Reklāma

Kopš 1994. gada, kad tika izveidots SSL (Secure Sockets Layer - SSL) protokols, plaši izplatītā personiskā informācija tiešsaistē ir eksponenciāli palielinājusies.

Internets ir skalo ar ieejas frāzēm Kāpēc paroles joprojām ir labākas nekā paroles un pirkstu nospiedumiAtcerieties, kad parolēm nebija jābūt sarežģītām? Kad PIN bija viegli atcerēties? Šīs dienas vairs nav, un kibernoziedzības risks nozīmē, ka pirkstu nospiedumu skeneri ir gandrīz bezjēdzīgi. Ir pienācis laiks sākt izmantot piekļuves kodus ... Lasīt vairāk , kredītkartes dati un tiešsaistes bankas dati 6 veselā saprāta iemesli, kāpēc jums vajadzētu veikt banku tiešsaistē, ja vēl neesat to izdarījis [Atzinums]Kā jūs parasti veicat banku darbību? Vai braucat uz savu banku? Vai jūs gaidāt garās rindās, lai tikai iemaksātu vienu čeku? Vai ik mēnesi saņemat paziņojumus papīra formā? Vai jūs tos ... Lasīt vairāk . Mums ir SSL sertifikāti, lai pateiktos par mūsu drošību un privātumu. Bet jūs droši vien esat dzirdējis par neseniem trūkumiem, kas liedz jūsu uzticību kriptogrāfijas protokolam.

Par laimi, SSL pielāgojas, tiek modernizēts un aizstāts, lai dotu jums labāku sirdsmieru. Lūk, kā.

Kas tik un tā ir SSL?

Sāksim ar kas tieši ir SSL Kas ir SSL sertifikāts, un vai jums tas ir vajadzīgs?Interneta pārlūkošana var būt biedējoša, ja ir iesaistīta personiskā informācija. Lasīt vairāk .

SSL sertifikāti ir digitāli autorizācijas dokumenti, kurus var iegūt organizācija vai indivīds, kurš pārvalda vietni, kas nodarbojas ar sensitīvu informāciju. Tas nodrošina, ka datus var droši transportēt starp tīmekļa serveri un pārlūku, ka šī informācija nav pārtverta un tās avoti ir īsti.

Pārbaudiet, piemēram, Amazon. Apskatiet URL, un tipiskas hiperteksta pārsūtīšanas protokola (HTTP) adreses vietā jums vajadzētu būt novirzīts uz HTTPS Kas ir HTTPS un kā iespējot drošus savienojumus pēc noklusējumaDrošības apsvērumi izplatās tālu un plaši, un tie ir sasnieguši priekšplānu visiem. Tādi termini kā antivīruss vai ugunsmūris vairs nav savādi vārdu krājumi, un tos ne tikai saprot, bet arī izmanto ... Lasīt vairāk - ka papildu “S” nozīmē, ka tā ir droša saite HTTPS visur: kad iespējams, izmantojiet HTTPS, nevis HTTP Lasīt vairāk , un jūs varat droši maksāt par vienumiem vietnē. Hotmail, WordPress un pat Tumblr izmanto SSL sertifikātus.

Tas ir lieliski gan patērētājam (kurš zina, ka pret viņu datiem izturas atbildīgi), gan pārdevējam (kurš ne tikai gūst labumu no pircēju uzticības, bet arī iegūst Google augstāku vietu).

Tomēr nekas nav nekļūdīgs, un to apliecina daži SSL trūkumi, kas atklāti tikai pēdējā gada laikā. Par laimi, tīmekļa pārlūkošana atkal kļūst drošāka ...

TLS jauninājumi

Varbūt esat redzējis, ka SSL un transporta slāņa drošība (TLS) tiek aizstāti, un, lai arī atšķirības varbūt ir niecīgas, tās joprojām ir ievērības cienīgas.

17976028193_ca46369a35_z

Abi pirms savienojuma izveidošanas izmanto vienu un to pašu datu šifrēšanas sistēmu un sazinoties ar sertifikāta iestādi (CA). Tomēr TLS ir SSL pēctecis, tāpēc ir pamatoti, ka TLS būtu drošāka. Trīs tās iemiesojumi - TLS 1.0, 1.1 un 1.2 - izlīdzina dažas no SSL metodē atklātajām ievainojamībām.

TLS 1.3 darbojas jau kopš 2008. gada, taču, tā kā tika uzskatīti trūkumi iepriekšējās versijās minimāli, tie neietekmētu “reālās pasaules” situācijas, par masu tas tika pieņemts pavisam nesen ieviešana. Patiesībā, atpakaļ 2013. gadā, izrādījās, ka pat Nacionālās drošības aģentūra (NSA) nebija mērķējusi uz domēniem, kuros darbojas TLS protokoli, jo tik maz to faktiski izmantoja. Tomēr tagad PCI Drošības padomes mandāts ir licis jaunināt jebkuru vietni, kas pārsūta vai apstrādā informāciju par kartes īpašnieku.

Turklāt visi lielākie pārlūkprogrammas - Google Chrome, Microsoft Edge, Safari, Firefox un Opera - pēc noklusējuma atbalsta TLS 1.2, lai šifrēšanas līmeni garantētu abas puses. Tomēr ņemiet vērā, ka pilnvaras, šķiet, attiecas tikai uz maksājuma informāciju, nevis pieteikšanās informāciju.

Šifrēšana visur

Sertifikātu jaunināšana ir noderīga tikai tad, ja tā tiek plaši pieņemta, un tas tā nav. Visām e-komercijas vietnēm nepieciešama drošības prakse, un lielākajai daļai patiešām vajadzētu būt SSL vai TLS. Daudzi paļaujas uz trešo personu maksājumu apstrādātāju, piemēram, PayPal, aizsardzību (šķiet, ka tā ir nepilnība) PCI Drošības padomes mandāts), bet, ja vietne pieņem privātu informāciju, tai vajadzētu izmantot drošu slāni.

Šifrēšana visur

Ja jūsu savienojums nav privāts, hakeri var iegūt datus, tostarp e-pasta adresi un paroli, piesakoties. Un tāpēc, ka lielākajai daļai cilvēku ir tendence izmantojiet tās pašas paroles 7 visizplatītākā taktika, kas tiek izmantota, lai uzlauztu parolesKad dzirdat “drošības pārkāpums”, kas jums ienāk prātā? Ļaundabīgs hakeris? Kāds pagrabā dzīvojošs bērns? Patiesībā viss, kas nepieciešams, ir parole, un hakeriem ir 7 veidi, kā iegūt jūsu. Lasīt vairāk vairākās vietnēs (neskatoties uz visiem brīdinājumiem 7 paroles kļūdas, kas, iespējams, ļaus jums uzlauztiesIr izlaistas vissliktākās 2015. gada paroles, un tās ir diezgan satraucošas. Bet tie parāda, ka ir absolūti svarīgi stiprināt vājās paroles, veicot tikai dažus vienkāršus pielāgojumus. Lasīt vairāk ), tā varētu būt būtiska informācija.

Tomēr daudzas vietnes nepieņem SSL protokolus, jo tas var būt dārgi un sarežģīti. Tajā nonāk Symantec programma Encryption visur.

Amerikāņu apsardzes firma piedāvā freemium pakalpojumu, ar kuru sertifikāts tiek iegūts pilnīgi bez maksas, un jauninājumi (piemēram, ļaunprātīgas programmatūras skenēšana) ir pieejami par maksu. Partnerības ar hostinga uzņēmumiem izsniedz sarežģījumus vietņu administratoru rokās, savukārt automātiskie atjauninājumi pilnveido turpmāko ievainojamību novēršanas procesu.

Tas ir paredzēts 100% drošības slāņa izmantošanai līdz 2018. gadam, tāpēc mēs sagaidām, ka to drīzumā pieņems lielākā daļa vietņu.

Šifrēsim

Bet pagaidi! Symantec nav vienīgais, kas cenšas panākt SSL / TLS šifrēšanu visā pasaulē.

Ļauj šifrēt

Izskatās, ka Let’s Encrypt iet uz nesenāku trūkumu vilni; Projekts, kas tika publiskots 2015. gada decembrī, jau ir saistīts ar daudziem lieliem starptautiskiem sponsoriem, tostarp Google Chrome, Mozilla, Facebook, Shopify, YunPian un Akamai. Interneta drošības pētījumu grupa (ISRG), Let’s Encrypt no šī mēneša ir izsniegusi vairāk nekā 5 miljonus sertifikātu un līdz šā gada beigām paredz 50% HTTPS lapu ielādes.

Kāpēc programma Let’s Encrypt izrādās populāra? Tā kā tas ir bezmaksas un automatizēts, tas nozīmē, ka vietnēm ir neticami viegli iegūt sertifikātus un jauninājumus.

Iniciatīva sākas ar jaunu privāto atslēgu pāri un SI domēna īpašnieka apliecinājumu; Kad tas ir pārbaudīts, izmantojot automātiskās sertifikātu pārvaldības vides (ACME) protokolu, vietnes programmatūra var parakstīt sertifikātu pārvaldības ziņojumi ar atslēgu, lai atjaunotu un atsauktu sertifikātus vai tiem izveidotu jaunus domēns.

Mēs tikko izdevām savu 5 miljono sertifikātu!

- Šifrēsim (@letsencrypt) 2016. gada 17. jūnijs

Let’s Encrypt ir neapšaubāmi vispazīstamākais projekts, kas piedāvā bezmaksas sertifikātus, un starp šīm lielajām programmām tas noteikti šķiet uzticams iemesls.

Konverģence

Tomēr jūs, iespējams, nevēlaties izmantot SSL sertifikātus.

Viņu reputācija pēdējos gados ir bojāta: lielākajai daļai to ir vismaz dzirdējis par Sirdspukstu Sirdsdarbība - ko jūs varat darīt, lai saglabātu drošību? Lasīt vairāk , ievainojamība atvērtā koda kriptogrāfijas bibliotēkā OpenSSL, kas ļauj hakeriem lasīt nešifrētu informāciju. Sirdsdarbība ietekmēja daudzus pakalpojumus Rakšana cauri hipei: vai sirds ir sabojājusi kādu? Lasīt vairāk , bet tā tas bija pirms diviem gadiem Pieci jūsu privātuma pārkāpumi 2014. gadā, kurus, iespējams, esat palaidis garāmNeskaitāmas publikācijas atklāja slavenību privātajā dzīvē 2014. gadā - gadu, kurā uzmanības centrā bija arī plaša sabiedrība. Vai no šiem pārkāpumiem mēs varam kaut ko iemācīties? Lasīt vairāk un ir pieejams labojums. Bet tad pagājušajā gadā, tur bija Superfish Lenovo klēpjdatoru īpašnieki piesardzieties: iespējams, ka jūsu ierīce ir jau instalējusi ļaunprogrammatūruĶīnas datoru ražotājs Lenovo ir atzinis, ka klēpjdatoriem, kas 2014. gada beigās tika piegādāti veikaliem un patērētājiem, bija iepriekš instalēta ļaunprātīga programmatūra. Lasīt vairāk , ļaunprātīga programmatūra, kas padarīja HTTPS strīdīgu; arī šis, ir izlabots Superfish vēl nav noķerts: SSL nolaupīšana ir izskaidrotaLenovo Superfish ļaundabīgā programmatūra izraisīja satraukumu, bet stāsts vēl nav beidzies. Pat ja no datora noņēmāt reklāmprogrammatūru, tāda pati ievainojamība pastāv arī citās tiešsaistes lietojumprogrammās. Lasīt vairāk .

15944989872_b958dc5552_z

Un tas neaprobežojas tikai ar datoru: jūsu Tiek ietekmētas viedtālruņu lietotnes 1000 iOS lietotnēs ir kropļojoša SSL kļūda: kā pārbaudīt, vai esat ietekmētsAFNetworking kļūda rada problēmas iPhone un iPad lietotājiem, jo ​​tūkstošiem lietotņu rada ievainojamību Pareizi autentificēti SSL sertifikāti, kas, iespējams, atvieglo identitātes zādzību caur cilvēku-vidū uzbrukumiem. Lasīt vairāk arī ar SSL trūkumiem.

Tad konverģence ir pārlūka papildinājums, ko daudzi jauc ar sistēmu, kas aizstāj SSL sertifikātus; kaut kas vairāk par visu, tomēr tas ir nākamais posms CA. Būtībā tā vietā, lai uzticētos vienai CA, kas apliecina vietnes autentiskumu, pievēršas konverģencei notāra pakalpojumi lai apliecinātu vietnes drošību.

Jūs apmeklējat HTTPS adresi. Ir trīs galvenie rezultāti: visi notāri ir vienisprātis, ka tas ir droši; tādā gadījumā jūs izmantojat vietni; ne visi piekrīt, bet jūs varat doties kopā ar vairākumu vai noraidīt vietni, jo neuzticaties notāriem darīt galvot par to; vai ārkārtējos gadījumos vairums vai visi notāri piekrīt, ka neuzticas. Tādā veidā nav neviena neveiksmes punkta.

Padomājiet par to šādi: tā ir viedokļu saplūšana par to, vai lietotājs var uzticēties HTTPS.

Kā internets kļūst drošāks?

Kāpēc mēs tos joprojām dēvējam par SSL sertifikātiem? Vai tiešām tiem vajadzētu būt TLS sertifikātiem? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Kriss Ponts (@chrispont) 2016. gada 7. jūnijs

Riekstu čaumalā: SSL sertifikāti, kas autentificē vietnes, tiek jaunināti uz TLS, vissvarīgāk tādos domēnos kā PayPal, kas nodarbojas ar maksājumu informāciju. Tie tiek ieviesti en masse, ar mērķi 100% izmantot HTTPS tuvāko gadu laikā. Arī SI tiek atkārtoti novērtētas, un papildinājums konverģencei ir nopietns posms, lai pārbaudītu vietnes uzticamību, paļaujoties uz notāru piekrišanu.

Vai šie pasākumi ļauj jums atkal ticēt SSL? Vai jūs jūt droši ievadīt maksājuma informāciju tiešsaistē? Kādus papildu drošības protokolus jūs vēlētos redzēt plaši ieviestos?

Attēlu kredīti: Kristians Kolens - HTTPS (WeTransfer); un Sean MacEntee, https.

Kad viņš neskatās televīziju, nelasa Marvel komiksus, klausās filmas The Killers un neaptver scenāriju idejas, Filips Bates izliekas par ārštata rakstnieku. Viņam patīk visu kolekcionēt.