Reklama

Bogactwo danych osobowych, które udostępniamy w Internecie, gwałtownie wzrosło od 1994 r., Kiedy powstał protokół Secure Sockets Layer (SSL).

Internet jest zalany hasłami Dlaczego hasła są wciąż lepsze niż hasła i odciski palcówPamiętasz, kiedy hasła nie musiały być skomplikowane? Kiedy łatwo było zapamiętać kody PIN? Te dni minęły, a ryzyko cyberprzestępczości oznacza, że ​​skanery linii papilarnych są prawie bezużyteczne. Czas zacząć korzystać z kodów dostępu ... Czytaj więcej , dane karty kredytowej i dane bankowości internetowej 6 Powodów zdrowego rozsądku, dlaczego warto korzystać z bankowości internetowej, jeśli jeszcze nie jesteś [Opinia]Jak zwykle robisz bankowość? Czy jedziesz do swojego banku? Czy czekasz w długich kolejkach, aby złożyć tylko jeden czek? Czy otrzymujesz miesięczne wyciągi papierowe? Czy archiwizujesz te ... Czytaj więcej . Mamy certyfikaty SSL, aby podziękować za nasze bezpieczeństwo i prywatność. Ale prawdopodobnie słyszałeś o ostatnich wadach, które podważyły ​​twoje zaufanie do protokołu kryptograficznego.

instagram viewer

Na szczęście protokół SSL dostosowuje się, jest aktualizowany i zastępowany, aby zapewnić ci spokój. Oto jak.

Co to jest SSL?

Zacznijmy dokładnie czym jest SSL Co to jest certyfikat SSL i czy go potrzebujesz?Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. Czytaj więcej .

Certyfikaty SSL to dokumenty autoryzacji cyfrowej, które mogą być uzyskane przez organizację lub osobę prowadzącą witrynę zajmującą się poufnymi informacjami. Zapewnia bezpieczny transport danych między serwerem internetowym a przeglądarką, że informacje te nie zostały przechwycone, a ich źródła są autentyczne.

Sprawdź na przykład Amazon. Spójrz na adres URL, a zamiast typowego adresu HTTP (HyperText Transfer Protocol), powinieneś być przekierowano do HTTPS Co to jest HTTPS i jak włączyć bezpieczne połączenia domyślnieObawy związane z bezpieczeństwem rozprzestrzeniają się na szeroką skalę i dotarły na pierwszy plan większości. Terminy takie jak antywirus lub zapora ogniowa nie są już dziwnym słownictwem i są nie tylko zrozumiałe, ale również używane przez ... Czytaj więcej - to dodatkowe „S” oznacza, że ​​jest to bezpieczny link HTTPS wszędzie: użyj HTTPS zamiast HTTP, jeśli to możliwe Czytaj więcej , a za produkty można bezpiecznie płacić za pośrednictwem witryny. Hotmail, WordPress, a nawet Tumblr używają certyfikatów SSL.

Jest to świetne rozwiązanie dla konsumenta (który wie, że jego dane są traktowane w sposób odpowiedzialny) i dla sprzedawcy (który nie tylko korzysta z zaufania kupujących, ale także zajmuje wyższą pozycję w rankingu Google).

Jednak nic nie jest nieomylne, a kilka wad SSL ujawnionych w ciągu ostatniego roku świadczy o tym. Na szczęście przeglądanie sieci znów staje się bezpieczniejsze…

Uaktualnienia TLS

Być może widziałeś, jak SSL i Transport Layer Security (TLS) są używane zamiennie, i chociaż różnice mogą być subtelne, pozostają godne uwagi.

17976028193_ca46369a35_z

Oba korzystają z tego samego systemu szyfrowania danych i przed nawiązaniem połączenia z urzędem certyfikacji (CA). TLS jest jednak następcą SSL, więc jest oczywiste, że TLS byłby bezpieczniejszy. Rzeczywiście, jego trzy wcielenia - TLS 1.0, 1.1 i 1.2 - eliminują niektóre luki wykryte w metodzie SSL.

TLS 1.3 istnieje już od 2008 roku, ale tak jak w poprzednich wersjach maleńkie, nie wpłynęłyby na sytuacje w „prawdziwym świecie”, zajęło to do niedawna ze względu na masę realizacja. W rzeczywistości, w 2013 roku, wydawało się, że nawet Narodowa Agencja Bezpieczeństwa (NSA) nie atakowała domen z protokołami TLS, ponieważ tak niewielu z nich faktycznie korzystało. Teraz jednak mandat Rady Bezpieczeństwa PCI zmusił każdą witrynę, która przesyła lub przetwarza dane posiadacza karty, do aktualizacji.

Co więcej, wszystkie główne przeglądarki - Google Chrome, Microsoft Edge, Safari, Firefox i Opera - domyślnie obsługują TLS 1.2, dzięki czemu obie strony zapewniają poziom szyfrowania. Należy jednak pamiętać, że upoważnienie wydaje się dotyczyć wyłącznie szczegółów płatności, a nie danych logowania.

Szyfrowanie wszędzie

Aktualizacja certyfikatów jest przydatna tylko wtedy, gdy jest powszechnie stosowana i tak nie jest. Wszystkie witryny handlu elektronicznego wymagają praktyk bezpieczeństwa, a większość z nich naprawdę powinna mieć SSL lub TLS. Wiele osób korzysta z ochrony zewnętrznych podmiotów przetwarzających płatności, takich jak PayPal (wydaje się, że jest to luka mandat Rady Bezpieczeństwa PCI), ale jeśli witryna akceptuje prywatne informacje, powinna korzystać z bezpiecznej warstwy.

Szyfrowanie wszędzie

Jeśli Twoje połączenie nie jest prywatne, hakerzy mogą uzyskać dane, w tym adres e-mail i hasło podczas logowania. A ponieważ większość ludzi to robi użyj tych samych haseł 7 najczęstszych taktyk używanych do hakowania hasełKiedy słyszysz „naruszenie bezpieczeństwa”, co przychodzi ci na myśl? Zły haker? Jakieś dziecko mieszkające w piwnicy? W rzeczywistości wszystko, czego potrzeba, to hasło, a hakerzy mają 7 sposobów na zdobycie twojego. Czytaj więcej w wielu witrynach (pomimo wszystkich ostrzeżeń 7 błędów hasła, które prawdopodobnie Cię zhakująNajgorsze hasła z 2015 roku zostały wydane i są dość niepokojące. Ale pokazują, że absolutnie niezbędne jest wzmocnienie słabych haseł za pomocą kilku prostych poprawek. Czytaj więcej ), może to być istotna informacja.

Niemniej jednak wiele witryn nie przyjmuje protokołów SSL, ponieważ może to być kosztowne i skomplikowane. Właśnie tutaj pojawia się program Symantec Encryption Everywhere.

Amerykańska firma ochroniarska oferuje usługę freemium, dzięki której certyfikat jest uzyskiwany całkowicie bezpłatnie, a aktualizacje (takie jak skanowanie złośliwego oprogramowania) są dostępne za opłatą. Partnerstwa z firmami hostingowymi usuwają złożoność z rąk administratorów witryn, a automatyczne aktualizacje usprawniają proces usuwania wszelkich dalszych luk w zabezpieczeniach.

Ma to na celu uzyskanie 100% użycia warstwy bezpieczeństwa do 2018 r., Więc spodziewamy się, że zostanie wkrótce przyjęta przez większość witryn.

Szyfrujmy

Ale poczekaj! Firma Symantec nie jest jedyną firmą, która dąży do szyfrowania SSL / TLS w Internecie.

Pozwala Szyfrować

Let's Encrypt wydaje się być na fali ostatnich błędów; rozpoczęty publicznie w grudniu 2015 r., projekt ma już wielu dużych międzynarodowych sponsorów, w tym Google Chrome, Mozilla, Facebook, Shopify, YunPian i Akamai. Prowadzony przez Internet Security Research Group (ISRG), Let's Encrypt wydał w tym miesiącu ponad 5 milionów certyfikatów i do końca tego roku przewiduje 50% obciążenia strony HTTPS.

Dlaczego Let's Encrypt okazuje się popularny? Po prostu, ponieważ jest bezpłatny i zautomatyzowany, co oznacza, że ​​witryny są niezwykle łatwe do uzyskania certyfikatów i aktualizacji.

Inicjatywa rozpoczyna się od nowej pary kluczy prywatnych i dowodu właściciela domeny do urzędu certyfikacji; po zweryfikowaniu za pomocą protokołu Automated Certificate Management Environment (ACME) oprogramowanie witryny może się podpisać wiadomości zarządzania certyfikatami z kluczem w celu odnowienia i unieważnienia certyfikatów lub utworzenia nowych dla nich domena.

Właśnie wydaliśmy nasz 5-milionowy certyfikat!

- Let's Encrypt (@letsencrypt) 17 czerwca 2016 r

Let's Encrypt to prawdopodobnie najbardziej znany projekt oferujący bezpłatne certyfikaty, a między tymi głównymi programami z pewnością wydaje się być godną zaufania przyczyną.

Konwergencja

Jednak możesz być rozczarowany certyfikatami SSL.

Ich reputacja została w ostatnich latach uszkodzona: większość z nich przynajmniej słyszałem o Heartbleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej , luka w bibliotece kryptograficznej OpenSSL, OpenSSL, która umożliwia hakerom odczytanie niezaszyfrowanych informacji. Heartbleed wpłynęło na wiele usług Pogrzebanie w szumie: czy Heartbleed rzeczywiście skrzywdził kogoś? Czytaj więcej , ale tak było dwa lata temu Pięć naruszeń Twojej prywatności w 2014 roku, które mogłeś przegapićLiczne publikacje cieszyły się prywatnym życiem celebrytów w 2014 r., W którym to roku światło reflektorów odbiło się także na opinii publicznej. Czy możemy się czegoś nauczyć z tych naruszeń? Czytaj więcej i dostępna jest poprawka. Ale w zeszłym roku była Superfish Właściciele laptopów Lenovo Uwaga: Twoje urządzenie może mieć wstępnie zainstalowane złośliwe oprogramowanieChiński producent komputerów Lenovo przyznał, że laptopy wysłane do sklepów, a konsumenci pod koniec 2014 r. Mają wstępnie zainstalowane złośliwe oprogramowanie. Czytaj więcej , złośliwe oprogramowanie, które spowodowało, że HTTPS stało się dyskusyjne; to też, został załatany Superfish nie został jeszcze złapany: wyjaśnienie porwania SSLZłośliwe oprogramowanie Lenovo Superfish wywołało poruszenie, ale historia się nie skończyła. Nawet jeśli usunąłeś adware ze swojego komputera, ta sama luka istnieje w innych aplikacjach internetowych. Czytaj więcej .

15944989872_b958dc5552_z

I nie ogranicza się do twojego komputera: twojego dotyczy to aplikacji na smartfony 1000 aplikacji na system iOS ma problem z paraliżującym błędem SSL: jak sprawdzić, czy problem dotyczy CiebieBłąd AFNetworking sprawia użytkownikom iPhone'a i iPada problemy, w wyniku których powstaje tysiące aplikacji Certyfikaty SSL są poprawnie uwierzytelniane, co potencjalnie ułatwia kradzież tożsamości poprzez man-in-the-middle ataki Czytaj więcej przez wady SSL.

Konwergencja jest więc dodatkiem do przeglądarki, który wielu myli z systemem, który zastępuje certyfikaty SSL; bardziej niż cokolwiek innego, to kolejny etap dla urzędów certyfikacji. Zasadniczo, zamiast ufać jednemu urzędowi certyfikacji, który gwarantuje autentyczność witryny, zwraca się do Convergence usługi notarialne w celu potwierdzenia bezpieczeństwa witryny.

Odwiedzasz adres HTTPS. Istnieją trzy główne wyniki: wszyscy notariusze zgadzają się, że jest bezpieczny, w takim przypadku korzystasz z witryny; nie wszyscy są zgodni, ale możesz przejść większością głosów lub odrzucić witrynę, ponieważ nie ufasz notariuszom, że zrobić ręczyć za to; lub w skrajnych przypadkach większość lub wszyscy notariusze zgadzają się, że nie można ufać. W ten sposób nie ma jednego punktu awarii.

Pomyśl o tym w ten sposób: to zbieżność opinii na temat tego, czy użytkownik może zaufać HTTPS.

Jak Internet staje się bezpieczniejszy?

Dlaczego nadal nazywamy je certyfikatami SSL? Z pewnością powinny to być certyfikaty TLS? #ssl#tls#MostBrowsersDontDoSSLAnymoreore

- Chris Pont (@chrispont) 7 czerwca 2016 r

W skrócie: certyfikaty SSL uwierzytelniające witryny są uaktualniane do TLS, co najważniejsze w domenach takich jak PayPal, które obsługują informacje o płatnościach. Są one wdrażane masowo, w celu 100% wykorzystania HTTPS w ciągu najbliższych kilku lat. Również urzędy certyfikacji są poddawane ponownej ocenie, a dodatek „Konwergencja” wydaje się być solidnym etapem w sprawdzaniu wiarygodności witryny, polegając na zgodzie z notariuszami.

Czy te środki znów dają wiarę w SSL? Czy ty czuć bezpieczne wprowadzanie szczegółów płatności online? Jakie dodatkowe protokoły bezpieczeństwa chciałbyś, aby były szeroko wdrażane?

Kredyty obrazkowe: HTTPS (WeTransfer) autorstwa Christiaan Colen; i https by Sean MacEntee.

Kiedy nie ogląda telewizji, nie czyta książek „n” Marvela, słucha Zabójców i ma obsesję na punkcie pomysłów na scenariusz, Philip Bates udaje, że jest niezależnym pisarzem. Lubi kolekcjonować wszystko.