Annonse

Vell av personopplysninger vi deler på nettet har vokst eksponentielt siden 1994, begynnelsen av SSL-protokollen (Secure Sockets Layer).

Internett er full av passfraser Hvorfor passfraser fremdeles er bedre enn passord og fingeravtrykkHusker du når passord ikke måtte være kompliserte? Når PIN-koder var lett å huske? De dagene er borte, og nettkriminalitetsrisiko betyr at fingeravtrykkskannere er ved siden av ubrukelig. Det er på tide å begynne å bruke passord ... Les mer , kredittkortdetaljer, og nettbankdata 6 vanlige grunner til at du bør banke online hvis du ikke allerede er [Opinion]Hvordan pleier du å gjøre banker? Kjør du til banken din? Venter du på lange linjer, bare for å sette inn en sjekk? Mottar du månedlige papiroppgaver? Arkiverer du de ... Les mer . Vi har SSL-sertifikater for å takke for vår sikkerhet og personvern. Men du har sannsynligvis hørt om nylige feil som har bulet din tillit til kryptografisk protokoll.

Heldigvis tilpasser SSL seg, blir oppgradert og erstattet for å gi deg bedre trygghet. Dette er hvordan.

instagram viewer

Hva er SSL likevel?

La oss starte med nøyaktig hva SSL er Hva er et SSL-sertifikat, og trenger du et?Å surfe på Internett kan være skummelt når personlig informasjon er involvert. Les mer .

SSL-sertifikater er digitale autorisasjonsdokumenter som kan fås av en organisasjon eller enkeltperson som driver et nettsted som omhandler sensitiv informasjon. Det sikrer at data kan transporteres sikkert mellom webserver og nettleser, at denne informasjonen ikke er blitt oppfanget og kildene er ekte.

Sjekk for eksempel Amazon. Se på URL-adressen, og i stedet for en typisk HTTP-adresse (HyperText Transfer Protocol), bør du være det omdirigert til en HTTPS Hva er HTTPS og hvordan aktivere sikre tilkoblinger per standardSikkerhetsproblemer sprer seg bredt og har nådd forkant i de fleste alles sinn. Begrep som antivirus eller brannmur er ikke lenger merkelig ordforråd og blir ikke bare forstått, men også brukt av ... Les mer - det tillegg "S" betyr at det er en sikker kobling HTTPS overalt: Bruk HTTPS i stedet for HTTP når det er mulig Les mer , og du er trygg på å betale for varer via nettstedet. Hotmail, WordPress og til og med Tumblr bruker SSL-sertifikater.

Det er flott for forbrukeren (som vet at dataene deres blir behandlet på en ansvarlig måte), og for selgeren (som ikke bare drar nytte av kjøperens tillit, men også blir rangert høyere av Google).

Ingenting er ufeilbarlig, og noen få SSL-feil som er utsatt i løpet av det siste året, vitner om det. Heldigvis blir surfing sikrere igjen ...

TLS-oppgraderinger

Du har kanskje sett SSL og Transport Layer Security (TLS) brukt om hverandre, og selv om forskjellene kanskje er subtile, forblir de bemerkelsesverdige.

17976028193_ca46369a35_z

Begge bruker det samme systemet med kryptering av data, og konfererer med sertifikatmyndigheten (CA) før de kobler til. TLS er imidlertid SSLs etterfølger, så det er grunnen til at TLS ville være sikrere. De tre inkarnasjonene - TLS 1.0, 1.1 og 1.2 - stryker faktisk noen av sårbarhetene som finnes i SSL-metoden.

TLS 1.3 har eksistert siden 2008, men som manglene i de tidligere versjonene ble ansett som det miniscule de ikke ville påvirke "virkelige verden" situasjoner, det er tatt til ganske nylig for sin masse gjennomføring. Faktisk, tilbake i 2013, så det ut til at selv National Security Agency (NSA) ikke var rettet mot domener som kjører TLS-protokoller fordi så få faktisk brukte det. Nå har imidlertid et mandat fra PCI Security Council tvunget ethvert nettsted som overfører eller behandler kortholderinformasjon til oppgradering.

Dessuten støtter alle større nettlesere - Google Chrome, Microsoft Edge, Safari, Firefox og Opera - TLS 1.2 som standard, slik at krypteringsnivået garanteres av begge parter. Vær imidlertid oppmerksom på at mandatet ser ut til å utelukkende gjelde for betalingsdetaljer, ikke innloggingsinformasjon.

Kryptering overalt

Å oppgradere sertifikater er bare nyttig hvis det er bredt adoptert, og det er ikke tilfelle. Alle nettsteder trenger sikkerhetspraksis, og flertallet bør virkelig ha SSL eller TLS. Mange er avhengige av å beskytte tredjeparts betalingsprosessorer, som PayPal (dette ser ut til å være et smutthull i PCI Security Council-mandatet), men hvis et nettsted godtar privat informasjon, bør det bruke et sikkert lag.

Kryptering overalt

Hvis forbindelsen din ikke er privat, kan data, inkludert e-postadresse og passord når du logger på, skaffe seg hackere. Og fordi folk flest har det bruk de samme passordene De 7 vanligste taktikkene som brukes til å hacke passordNår du hører "sikkerhetsbrudd", hva tenker du da? En ondskapsfull hacker? Noen barn i kjelleren? Realiteten er at alt som trengs er et passord, og hackere har 7 måter å få ditt. Les mer på flere nettsteder (til tross for alle advarsler 7 feil med passord som sannsynligvis vil bli deg hacketDe verste passordene for 2015 er gitt ut, og de er ganske bekymringsfulle. Men de viser at det er helt avgjørende å styrke de svake passordene dine, med bare noen få enkle justeringer. Les mer ), kan det være viktig informasjon.

Ikke desto mindre bruker mange nettsteder ikke SSL-protokoller fordi det kan være kostbart, og det kan være komplisert. Det er her Symantecs Encryption Everywhere-program kommer inn.

Det amerikanske sikkerhetsfirmaet tilbyr en freemium-tjeneste, der sertifikatet oppnås helt gratis, med oppgraderinger (som malware skanninger) tilgjengelig til en pris. Partnerskap med hostingfirmaer tar kompleksitetene ut av hendene på administratorer av nettstedet, mens automatiserte oppdateringer effektiviserer prosessen med å adressere eventuelle ytterligere sårbarheter.

Dette er i et forsøk på å få 100% sikkerhetslagsbruk innen 2018, så vi regner med at det vil bli vedtatt av de fleste nettsteder ganske snart.

La oss kryptere

Men vent! Symantec er ikke den eneste som søker etter hele SSL / TLS-kryptering.

Lar kryptere

La oss kryptere ser ut til å gå på bølgen av nyere feil; prosjektet ble lansert i desember 2015, og har allerede mange store internasjonale sponsorer, inkludert Google Chrome, Mozilla, Facebook, Shopify, YunPian og Akamai. Drevet av Internet Security Research Group (ISRG) har Let's Encrypt denne måneden gitt ut mer enn 5 millioner sertifikater og projiserer 50% HTTPS-sidebelastning innen utgangen av dette året.

Hvorfor viser Let's Encrypt seg å være populært? Bare som det er gratis og automatisert, noe som betyr at det er utrolig enkelt for nettsteder å få sertifikater og oppgraderinger.

Initiativet starter med et nytt privat nøkkelpar, og bevis på domeneeieren til CA; Når dette er bekreftet ved hjelp av ACME-protokollen (Automated Certificate Management Environment), kan programvaren for nettstedet signere sertifikatadministrasjonsmeldinger med nøkkelen for å fornye og oppheve sertifikater, eller opprette nye for det samme domene.

Vi har nettopp utstedt vårt 5 millioner sertifikat!

- La oss kryptere (@letsencrypt) 17. juni 2016

Let’s Encrypt er uten tvil det mest kjente prosjektet som tilbyr gratis sertifikater, og mellom disse store programmene ser det absolutt ut til å være en pålitelig sak.

konvergens

Du kan imidlertid bli desillusjonert av SSL-sertifikater.

Deres omdømme har blitt skadet de siste årene: de fleste har i det minste hørt om Heartbleed Heartbleed - Hva kan du gjøre for å holde deg trygg? Les mer , en sårbarhet i krypteringsbiblioteket med åpen kildekode, OpenSSL, som lar hackere lese ukryptert informasjon. Heartbleed påvirket mange tjenester Å grave igjennom hypen: Har hjerteklagene faktisk skadet noen? Les mer , men det var det to år siden Fem brudd på personvernet ditt i 2014 som du kanskje har gått glipp avTallrike publikasjoner gledet seg over kjendisens private liv i 2014, et år der søkelyset også lyste for allmennheten. Kan vi lære noe av disse bruddene? Les mer og en løsning er tilgjengelig. Men så i fjor, der var Superfish Lenovo bærbare PC-eiere Vær forsiktig: Enheten kan ha forhåndsinstallert skadelig programvareDen kinesiske datamaskinprodusenten Lenovo har innrømmet at bærbare datamaskiner som ble sendt til butikker og forbrukere i slutten av 2014, hadde malware forhåndsinstallert. Les mer , skadelig programvare som gjengi HTTPS-moot; dette også, har blitt lappet Superfish er ikke blitt fanget ennå: SSL-kapring forklartLenovos Superfish-malware forårsaket en røring, men historien er ikke over. Selv om du fjernet adware fra datamaskinen din, eksisterer den samme sårbarheten i andre online applikasjoner. Les mer .

15944989872_b958dc5552_z

Og den er ikke begrenset til PC-en: din smarttelefonapper blir berørt 1000 iOS-apper har forkrøplende SSL-feil: Hvordan kan du sjekke om du er berørtAFNetworking-feilen gir iPhone- og iPad-brukere problemer, med 1000-talls apper som har et sikkerhetsproblem som resulterer i SSL-sertifikater fra å bli riktig autentisert, potensielt muliggjøre identitetstyveri gjennom mann-i-midten angrep. Les mer av SSL mangler også.

Konvergens er da et nettlesertillegg som mange forveksler med et system som erstatter SSL-sertifikater; mer enn noe er det imidlertid neste trinn for CAs. I stedet for å stole på at en CA som garanterer for et nettstedets ekthet, vender Convergence til notar tjenester for å attestere nettstedets sikkerhet.

Du besøker en HTTPS-adresse. Det er tre hovedutfall: alle notarer er enige om at det er trygt. I så fall bruker du nettstedet; ikke alle er enige, men du kan gå med flertallet eller avvise nettstedet fordi du ikke stoler på notariusene som gjøre gå god for det; eller i ekstreme tilfeller er de fleste eller alle notariusene enige om at det ikke er til å stole på. På den måten er det ikke et eneste poeng med å mislykkes.

Tenk på det på denne måten: det er en konvergens av meninger om en bruker kan stole på HTTPS.

Hvordan blir Internett sikrer?

Hvorfor refererer vi fortsatt til dem som SSL-sertifikater? De burde vel være TLS-sertifikater? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7. juni 2016

I et nøtteskall: SSL-sertifikatene som autentiserer nettsteder blir oppgradert til TLS, viktigst av alt på domener som PayPal som omhandler betalingsinformasjon. Disse blir rullet ut en masse, med mål om 100% HTTPS-bruk de neste årene. CAs blir også revurdert og konvergens-tillegget virker som et solid stadium i å verifisere hvor pålitelig et nettsted er ved å stole på at notarer er enige.

Gir disse tiltakene deg tro på SSL igjen? Gjør du føle trygt å legge inn betalingsdetaljer på nettet? Hvilke ytterligere sikkerhetsprotokoller ønsker du å få gjennomført vidt implementert?

Bildepoeng: HTTPS (WeTransfer) av Christiaan Colen; og https av Sean MacEntee.

Når han ikke ser på TV, leser bøker ‘n’ Marvel-tegneserier, hører på The Killers og besetter over manusideer, later later til at Philip Bates er frilansskribent. Han liker å samle alt.