Oglas
Bogatstvo osebnih podatkov, ki jih delimo na spletu, narašča eksponentno od leta 1994, ko je začel protokol SSL (Secure Sockets Layer).
Internet je prešite s pasičnimi stavki Zakaj so gesli še vedno boljši od gesla in prstnih odtisovSe spomnite, kdaj z gesli ni bilo treba zapletati? Kdaj je bilo PIN-jev enostavno zapomniti? Te dni ni več in tveganje kibernetske kriminalitete pomeni, da so skenerji prstnih odtisov neuporabni. Čas je, da začnete uporabljati gesle ... Preberi več , podatke o kreditni kartici in podatki spletnega bančništva 6 najpogostejših razlogov, zakaj bi morali bankovati prek spleta, če še niste [mnenje]Kako običajno opravljate svoje bančništvo? Se vozite v svojo banko? Ali čakate v dolgih vrstah, samo da položite en ček? Ali prejmete mesečne izpiske na papirju? Ali oddate tiste ... Preberi več . Imamo SSL certifikate, s katerimi se zahvaljujemo za našo varnost in zasebnost. Verjetno ste že slišali za nedavne napake, ki so zmanjšale vaše zaupanje v kriptografski protokol.
Na srečo se SSL prilagaja, nadgrajuje in nadomešča, da vam omogoča boljši mir. Tukaj je opisano.
Kaj sploh je SSL?
Začnimo z točno to je SSL Kaj je SSL potrdilo in ga potrebujete?Brskanje po internetu je lahko strašljivo, če gre za osebne podatke. Preberi več .
SSL potrdila so digitalni avtorizacijski dokumenti, ki jih lahko pridobi organizacija ali posameznik, ki vodi spletno mesto, ki obravnava občutljive informacije. Zagotavlja, da se podatki lahko varno prevažajo med spletnim strežnikom in brskalnikom, da ti podatki niso bili prestreženi in da so njegovi viri resnični.
Oglejte si na primer Amazon. Poglejte URL in namesto običajnega naslova HTTP (HyperText Transfer Protocol) bi morali biti preusmerjen na HTTPS Kaj je HTTPS in kako omogočiti varne povezave na privzetoVprašanja glede varnosti se širijo daleč naokoli in so prišla v ospredje večine vseh. Izrazi, kot sta protivirusni ali požarni zid, niso več nenavaden besednjak in jih ne razumejo, ampak jih uporablja tudi ... Preberi več - tisto dodatno "S" pomeni, da je varna povezava HTTPS povsod: Uporabite HTTPS namesto HTTP, kadar je to mogoče Preberi več in varno lahko plačujete predmete prek spletnega mesta. Hotmail, WordPress in celo Tumblr uporabljajo SSL certifikate.
Odličen je za potrošnika (ki ve, da se z njihovimi podatki obravnava odgovorno) in za prodajalca (ki ne samo da ima koristi od zaupanja kupcev, ampak ga Google uvršča tudi višje).
Vendar ničesar ni nezmotljivo in nekaj pomanjkljivosti SSL, ki so bile izpostavljene v zadnjem letu, to dokazuje. K sreči brskanje po spletu spet postaja bolj varno…
Nadgradnje TLS
Morda ste videli varnost SSL in Transport Layer Security (TLS), ki se medsebojno uporabljata, in čeprav so razlike morda subtilne, ostajajo omembe vredne.
Obe uporabita isti sistem šifriranja podatkov in se pred vzpostavitvijo povezave posvetujeta s certifikacijskim organom (CA). Vendar je TLS naslednik SSL-ja, zato obstaja razlog, da bi bil TLS bolj varen. V resnici njegove tri inkarnacije - TLS 1.0, 1.1 in 1.2 - odpravljajo nekatere ranljivosti, najdene v metodi SSL.
TLS 1.3 obstaja že od leta 2008, vendar so bile pomanjkljivosti v prejšnjih različicah takšne drobno, da ne bi vplivali na situacije v resničnem svetu, do nedavnega je šlo za njegovo množičnost izvajanje. Pravzaprav, nazaj v 2013, se je izkazalo, da tudi nacionalna varnostna agencija (NSA) ni ciljala na domene, ki poganjajo protokole TLS, ker jih je tako malo dejansko uporabljalo. Zdaj pa je pooblastilo Varnostnega sveta PCI vse spletne strani, ki prenašajo ali obdelujejo podatke o imetnikih kartic, prisililo v nadgradnjo.
Poleg tega vsi večji brskalniki - Google Chrome, Microsoft Edge, Safari, Firefox in Opera - privzeto podpirajo TLS 1.2, tako da obe strani zagotovita takšno raven šifriranja. Upoštevajte pa, da se zdi, da pooblastilo velja samo za podatke o plačilu, ne za podatke o prijavi.
Šifriranje povsod
Nadgrajevanje certifikatov je koristno le, če je splošno sprejeto, in to ne drži. Vsa spletna mesta za e-trgovino potrebujejo varnostne prakse in večina bi morala imeti res SSL ali TLS. Mnogi se zanašajo na zaščito tretjih plačilnih procesorjev, kot je PayPal (zdi se, da je v tem vrzel pooblastilo Varnostnega sveta PCI), če pa spletno mesto sprejema zasebne podatke, mora uporabiti varen sloj.
Če vaša povezava ni zasebna, lahko hekerji pridobijo podatke, vključno z e-poštnim naslovom in geslom pri prijavi. In ker večina ljudi nagiba k temu uporabite enaka gesla 7 najpogostejših taktik, ki se uporabljajo za krajo geselKo slišite "kršitev varnosti", kaj mi pade na pamet? Zlonamerni heker? Neki kletni otrok? V resnici je vse, kar je potrebno, geslo, hekerji pa imajo 7 načinov, da dobijo svoje. Preberi več na več mestih (kljub vsem opozorilom 7 Napake z geslom, ki vas bodo verjetno vdrleIzšla so najslabša gesla leta 2015 in precej so zaskrbljujoča. Pokažejo pa, da je ključnega pomena, da okrepite svoja šibka gesla z le nekaj preprostimi nastavitvami. Preberi več ), to bi lahko bile ključne informacije.
Kljub temu pa veliko spletnih mest ne sprejema protokolov SSL, ker je lahko drago in je lahko zapleteno. Tu prihaja Symantec-ov program Encryption Everywhere.
Ameriško varnostno podjetje ponuja storitev freemium, s katero je certifikat pridobljen popolnoma brezplačno, z nadgradnjami (na primer skeniranje zlonamerne programske opreme), ki so na voljo za ceno. Partnerstva z gostiteljskimi podjetji zapletenosti izhajajo iz rok skrbnikov spletnih mest, medtem ko samodejne posodobitve poenostavijo postopek odpravljanja nadaljnjih ranljivosti.
Predlagamo, da do leta 2018 uporabimo 100-odstotno zaščitno plast, zato pričakujemo, da jo bo večina spletnih mest sprejela zelo kmalu.
Šifrirajmo
Ampak počakaj! Symantec ni edini, ki si prizadeva za spletno šifriranje SSL / TLS.
Zdi se, da je Encrypt jahal val novejših napak; Projekt, ki je javnosti predstavljen decembra 2015, že ima številne velike mednarodne sponzorje, med katerimi so Google Chrome, Mozilla, Facebook, Shopify, YunPian in Akamai. Let’s Encrypt je v tem mesecu pod vodstvom raziskovalne skupine za internetno varnost (ISRG) do konca letošnjega leta izdal več kot 5 milijonov potrdil in načrtuje 50-odstotno nalaganje strani HTTPS.
Zakaj je Šifriranje dokazano priljubljeno? Ker je brezplačen in avtomatiziran, kar pomeni, da je spletnim mestom neverjetno enostavno pridobiti certifikate in nadgradnje.
Pobuda se začne z novim parom zasebnih ključev in potrdi, da je lastnik domene potrjen na pristojni organ; Ko je to preverjeno s protokolom Automated Certificate Management Environment (ACME), se lahko spletna programska oprema podpiše sporočila za upravljanje potrdil s ključem, da obnovite in prekličete potrdila ali ustvarite nova za iste domena.
Pravkar smo izdali naše 5-milijonsko potrdilo!
- Šifrirajmo (@letsencrypt) 17. junij 2016
Naj bo Encrypt zagotovo najbolj znan projekt, ki ponuja brezplačne certifikate, in med temi velikimi programi se zagotovo zdi zanesljiv vzrok.
Konvergenca
Vendar boste morda razočarani s SSL certifikati.
Njihov ugled je bil v zadnjih letih oškodovan: večina jih ima vsaj slišal za Heartbleed Srčno srce - kaj lahko storite, da ostanete varni? Preberi več , ranljivost v kriptografski knjižnici odprte kode, OpenSSL, ki hekerjem omogoča branje nešifriranih informacij. Srčno srce je vplivalo na veliko služb Kopanje po Hype-u: Ali je s srcem dejansko kdo škodoval? Preberi več , ampak to je bilo pred dvema letoma Pet kršitev vaše zasebnosti v letu 2014, ki ste jih morda pogrešaliŠtevilne publikacije, odkrite v zasebnem življenju slavnih v letu 2014, leto, v katerem je v središču pozornosti zasvetila tudi širša javnost. Se lahko iz teh kršitev kaj naučimo? Preberi več in na voljo je popravek. Ampak potem lani tam je bila Superfish Lastniki prenosnih računalnikov Lenovo Pazite: vaša naprava je morda prednameščena zlonamerne programske opremeKitajski proizvajalec računalnikov Lenovo je priznal, da so imeli prenosniki, ki so jih konec leta 2014 dobavljali trgovinam in potrošnikom, prednameščeno zlonamerno programsko opremo. Preberi več , zlonamerna programska oprema, ki je ustvarila HTTPS sporočilo; tudi to je bila zakrpljena Superfish se še ni ujel: Pojasnjena ugrabitev SSLZlonamerna programska oprema Lenovo Superfish je povzročila vznemirjenje, a zgodba še ni končana. Tudi če ste reklamno programsko opremo odstranili iz računalnika, obstaja enaka ranljivost v drugih spletnih aplikacijah. Preberi več .
In tudi ni računalnik: vaš vplivajo aplikacije za pametne telefone 1.000 aplikacij za iOS ima zabrisano napako SSL: Kako preveriti, ali ste prizadetiNapaka AFNetworking povzroča težave uporabnikom iPhone in iPad, zaradi tega pa ima na tisoče aplikacij ranljivost Če so SSL potrdila pravilno overjena, kar lahko olajša krajo identitete s pomočjo človeka v sredini napadi. Preberi več tudi zaradi napak SSL.
Konvergenca je torej dodatek brskalnika, ki ga mnogi zamenjujejo s sistemom, ki nadomešča SSL potrdila; Za CA-je pa to bolj kot karkoli drugega. Konvergenca se namesto zaupati enemu pooblaščencu za potrjevanje pristnosti spletnega mesta v bistvu namesto zaupanja v potrdilo o pristnosti spletnega mesta notarske storitve da potrdijo varnost spletnega mesta.
Obiščete naslov HTTPS. Obstajajo trije glavni izidi: vsi notarji se strinjajo, da je varno; v tem primeru uporabljate spletno mesto; vsi se ne strinjajo, vendar lahko greste z večino ali zavrnete spletno mesto, ker notarjem ne zaupate stori jamčite za to; ali v skrajnih primerih se večina ali vsi notarji strinjajo, da mu ni treba zaupati. Tako ni nobene točke neuspeha.
Razmislite tako: gre za zbliževanje mnenj o tem, ali lahko uporabnik zaupa HTTPS.
Kako internet postaja bolj varen?
Zakaj jih še vedno imenujemo SSL potrdila? Zagotovo bi morali biti certifikati TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore
- Chris Pont (@chrispont) 7. junij 2016
V matici: SSL certifikati, ki potrjujejo mesta, se nadgrajujejo na TLS, najpomembneje na domenah, kot je PayPal, ki obravnavajo podatke o plačilu. Te se uvajajo množično, s ciljem 100% uporabe HTTPS v naslednjih nekaj letih. Tudi CA-ji se ponovno ocenjujejo in dodatek o konvergenci se zdi trdna faza preverjanja, kako zanesljivo je spletno mesto, tako da se za noter strinjajo.
Ali ti ukrepi spet verjamejo v SSL? Ali ti čutiti varno vnašanje podatkov o plačilu v spletu? Katere nadaljnje varnostne protokole bi radi videli, da bodo široko implementirani?
Slikovni sliki: HTTPS (WeTransfer) Christiaan Colen; in https Sean MacEntee.
Ko ne gleda televizije, ne bere knjig 'n' Marvel stripov, posluša The Killers in se obsedi nad idejami scenarijev, se Philip Bates pretvarja, da je samostojni pisatelj. Uživa v tem, da nabira vse.