Sikkerhet

Hvordan nettlesing blir enda sikrere

Vikten av personlig informasjon vi deler på nettet, har vokst eksponentielt siden 1994, etableringen av Secure Sockets Layer (SSL) protokollen.

Internett er oversvømt med passord Hvorfor passord er enda bedre enn passord og fingeravtrykk Hvorfor passord er enda bedre enn passord og fingeravtrykk Husk når passord ikke behøvde å være komplisert? Når PIN-koden var lett å huske? Disse dagene er borte, og risikoen for nettkriminalitet betyr at fingeravtrykkskannere er ved siden av ubrukelige. Det er på tide å begynne å bruke passord ... Les mer, kredittkortdetaljer og nettbankdata 6 Felles sans grunner til at du bør bank online hvis du ikke allerede er [Opinion] 6 Felles sans grunner til at du bør bank online hvis du ikke er Allerede [Opinion] Hvordan pleier du å gjøre din bank? Kjører du til banken din? Venter du på lange linjer, bare for å sette inn en sjekk? Får du månedlige papirerklæringer? Filer du bort de ... Les mer. Vi har SSL-sertifikater for å takke for vår sikkerhet og personvern. Men du har sikkert hørt om nylige feil som har dyttet din tillit til kryptografisk protokoll.

Heldigvis tilpasser SSL, blir oppgradert og erstattet for å gi deg bedre trygghet. Dette er hvordan.

Hva er SSL uansett?

La oss starte med nøyaktig hva SSL er Hva er et SSL-sertifikat, og trenger du en? Hva er et SSL-sertifikat, og trenger du en? Bla gjennom Internett kan være skummelt når personlig informasjon er involvert. Les mer .

SSL-sertifikater er digitale autorisasjonsdokumenter som kan oppnås av en organisasjon eller person som driver et nettsted som omhandler sensitiv informasjon. Det sikrer at data kan transporteres sikkert mellom webserver og nettleser, at denne informasjonen ikke er blitt oppfanget og kildene er ekte.

Sjekk ut Amazon, for eksempel. Se på nettadressen, og i stedet for en typisk HTTP-adresse (HyperText Transfer Protocol), bør du bli omdirigert til en HTTPS-en. Hva er HTTPS og hvordan du aktiverer sikre tilkoblinger per standard Hva er HTTPS og hvordan du aktiverer sikre tilkoblinger per standard sikkerhetsproblemer Sprer seg vidt og bredt og har kommet i forkant av mest alles sinn. Vilkår som antivirus eller brannmur er ikke lenger merkelig ordforråd og forstås ikke bare, men også brukt av ... Les mer - det ekstra “S” betyr at det er en sikker link HTTPS Overalt: Bruk HTTPS i stedet for HTTP når mulig HTTPS overalt: Bruk HTTPS i stedet for HTTP når det er mulig å lese mer, og du er trygg på å betale for varer via nettstedet. Hotmail, WordPress og til og med Tumblr bruker SSL-sertifikater.

Det er flott for forbrukeren (som vet at dataene blir behandlet ansvarlig), og for selgeren (som ikke bare drar nytte av kjøpernes tillit, men også blir rangert høyere av Google).

Imidlertid er ingenting ufeilbarlig, og noen få SSL-feil avslørt i løpet av det siste året, attesterer det. Heldigvis blir nettlesing igjen sikrere igjen ...

TLS oppgraderinger

Du har kanskje sett SSL og Transport Layer Security (TLS) brukt utveksling, og mens forskjellene er kanskje subtile, forblir de bemerkelsesverdige.

Begge bruker det samme systemet for kryptering av data og overlater til sertifikatmyndigheten (CA) før du foretar den tilkoblingen. TLS er imidlertid SSLs etterfølger, så det står grunnen til at TLS ville være sikrere. Faktisk er de tre inkarnasjonene - TLS 1.0, 1.1 og 1.2 - stryke ut noen av de sårbarhetene som finnes i SSL-metoden.

TLS 1.3 har eksistert siden 2008, men da feilene i de tidligere versjonene ble vurdert som så små, ville de ikke påvirke “virkelige verden” situasjoner, det er tatt til veldig nylig for sin masseimplementering. Faktisk, tilbake i 2013, viste det seg at selv det nasjonale sikkerhetsbyrået (NSA) ikke var rettet mot domener som kjørte TLS-protokoller fordi så få faktisk brukte det. Nå har imidlertid et mandat fra PCI Security Council tvunget et nettsted som overfører eller behandler kortholderinformasjon til oppgradering.

I tillegg er alle større nettlesere - Google Chrome, Microsoft Edge, Safari, Firefox og Opera - som standard TLS 1.2, slik at krypteringsnivået er sikret av begge parter. Vær imidlertid oppmerksom på at mandatet ser ut til å gjelde utelukkende for betalingsdetaljer, ikke innloggingsinformasjon.

Kryptering overalt

Oppgradering av sertifikater er bare nyttig hvis det er allment vedtatt, og det er ikke tilfelle. Alle e-handelsnettsteder trenger sikkerhetspraksis, og flertallet bør virkelig ha SSL eller TLS. Mange stole på beskyttelse av tredjeparts betalingsprosessorer, som PayPal (dette synes å være et smutthull i PCIs sikkerhetsrådsmandat), men hvis et nettsted aksepterer privat informasjon, bør den bruke et sikkert lag.

Hvis forbindelsen din ikke er privat, kan data hentes fra hackere, inkludert e-postadresse og passord når du logger inn. Og fordi de fleste har en tendens til å bruke de samme passordene. De 7 mest vanlige taktikkene som brukes til å hyre passord. De 7 mest vanlige taktikkene som brukes til å hakk passord Når du hører "sikkerhetsbrudd", som kommer til å tenke? En ondsinnet hacker? Noen kjeller-bolig barn? Virkeligheten er alt som trengs, er et passord, og hackere har 7 måter å få din. Les mer på flere nettsteder (til tross for alle advarslene. 7 Passordfeil som sannsynligvis vil få deg til å ha hacket 7 Passordfeil som sannsynligvis vil få deg til å ha hacket. De verste passordene til 2015 er blitt utgitt, og de er ganske bekymringsfulle. Men de viser at det er absolutt kritisk for å styrke dine svake passord, med bare noen få enkle tweaks. Les mer), det kan være viktig informasjon.

Ikke desto mindre adopterer mange nettsteder ikke SSL-protokoller fordi det kan være kostbart, og det kan være komplisert. Det er der Symantecs Encryption Everywhere-program kommer inn.

Det amerikanske sikkerhetsfirmaet tilbyr en freemium-tjeneste, hvor sertifikatet er oppnådd helt gratis, med oppgraderinger (som skadelig programvare) tilgjengelig til en pris. Partnerskap med hostingfirmaer tar kompleksiteten ut av hendene på nettstedadministratorer, mens automatiserte oppdateringer strømlinjeformerer prosessen med å løse eventuelle ytterligere sårbarheter.

Dette er i strid med å få 100% sikkerhetslagsbruk i 2018, så vi regner med at det blir vedtatt av de fleste nettsteder veldig snart.

La oss kryptere

Men vent! Symantec er ikke den eneste som streber for SSL / TLS-kryptering på Internett.

La oss kryptere ser ut til å røre bølgen av nyere feil; lansert for offentligheten i desember 2015, har prosjektet allerede en rekke store internasjonale sponsorer, inkludert Google Chrome, Mozilla, Facebook, Shopify, YunPian og Akamai. Ledet av Internet Security Research Group (ISRG) har Let's Encrypt, i denne måneden, utstedt mer enn 5 millioner sertifikater og projiserer 50% HTTPS-sidebelastninger innen utgangen av dette året.

Hvorfor er La oss kryptere bevise populære? Ganske enkelt som det er gratis og automatisert, noe som betyr at det er utrolig enkelt for nettsteder å få sertifikater og oppgraderinger.

Initiativet starter med et nytt privat nøkkelpar, og bevis på domeneseier til CA; Når dette er verifisert ved hjelp av ACME-protokollen (Automated Certificate Management Management Environment), kan nettstedprogramvaren signere sertifikatstyringsmeldinger med nøkkelen for å forny og tilbakekalle sertifikater, eller opprette nye for samme domene.

Vi har nettopp utstedt vårt 5 millioner sertifikat!

- La oss kryptere (@letsencrypt) 17. juni 2016

La oss kryptere er uten tvil det mest kjente prosjektet å tilby gratis sertifikater, og mellom disse store programmene ser det ut til å være en pålitelig årsak.

konvergens

Du kan imidlertid bli desillusjonert med SSL-sertifikater.

Deres rykte har blitt skadet de siste årene: De fleste har i det minste hørt om Heartbleed Heartbleed - Hva kan du gjøre for å holde seg trygt? Heartbleed - Hva kan du gjøre for å være trygg? Les mer, et sikkerhetsproblem i open source-krypteringsbiblioteket, OpenSSL, som gjør at hackere kan lese ukryptert informasjon. Heartbleed påvirket mange tjenester Graving Through The Hype: Har Heartbleed faktisk skadet noen? Graving Through The Hype: Har Heartbleed faktisk skadet noen? Les mer, men det var to år siden Fem brudd på din personvern i 2014 at du kanskje har gått glipp av fem brudd på personvernet ditt i 2014 som du kanskje har gått glipp av Tallrike publikasjoner revet opp i kjendisernes private liv i 2014, et år hvor spotlight også skinnet på allmennheten. Kan vi lære noe fra disse bruddene? Les mer og en løsning er tilgjengelig. Men da i fjor var det Superfish Lenovo-bærbare eiere. Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare. Lenovo-bærbare eiere Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare Kinesisk dataprodusent Lenovo har innrømmet at bærbare datamaskiner sendt til butikker og forbrukere i slutten av 2014, hadde malware forhåndsinstallert. Les mer, malware som gjengitt HTTPS moot; Dette har også blitt patched Superfish har ikke blitt fanget ennå: SSL Hijacking forklart Superfish har ikke blitt fanget ennå: SSL Hijacking forklart Lenovos Superfish malware forårsaket en røre, men historien er ikke over. Selv om du fjernet adware fra datamaskinen din, eksisterer det samme sårbarhet i andre elektroniske applikasjoner. Les mer .

Og det er ikke begrenset til PCen din heller: Din smartphone-applikasjon er påvirket 1.000 iOS-apper. Har Crippling SSL-feil: Slik kontrollerer du om du er berørt. 1000 iOS-apper har krypende SSL-feil: Slik kontrollerer du om du er berørt AFNetworking-feilen er gi iPhone- og iPad-brukere problemer, med tusenvis av apper som bærer et sikkerhetsproblem som resulterer i at SSL-sertifikater blir korrekt godkjent, og muligens letter identitetsstyveri gjennom man-i-midten-angrep. Les mer av SSL-feil også.

Konvergens er da en nettleser tillegg som mange forvirrer med et system som erstatter SSL-sertifikater; mer enn noe, men det er neste trinn for CA. I hovedsak, i stedet for å stole på en CA-godkjenning for et nettsteds autentisitet, blir Convergence til notarius services for å bekrefte nettstedets sikkerhet.

Du besøker en HTTPS-adresse. Det er tre hovedresultater: alle notarer er enige om at det er trygt, i så fall bruker du nettstedet; Ikke alle enige, men du kan gå med flertallet eller avvise nettstedet fordi du ikke stoler på notarene det gjøre ta vare på det eller i ekstreme tilfeller, er de fleste eller alle notarne enige om at det ikke skal stole på. På den måten er det ikke et eneste punkt i feil.

Tenk på det på denne måten: Det er en konvergens av meninger om hvorvidt en bruker kan stole på HTTPS.

Hvordan blir Internett sikreren?

Hvorfor refererer vi fortsatt til dem som SSL-sertifikater? Sikkert bør de være TLS-sertifikater? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7. juni 2016

I et nøtteskall: SSL-sertifikatene som autentiserer nettsteder blir oppgradert til TLS, viktigst på domener som PayPal som omhandler betalingsinformasjon. Disse blir rullet ut en masse, med sikte på 100% HTTPS bruk i de neste årene. CA-ene blir også revurdert, og konvergens-tillegget ser ut til å være et solid stadium i å verifisere hvor pålitelig et nettsted er ved å stole på notarer for å være enige.

Gir disse tiltakene deg tro på SSL igjen? Gjør du føle Sikker innlasting av betalingsdetaljer online? Hvilke videre sikkerhetsprotokoller vil du gjerne se omfattende implementert?

Image credits: HTTPS (WeTransfer) av Christiaan Colen; og https av Sean MacEntee.

Utforsk mer om: Kryptering, SSL.

« Hvordan vi ser på filmer [INFOGRAFISK] Hvordan nettsteder registrerer hemmelig din aktivitet med Session Replay-skript »