Reklama

Množstvo osobných informácií, ktoré zdieľame online, od roku 1994, počiatkom protokolu SSL (Secure Sockets Layer), exponenciálne vzrástlo.

Internet je prepláchnite si prístupovými frázami Prečo sú prístupové frázy stále lepšie ako heslá a odtlačky prstovPamätáte si, kedy nemuseli byť heslá zložité? Kedy bolo ľahké zapamätať si čísla PIN? Tieto dni sú preč a riziká počítačovej kriminality znamenajú, že skenery odtlačkov prstov sú zbytočné. Je čas začať používať prístupové kódy ... Čítaj viac , podrobnosti o kreditnej karte a online bankové údaje 6 bežných dôvodov, prečo by ste mali platiť online, ak ešte nie ste [názor]Ako zvyčajne robíte svoje bankovníctvo? Šoférujete do svojej banky? Čakáte v dlhých radoch, stačí vložiť jeden šek? Dostávate mesačné výpisy z papiera? Odovzdávate tieto ... Čítaj viac . Máme certifikáty SSL, ktoré ďakujeme za bezpečnosť a ochranu osobných údajov. Pravdepodobne ste však počuli o nedávnych nedostatkoch, ktoré narušili vašu dôveru v kryptografický protokol.

instagram viewer

Našťastie sa SSL prispôsobuje, inovuje a nahrádza, aby vám poskytol lepší pokoj. Tu je návod.

Čo je to vlastne SSL?

Začnime s presne čo je to SSL Čo je to certifikát SSL a potrebujete ho?Ak sa jedná o osobné údaje, prehliadanie internetu môže byť desivé. Čítaj viac .

SSL certifikáty sú dokumenty digitálnej autorizácie, ktoré môže získať organizácia alebo jednotlivec prevádzkujúci web, ktorý sa zaoberá citlivými informáciami. Zabezpečuje, že údaje sa môžu bezpečne prenášať medzi webovým serverom a prehliadačom, či tieto informácie neboli zachytené a či sú ich zdroje skutočné.

Vyskúšajte napríklad Amazon. Pozrite sa na adresu URL a namiesto typickej adresy protokolu HTTP (HyperText Transfer Protocol) by ste mali byť presmerovaný na HTTPS Čo je protokol HTTPS a ako povoliť zabezpečené pripojenia podľa predvoleného nastaveniaBezpečnostné obavy sa šíria široko ďaleko a dostali sa do popredia väčšiny mysle každého. Výrazy ako antivírus alebo firewall už nie sú podivné slovníky a sú nielen chápané, ale tiež používané ... Čítaj viac - to navyše „S“ znamená bezpečné spojenie HTTPS všade: Podľa možnosti používajte HTTPS namiesto HTTP Čítaj viac a za tieto položky môžete bezpečne platiť prostredníctvom stránok. Hotmail, WordPress a dokonca Tumblr používajú certifikáty SSL.

Je to skvelé pre spotrebiteľa (ktorý vie, že s jeho údajmi sa zaobchádza zodpovedne) a pre predávajúceho (ktorý nielenže profituje z dôvery kupujúcich, ale spoločnosť Google ich tiež umiestňuje na vyššej pozícii).

Nič však nie je neomylné a dosvedčuje to niekoľko nedostatkov SSL odhalených počas posledného roka. Našťastie je prehľadávanie webu opäť bezpečnejšie ...

Inovácie TLS

Možno ste videli, že sa SSL a Transport Layer Security (TLS) používajú vzájomne zameniteľne, a hoci rozdiely sú možno jemné, zostávajú pozoruhodné.

17976028193_ca46369a35_z

Obidva používajú rovnaký systém šifrovania údajov a pred vytvorením pripojenia sa poradia s certifikačnou autoritou (CA). TLS je síce nástupcom SSL, takže je zrejmé, že TLS bude bezpečnejší. Jeho tri inkarnácie - TLS 1.0, 1.1 a 1.2 - skutočne odstránia niektoré zraniteľné miesta nájdené v metóde SSL.

TLS 1.3 existuje približne od roku 2008, ale keďže sa nedostatky v predchádzajúcich verziách tak posudzovali Bez ohľadu na to, že by to nemalo vplyv na situácie v „reálnom svete“, trvá to až donedávna kvôli jeho hmotnosti implementácie. V skutočnosti, späť v roku 2013, ukázalo sa, že ani Národná bezpečnostná agentúra (NSA) nezacieluje na domény, ktoré používajú protokoly TLS, pretože ich tak málo používalo. Teraz však mandát Bezpečnostnej rady PCI prinútil všetky stránky, ktoré prenášajú alebo spracovávajú informácie o držiteľoch kariet, aktualizovať.

Navyše všetky hlavné prehliadače - Google Chrome, Microsoft Edge, Safari, Firefox a Opera - štandardne podporujú TLS 1.2, takže úroveň šifrovania je zaručená oboma stranami. Upozorňujeme však, že sa zdá, že mandát sa vzťahuje výlučne na platobné podrobnosti, nie na prihlasovacie informácie.

Šifrovanie všade

Inovácia certifikátov je užitočná, iba ak je široko prijatá, a nie je tomu tak. Všetky stránky elektronického obchodu vyžadujú bezpečnostné postupy a väčšina by skutočne mala mať SSL alebo TLS. Mnoho z nich sa spolieha na ochranu spracovateľov platieb tretích strán, ako je napríklad PayPal (zdá sa, že v roku 2008 to je medzera) mandát Rady bezpečnosti PCI), ale ak stránka akceptuje súkromné ​​informácie, mala by používať bezpečnú vrstvu.

Šifrovanie všade

Ak vaše pripojenie nie je súkromné, hackeri môžu pri prihlásení získať údaje vrátane e-mailovej adresy a hesla. A pretože väčšina ľudí má tendenciu používať rovnaké heslá 7 najbežnejších taktík používaných na hackovanie hesielKeď budete počuť „narušenie bezpečnosti“, na čo vám príde? Zlomyseľný hacker? Nejaké dieťa žijúce v suteréne? Realita je taká, že všetko, čo potrebujete, je heslo a hackeri majú k dispozícii 7 spôsobov, ako sa dostať k vám. Čítaj viac na viacerých stránkach (napriek všetkým upozorneniam 7 chýb s heslom, ktoré vás pravdepodobne napadnúNajhoršie heslá z roku 2015 boli vydané a sú dosť znepokojujúce. Ukazujú však, že je absolútne dôležité posilniť slabé heslá pomocou niekoľkých jednoduchých vylepšení. Čítaj viac ), mohli by to byť dôležité informácie.

Mnoho stránok však neprijíma protokoly SSL, pretože to môže byť nákladné a komplikované. Tu prichádza program Symantec Encryption Everywhere.

Americká bezpečnostná spoločnosť ponúka službu freemium, v rámci ktorej je certifikát získaný úplne bezplatne, pričom aktualizácie (napríklad skenovanie škodlivého softvéru) sú dostupné za poplatok. Partnerstvá s hosťujúcimi spoločnosťami vynášajú komplexnosť z rúk správcov stránok, zatiaľ čo automatizované aktualizácie zjednodušujú proces riešenia akýchkoľvek ďalších zraniteľností.

Cieľom je dosiahnuť 100% použitie bezpečnostnej vrstvy do roku 2018, preto očakávame, že ju čoskoro prijme väčšina stránok.

Poďme zašifrovať

Ale počkaj! Symantec nie je jediný, kto sa snaží o šifrovanie SSL / TLS na celom webe.

Umožňuje šifrovanie

Poďme sa šifrovať, akoby šlo o vlnu novších chýb; Projekt, ktorý bol spustený pre verejnosť v decembri 2015, má už mnoho významných medzinárodných sponzorov vrátane prehliadača Google Chrome, Mozilla, Facebook, Shopify, YunPian a Akamai. Let's Encrypt, ktorú prevádzkuje Výskumná skupina pre internetovú bezpečnosť (ISRG), vydal tento mesiac viac ako 5 miliónov certifikátov a do konca tohto roka predpokladá 50% načítanie stránok HTTPS.

Prečo sa šifrovanie ukáže byť populárne? Jednoducho, ako je to zadarmo a automatizované, znamená to, že je pre web neuveriteľne ľahké získať certifikáty a upgrady.

Iniciatíva sa začína novým párom súkromných kľúčov a dôkazom o vlastníkovi domény CA; Po overení pomocou protokolu ACME (Automated Certificate Management Environment) sa softvér lokality môže podpísať správy správy certifikátov pomocou kľúča na obnovenie a zrušenie certifikátov alebo na vytvorenie nových certifikátov domain.

Práve sme vydali náš 5 miliónový certifikát!

- Poďme šifrovať (@letsencrypt) 17. júna 2016

Poďme šifrovať je pravdepodobne najznámejší projekt ponúkajúci bezplatné certifikáty a medzi týmito hlavnými programami sa určite javí ako dôveryhodná vec.

konvergencie

Možno vás však budú znepokojovať certifikáty SSL.

Ich povesť bola v posledných rokoch poškodená: väčšina z nich má najmenej počul o Heartbleed Heartbleed - Čo môžete urobiť, aby ste zostali v bezpečí? Čítaj viac , chyba v kryptografickej knižnici s otvoreným zdrojovým kódom OpenSSL, ktorá hackerom umožňuje čítať nešifrované informácie. Heartbleed ovplyvnil veľa služieb Kopanie cez humbuk: ublížil niekto na srdci? Čítaj viac , ale to bolo pred dvoma rokmi Päť porušení vášho súkromia v roku 2014, ktoré by ste mohli vynechaťV súkromných životoch celebrít sa v roku 2014 objavilo množstvo publikácií, čo je rok, keď sa pozornosť sústredila aj na širokú verejnosť. Môžeme sa z týchto porušení niečo naučiť? Čítaj viac a oprava je k dispozícii. Ale potom minulý rok, tam bola Superfish Pozor na vlastníkov notebookov Lenovo: Vaše zariadenie môže mať predinštalovaný malvérČínsky výrobca počítačov Lenovo pripustil, že prenosné počítače dodávané do obchodov a spotrebiteľov koncom roka 2014 mali predinštalovaný malware. Čítaj viac , malware, ktorý poskytol HTTPS priekopu; aj to, bol opravený Superfish sa zatiaľ nezachytil: Vysvetlenie protokolu SSL HijackingŠkodlivý malware od spoločnosti Lenovo spôsobil rozruch, ale príbeh ešte neskončil. Aj keď ste z počítača odstránili adware, rovnaká zraniteľnosť existuje v iných online aplikáciách. Čítaj viac .

15944989872_b958dc5552_z

Nie je to obmedzené iba na váš počítač: váš sú ovplyvnené aplikácie smartfónov 1 000 aplikácií pre iOS ochromuje chybu SSL: Ako skontrolovať, či ste zasiahnutíChyba siete AFNetworking spôsobuje problémy používateľom zariadení iPhone a iPad, pričom tisíce aplikácií spôsobujú túto chybu zabezpečenia SSL certifikáty sú správne autentifikované, čo potenciálne uľahčuje krádež identity cez človeka v strede útoky. Čítaj viac podľa nedostatkov SSL.

Konvergencia je doplnok prehliadača, ktorý si mnohí zamieňajú so systémom, ktorý nahrádza certifikáty SSL; je to však viac ako čokoľvek, ale je to ďalšia fáza pre CA. Konvergencia sa namiesto toho, aby dôverovala jednej certifikačnej autorite za dôveryhodnosť lokality, v podstate obrátila na notárske služby aby ste potvrdili bezpečnosť stránok.

Navštívite adresu HTTPS. Existujú tri hlavné výsledky: všetci notári súhlasia s tým, že je to bezpečné. V takom prípade stránku používate; nie všetci súhlasia, ale môžete ísť s väčšinou alebo odmietnuť web, pretože tomu neveríte notárom robiť ručiť za to; alebo v extrémnych prípadoch sa väčšina notárov alebo všetci notári dohodli, že tomu nedôveruje. Takto neexistuje jediný bod zlyhania.

Rozmýšľajte o tom týmto spôsobom: ide o zblíženie názorov na to, či používateľ môže dôverovať HTTPS.

Ako sa stáva internet zárukou?

Prečo ich stále označujeme ako SSL certifikáty? Určite by to mali byť osvedčenia TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7. júna 2016

V matici shell: SSL certifikáty, ktoré autentifikujú stránky, sa inovujú na TLS, najdôležitejšie na doménach, ako je PayPal, ktoré sa zaoberajú platobnými informáciami. Tieto sa zavádzajú en masse, s cieľom 100% používania HTTPS v nasledujúcich rokoch. Príslušné orgány sa tiež prehodnocujú a doplnok konvergencie sa javí ako solídny krok pri overovaní dôveryhodnosti stránky tým, že sa na notárov spolieha.

Poskytujú vám tieto opatrenia znova dôveru v SSL? Myslíte si? cítiť bezpečné zadávanie platobných údajov online? Aké ďalšie bezpečnostné protokoly by ste radi videli v širokej miere implementovaných?

Obrázkové kredity: HTTPS (WeTransfer) od Christiaan Colen; a https od Sean MacEntee.

Keď sa nepozerá na televíziu, číta knihy ´n´ Marvel komiksy, počúva zabijakov a je posadnutý nápadmi na skripty, Philip Bates predstiera, že je spisovateľom na voľnej nohe. Rád zhromažďuje všetko.