7 mitów na temat certyfikatów HTTPS i SSL, w które nie należy wierzyć

Reklama

Spójrz na adres URL tego artykułu, a zobaczysz, że zaczyna się od https. „S” na końcu oznacza, że ​​połączenie między twoim urządzeniem a tą witryną jest bezpieczne.

W Internecie bezpieczne połączenia są zwykle nawiązywane za pomocą certyfikat Secure Sockets Layer (SSL) Co to jest certyfikat SSL i czy go potrzebujesz?Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. Czytaj więcej . Mogą to być mylące, częściowo dlatego, że istnieje wiele mitów na ich temat, w które po prostu nie należy wierzyć. Obalmy kilka najczęstszych!

Mit 1: „Tylko witryny handlu elektronicznego potrzebują SSL”

Prawdopodobnie słyszałeś, że tylko witryny wymagające danych osobowych potrzebują certyfikatów SSL. To uczciwe założenie: w końcu powinieneś już zostać przeszkolony w zakresie zauważania szyfrowania w witrynach, które żądają prywatnych informacji. Prawdą jest, że rejestrując się i logując, zdecydowanie musisz sprawdzić, czy pasek adresu wyświetla „https”.

Ale szyfrowanie jest niezbędne dla wszystkich witryn, zarówno w handlu elektronicznym, jak i na małym blogu.

Po pierwsze, Domyślnie Google ma bezpieczną wersję Google czyni HTTPS domyślnym ChromePonieważ ponad połowa wszystkich stron internetowych jest teraz zaszyfrowana, czas pomyśleć o HTTPS jako o opcji domyślnej, a nie o wyjątku. Tak przynajmniej twierdzi Google. Czytaj więcej strony. Użytkownicy przeglądarki Google Chrome odwiedzający witrynę, która nie ma certyfikatu SSL, zamiast tego zobaczą stronę ostrzegawczą. Poinformuje ich to, że strona nie jest bezpieczna.

Po drugie, osoby odwiedzające inne przeglądarki uznają Cię za bardziej godnego zaufania. Większość użytkowników wie teraz o sprawdzaniu bezpiecznych połączeń, więc instalacja certyfikatu SSL jest znakiem, że poważnie podchodzisz do ich prywatności.

W efekcie mówisz swoim odbiorcom, że jesteś profesjonalną organizacją.

Mit 2: „SSL nie wpływa na ruch internetowy”

Jeśli Google Chrome nie w pełni załaduje stronę internetową, wpłynie to na statystyki tej witryny - potencjalnie dość drastycznie! Wyobraź sobie, ile osób może zobaczyć, że ich połączenie nie jest bezpieczne, i natychmiast się odwróć.

Problem polega na tym, że nawet jeśli ich dane nie wydają się zagrożone, ludzie wpadają w panikę, widząc alerty bezpieczeństwa. Wyobrażają sobie, że padają ofiarą hakerów. Na szczęście większość użytkowników stawia na bezpieczeństwo bardziej niż wygodę. Jeśli więc nie będą mogli przeczytać Twojej witryny, po prostu wyszukają inną, która oferuje podobne informacje.

Ponadto certyfikat SSL jest niezbędny dla SEO. Nie chodzi tylko o słowa kluczowe: Google plasuje stronę wyżej, jeśli udowodni, że stosuje przyzwoite środki bezpieczeństwa. Oczywiście im bliżej góry wyników wyszukiwania, tym więcej osób znajdzie Twoją stronę.

Mit 3: „SSL znacznie spowalnia ładowanie strony”

W przypadku potencjalnie zwiększonej liczby odbiorców możesz obawiać się, że adres HTTPS spowolni działanie Twojej witryny. Na szczęście szyfrowanie nie ma zauważalnego wpływu na szybkość Twojej witryny.

Jest tak, ponieważ w większości przypadków HTTPS tak naprawdę odnosi się do HTTP / 2, zmiany standardowego protokołu HTTP. Został zaprojektowany w taki sposób, aby skrócić czas ładowania strony o 50 procent poprzez kompresję danych i redukcję zaangażowanych procesów.

Oto, co musisz wiedzieć: sieć używa HTTP od 1991 roku. HTTP / 2 to uaktualnienie tego z myślą o wydajności.

Jeśli potrzebujesz dowodu, sprawdź niektóre ze swoich ulubionych stron - najbardziej popularne (w tym media społecznościowe, takie jak Facebook) mają certyfikaty SSL i zobacz, jak szybkie są!

Okej, więc czasem wpłynie to na prędkość, ale jest to rzadkie i nieistotne. Mówimy milisekundy. Jest to głównie spowodowane odległościami między serwerami, co zwykle nie jest możliwe. A przypadki spowolnienia będą coraz mniejsze, ponieważ urzędy certyfikacji potajemnie przełączają się na Transport Layer Security (TLS).

Mit 4: „Certyfikaty SSL są najnowocześniejsze”

Certyfikaty SSL są świetne, ale nie są najbardziej zaawansowaną formą szyfrowania szeroko stosowaną w Internecie. W rzeczywistości, wiele urzędów certyfikacji używa zamiast tego certyfikatów TLS Jak przeglądanie Internetu staje się jeszcze bardziej bezpieczneMamy certyfikaty SSL, aby podziękować za nasze bezpieczeństwo i prywatność. Ale ostatnie naruszenia i wady mogły podważyć zaufanie do protokołu kryptograficznego. Na szczęście protokół SSL dostosowuje się i jest aktualizowany - oto jak to zrobić. Czytaj więcej .

Certyfikaty TLS są zasadniczo kolejnym etapem w życiu HTTPS.

Następca istnieje od 2008 roku, naprawiając niektóre niewielkie luki w certyfikatach SSL. Jednak do niedawna był używany głównie w witrynach wymagających szczegółów płatności lub zarządzania pieniędzmi. PayPal jest prawdopodobnie najbardziej znanym przykładem witryny pieniężnej korzystającej z TLS.

Na szczęście kilka exploitów w certyfikatach SSL oznacza, że ​​TLS stał się bardziej powszechny. W rzeczywistości wiele usług szyfrujących domyślnie implementuje TLS zamiast certyfikatów SSL; ten drugi jest bardziej znany, dlatego jest często używany bez znajomości różnicy między klientem.

Tak długo, jak twój adres URL zawiera HTTPS, większość odwiedzających witrynę jest zadowolona.

Mit 5: „Certyfikaty SSL są drogie”

Które organizacje używają TLS? Podstawowe przykłady obalają także mit, że HTTPS jest drogi.

Let's Encrypt to popularna usługa, ponieważ jest skuteczna i całkowicie darmowa. Wiele znanych firm wspiera ten pomysł, w tym Facebook, Yoast, Mozilla, American Library Association, Server Pilot i Google Chrome.

Alternatywnie dostępne jest oprogramowanie freemium. Szyfrowanie Wszędzie, utworzone przez firmę ochroniarską Symantec, oferuje bezpłatne certyfikaty SSL / TLS, a za dodatkowe funkcje bezpieczeństwa można zapłacić.

Wprawdzie certyfikaty SSL mogą być kosztowne, ale w dużej mierze zależy od hostów. Czasami serwer hosta nie obsługuje szyfrowania stron trzecich, tzn. Chce, abyś użył własnej usługi powiązanej, aby uzyskać od ciebie dodatkową gotówkę. To okropna taktyka, zwłaszcza gdy użytkownicy są pod presją Google.

Musisz się rozejrzeć. Nie daj się oszukać gospodarzowi.

Mit 6: „Certyfikaty SSL szyfrują wszystkie dane”

Nie pochwalajmy się certyfikatami SSL, nie zwracając uwagi na to, że bezpieczeństwo nie jest najważniejsze. Tak, dane są szyfrowane - ale tylko podczas transportu. HTTPS oznacza, że ​​twoje połączenie jest bezpieczne; nie oznacza to, że serwer jest bezpieczny.

Wyobraź to sobie jako tunel, przez który jedziesz. Tunel oznacza, że ​​twój pojazd nie może zostać zaatakowany z góry, z dołu lub z dowolnej strony. Problemy mogą jednak wystąpić po dotarciu do miejsca docelowego. Nie wiesz, co Cię czeka, gdy samochód się zatrzyma.

To samo dotyczy danych. Jest zaszyfrowany, więc nie powinieneś być ofiarą atak man-in-the-middle (MITM) Co to jest atak man-in-the-Middle? Wyjaśnienie żargonu bezpieczeństwaJeśli słyszałeś o atakach typu „man-in-the-middle”, ale nie jesteś pewien, co to oznacza, ten artykuł jest dla Ciebie. Czytaj więcej podczas przesyłania między sieciami. Ale gdy dane są statyczne (tj. Przechowywane na czyimś serwerze), certyfikaty SSL nie mają większego znaczenia.

Właśnie dlatego HTTPS jest obecnie uważany za podstawowy środek bezpieczeństwa, coś, co strony powinny mieć jako standard. Konieczne są również dodatkowe środki ostrożności!

Mit 7: „Szyfrowanie SSL jest niezawodne”

Dzisiaj musiałem google, jak samodzielnie podpisać certyfikat ssl

Na początku byłem trochę zawstydzony.

Potem zdałem sobie sprawę, że to dlatego @letsencrypt sprawiło, że zaufane certyfikaty są tak łatwe, że dosłownie nie musiałem podpisywać certyfikatu ssl od około 3 lat.

- dade (@ 0xdade) 10 czerwca 2018 r

HTTPS oferuje dobry poziom szyfrowania. Prawdopodobnie słyszałeś o tym wiele dobrych rzeczy. Nadal, wciąż istnieją mity na temat szyfrowania Nie wierz w te 5 mitów na temat szyfrowania!Szyfrowanie wydaje się skomplikowane, ale jest o wiele prostsze niż myśli większość. Niemniej jednak możesz czuć się trochę zbyt ciemno, aby skorzystać z szyfrowania, więc rozwalmy kilka mitów dotyczących szyfrowania! Czytaj więcej . W szczególności powinieneś wiedzieć, że szyfrowanie nie powoduje, że czegoś nie da się zhakować.

Firmy muszą starać się jak najlepiej: muszą dbać o dane osobowe w najbezpieczniejszy możliwy sposób. Mają obowiązek dbać o prywatne dane. Metody stosowane do śledzenia haseł W jaki sposób strony internetowe chronią hasła?Przy regularnych zgłoszonych naruszeniach bezpieczeństwa online bez wątpienia martwisz się tym, jak strony internetowe dbają o twoje hasło. W rzeczywistości, dla spokoju ducha, każdy musi wiedzieć… Czytaj więcej , jednak pokaż, jak nieefektywne może być szyfrowanie, w zależności od formy użytej do ich przechowywania.

Nawet certyfikaty SSL zostały naruszone -o to właśnie chodziło w Heartbleed, trafiając na nagłówki w 2014 roku.

Czy możesz zaufać certyfikatom SSL / TLS? Tak. Pamiętaj tylko: żadne bezpieczeństwo nie jest absolutne, a luki są nieuniknione.

Upewnij się, że korzystasz z bezpiecznej przeglądarki internetowej

Nie lekceważ znaczenia podstawowych poziomów bezpieczeństwa w Internecie. Certyfikaty SSL są istotną częścią ochrony przed cyberprzestępcami.

Oczywiście potrzebujesz również wsparcia ze strony silnego pakietu zabezpieczeń. Na szczęście, Przeglądarki głównego nurtu znają znaczenie Co to jest najbezpieczniejsza przeglądarka głównego nurtu?Bitwa o najlepszą przeglądarkę stacjonarną nigdy nie zostanie rozstrzygnięta. Ale który jest najbezpieczniejszy? Wszystkie oferują doskonałą ochronę - ale w 2017 roku, która jest przeglądarką z wyboru dla bezpieczeństwa ... Czytaj więcej dbania o bezpieczeństwo użytkowników w Internecie.