на SSL също.

Конвергенцията, следователно, е добавка към браузъра, която много объркват със система, която замества SSL сертификатите; повече от всичко, обаче, това е следващият етап за СА. По същество, вместо да се доверявате на един ваучещ сертификат за автентичност на сайта, конвергенцията се обръща към нотариални услуги за да удостоверите сигурността на сайта.

Посещавате HTTPS адрес. Има три основни резултата: всички нотариуси са съгласни, че е безопасно, в този случай използвате сайта; не всички се съгласяват, но можете да отидете с мнозинството или да отхвърлите сайта, защото не се доверявате на нотариусите правя ваучи за това; или в крайни случаи, повечето или всички нотариуси са съгласни, че няма да му се вярва. По този начин няма нито една точка на провал.

Мислете за това по този начин: това е сближаване на мненията дали потребителят може да се довери на HTTPS.

Как Интернет става по-сигурен?

Защо все още ги наричаме SSL сертификати? Сигурно трябва да са сертификати за TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Крис Понт (@chrispont) 7 юни 2016 г.

В ядкова черупка: SSL сертификатите, които удостоверяват сайтовете, се надстройват до TLS, най-важното в домейни като PayPal, които се занимават с платежна информация. Те се разгръщат масово, с цел 100% използване на HTTPS през следващите няколко години. CA също се преразглеждат и добавката за конвергенция изглежда солиден етап в проверката на надеждността на даден сайт, като разчитат на нотариусите да се договорят.

Тези мерки отново ви дават вяра в SSL? Правиш ли Усещам безопасно въвеждане на данни за плащане онлайн? Какви допълнителни протоколи за сигурност искате да видите широко внедрени?

Кредитни изображения: HTTPS (WeTransfer) от Christiaan Colen; и https от Шон МакЕнте.