Forside Sikkerhed Hvordan webbrowsing bliver endnu mere sikker

Hvordan webbrowsing bliver endnu mere sikker

  • Joseph Goodman
  • 0
  • 2126
  • 20
Reklame

Mængden af ​​personlige oplysninger, vi deler online, er vokset eksponentielt siden 1994, starten af ​​SSL-protokollen (Secure Sockets Layer).

Internettet er fyldt med adgangskoder Hvorfor er adgangssætninger stadig bedre end adgangskoder & fingeraftryk Hvorfor er adgangssætninger stadig bedre end adgangskoder & fingeraftryk Husk, når adgangskoder ikke behøvede at være kompliceret? Når PIN-koder var let at huske? Disse dage er væk, og cyberkriminalitetsrisici betyder, at fingeraftryksscannere er næsten ubrugelige. Det er tid til at begynde at bruge adgangskoder ..., kreditkortoplysninger og online bankdata 6 Common Sense Årsager til, at du skal bank online, hvis du ikke allerede er [Opinion] 6 Common Sense Årsager til, hvorfor du skulle Bank Online, hvis du ikke allerede er [ Opinion] Hvordan gør du normalt din bankvirksomhed? Kører du til din bank? Venter du i lange linjer, bare for at deponere en check? Modtager du månedlige papiropgørelser? Arkiverer du dem…. Vi har SSL-certifikater, som vi takker for vores sikkerhed og privatliv. Men du har sandsynligvis hørt om nylige mangler, der har dybt din tillid til den kryptografiske protokol.

Heldigvis tilpasser SSL, opgraderes og erstattes for at give dig bedre ro i sindet. Sådan gør du.

Hvad er SSL alligevel?

Lad os starte med nøjagtigt, hvad SSL er, hvad er et SSL-certifikat, og har du brug for et? Hvad er et SSL-certifikat, og har du brug for et? Det kan være skræmmende at surfe på internettet, når det drejer sig om personlige oplysninger. .

SSL-certifikater er digitale autorisationsdokumenter, der kan fås af en organisation eller en person, der driver et websted, der beskæftiger sig med følsomme oplysninger. Det sikrer, at data kan transporteres sikkert mellem webserver og browser, at disse oplysninger ikke er blevet opfanget og kilderne er ægte.

Tjek for eksempel Amazon. Se på URL'en, og i stedet for en typisk HTTP-adresse (HyperText Transfer Protocol), skal du omdirigeres til en HTTPS en Hvad er HTTPS og hvordan man aktiverer sikre forbindelser pr. Standard Hvad er HTTPS og hvordan man aktiverer sikre forbindelser pr. spreder sig vidt og bredt og har nået forkant i de fleste alles sind. Udtryk som antivirus eller firewall er ikke længere mærkeligt ordforråd og forstås ikke kun, men bruges også af ... - det yderligere “S” betyder, at det er et sikkert link HTTPS overalt: Brug HTTPS i stedet for HTTP, når det er muligt, HTTPS overalt: Brug HTTPS i stedet for HTTP, når det er muligt, og du er sikker på at betale for varer via webstedet. Hotmail, WordPress og endda Tumblr bruger SSL-certifikater.

Det er godt for forbrugeren (hvem ved, at deres data bliver behandlet ansvarsfuldt), og for sælgeren (som ikke kun drager fordel af køberens tillid, men også bliver rangeret højere af Google).

Intet er imidlertid ufejlbarligt, og nogle få SSL-fejl, der er blevet udsat for inden for det sidste år, vidner om det. Heldigvis bliver webbrowsing mere sikker igen ...

TLS-opgraderinger

Du har måske have set SSL og Transport Layer Security (TLS) brugt om hverandre, og selvom forskellene måske er subtile, forbliver de bemærkelsesværdige.

Begge bruger det samme system til kryptering af data og konfererer med certifikatmyndigheden (CA), før de opretter denne forbindelse. TLS er dog SSLs efterfølger, så det er grunden til, at TLS ville være sikrer. Faktisk stråler de tre inkarnationer - TLS 1.0, 1.1 og 1.2 - nogle af de sårbarheder, der findes i SSL-metoden.

TLS 1.3 har eksisteret siden 2008, men da manglerne i de tidligere versioner blev betragtet som så små, ville de ikke påvirke “virkelige verden” situationer, er det taget indtil for nylig for dens masseimplementering. I 2013 så det ud til, at selv National Security Agency (NSA) ikke var målrettet mod domæner, der kører TLS-protokoller, fordi så få faktisk brugte det. Men nu har et mandat fra PCIs Sikkerhedsråd tvunget ethvert websted, der overfører eller behandler kortholderinformation til opgradering.

Derudover understøtter alle større browsere - Google Chrome, Microsoft Edge, Safari, Firefox og Opera - TLS 1.2 som standard, så begge krypteringsniveauer garanteres. Bemærk dog, at mandatet ser ud til kun at gælde for betalingsoplysninger, ikke loginoplysninger.

Kryptering overalt

Opgradering af certifikater er kun nyttigt, hvis det er bredt vedtaget, og det er ikke tilfældet. Alle e-handelssteder har brug for sikkerhedspraksis, og flertallet skal virkelig have SSL eller TLS. Mange er afhængige af beskyttelsen af ​​tredjeparts betalingsprocessorer som PayPal (dette ser ud til at være et smuthul i PCIs sikkerhedsråds mandat), men hvis et websted accepterer privat information, skal det bruge et sikkert lag.

Hvis din forbindelse ikke er privat, kan data, inklusive e-mail-adresse og adgangskode, når du logger ind, erhverve af hackere. Og fordi de fleste har en tendens til at bruge de samme adgangskoder. De 7 mest almindelige taktik, der bruges til at hacke adgangskoder. De 7 mest almindelige taktik, der bruges til at hacke adgangskoder. Når du hører "sikkerhedsbrud", hvad er det der tænker på? En ondskabsfuld hacker? Et barn i kælderboligen? Virkeligheden er, at alt, hvad der kræves, er en adgangskode, og hackere har 7 måder at få din. på flere websteder (på trods af alle advarsler. 7 Adgangskodefejl, der sandsynligvis får dig til at blive hacket. 7 Adgangskodefejl, der sandsynligvis får dig hacket. De værste adgangskoder i 2015 er blevet frigivet, og de er ganske bekymrende. Men de viser, at det er absolut kritisk til styrke dine svage adgangskoder med blot et par enkle justeringer.), der kan være vigtig information.

Ikke desto mindre vedtager mange websteder ikke SSL-protokoller, fordi det kan være dyrt, og det kan være kompliceret. Det er her Symantecs program for kryptering overalt kommer ind.

Det amerikanske sikkerhedsfirma tilbyder en freemium-tjeneste, hvorved certifikatet opnås helt gratis med opgraderinger (som malware-scanninger) tilgængelige til en pris. Partnerskaber med hostingfirmaer tager kompleksiteten ud af hænderne på site-administratorer, mens automatiserede opdateringer strømline processen med at tackle eventuelle yderligere sårbarheder.

Dette er i et bud på at få 100% sikkerhedslag i brug inden 2018, så vi forventer, at det snart vil blive vedtaget af flertallet af websteder.

Lad os kryptere

Men vent! Symantec er ikke den eneste, der stræber efter web-dækkende SSL / TLS-kryptering.

Lad os kryptere ser ud til at køre på bølgen af ​​nyere mangler; lanceret for offentligheden i december 2015, har projektet allerede mange store internationale sponsorer, herunder Google Chrome, Mozilla, Facebook, Shopify, YunPian og Akamai. Drevet af Internet Security Research Group (ISRG), Let's Encrypt har denne måned udstedt mere end 5 millioner certifikater og projicerer 50% HTTPS-sidelastninger ved udgangen af ​​dette år.

Hvorfor viser Let's Encrypt sig populær? Simpelthen som det er gratis og automatiseret, hvilket betyder, at det er utroligt nemt for websteder at få certifikater og opgraderinger.

Initiativet starter med et nyt privat nøglepar og bevis for domæneejeren til CA; når dette er verificeret ved hjælp af ACME-protokollen (Automated Certificate Management Environment), kan webstedsoftwaren underskrive certifikatadministrationsmeddelelser med nøglen for at forny og tilbagekalde certifikater eller oprette nye til det samme domæne.

Vi har lige udstedt vores 5. million-certifikat!

- Lad os kryptere (@letsencrypt) 17. juni 2016

Let's Encrypt er uden tvivl det bedst kendte projekt, der tilbyder gratis certifikater, og mellem disse store programmer ser det bestemt ud til at være en troværdig sag.

konvergens

Du kan dog være desillusioneret med SSL-certifikater.

Deres omdømme er blevet beskadiget i de senere år: De fleste har i det mindste hørt om Heartbleed Heartbleed - Hvad kan du gøre for at forblive sikker? Heartbleed - Hvad kan du gøre for at være sikker? , en sårbarhed i open source-kryptografibiblioteket, OpenSSL, der giver hackere mulighed for at læse ukrypteret information. Heartbleed påvirkede en masse tjenester Digging Through the Hype: Har Heartbleed faktisk skadet nogen? At grave gennem hypen: Har Heartbleed faktisk skadet nogen? , men det var for to år siden Fem overtrædelser af dit privatliv i 2014, som du muligvis har gået glip af Fem overtrædelser af dit privatliv i 2014, som du måske har gået glip af Talrige publikationer afslørede i berømthedenes private liv i 2014, et år, hvor man også var i fokus lyste på offentligheden. Kan vi lære noget af disse overtrædelser? og en løsning er tilgængelig. Men så sidste år var der Superfish Lenovo Laptop-ejere Pas på: Din enhed kan have forudinstalleret Malware Lenovo Laptop-ejere Pas på: Din enhed kan have forudinstalleret Malware Den kinesiske computerproducent Lenovo har indrømmet, at laptops, der blev sendt til butikker og forbrugere i slutningen af ​​2014, havde malware forudinstalleret. , malware, der gjorde HTTPS-moot; også dette er blevet lappet Superfish er endnu ikke blevet fanget: SSL-kapring forklaret Superfish er ikke blevet fanget endnu: SSL-kapring forklaret Lenovos Superfish-malware forårsagede en opstemning, men historien er ikke forbi. Selv hvis du fjernede adware fra din computer, eksisterer den samme sårbarhed i andre online applikationer. .

Og det er heller ikke begrænset til din pc: Din smartphone-apps påvirkes 1.000 iOS-apps Har forkroget SSL-fejl: Hvordan kontrollerer du, om du er berørt 1.000 iOS-apps Har ødelæggende SSL-fejl: Hvordan kontrollerer du, om du er berørt AFNetworking-bug er hvilket giver iPhone- og iPad-brugere problemer, med 1000'erne af apps, der bærer en sårbarhed, hvilket resulterer i, at SSL-certifikater bliver korrekt godkendt, hvilket muligvis letter identitetstyveri gennem man-in-the-middle-angreb. af SSL-fejl også.

Konvergens er derefter en browser-tilføjelse, som mange forveksler med et system, der erstatter SSL-certifikater; mere end noget andet er det dog den næste fase for CA'er. I stedet for at have tillid til en CA, der garanterer for et websteds ægthed, henvender konvergens sig til notar-tjenester for at attestere webstedets sikkerhed.

Du besøger en HTTPS-adresse. Der er tre hovedresultater: alle notarer er enige om, at det er sikkert, i hvilket tilfælde du bruger webstedet; ikke alle er enige, men du kan gå med flertallet eller afvise webstedet, fordi du ikke har tillid til notarerne der gøre stå for det; eller i ekstreme tilfælde er de fleste eller alle notarerne enige om, at det ikke er til at stole på. På den måde er der ikke et enkelt mislykkelsespunkt.

Tænk på det på denne måde: det er en konvergens af meninger om, hvorvidt en bruger kan stole på HTTPS.

Hvordan bliver Internettet Securer?

Hvorfor henviser vi stadig til dem som SSL-certifikater? De burde bestemt være TLS-certifikater? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7. juni 2016

I en nøddeskal: SSL-certifikater, der godkender websteder, opgraderes til TLS, vigtigst af alt på domæner som PayPal, der beskæftiger sig med betalingsoplysninger. Disse rulles ud en masse, med det formål at bruge 100% HTTPS-brug i de næste par år. CA'erne revurderes også, og konvergens-tilføjelsen ser ud til at være et solidt stadium i at verificere, hvor pålideligt et websted er ved at stole på, at notarer er enige om.

Giver disse foranstaltninger dig tro på SSL igen? Gør du føle sikker indtastning af betalingsoplysninger online? Hvilke yderligere sikkerhedsprotokoller vil du gerne se vidt implementeret?

Billedkreditter: HTTPS (WeTransfer) af Christiaan Colen; og https af Sean MacEntee.




Endnu ingen kommentarer

Hacking Kan vinde lotteriet Kan det vinde en valg?
Sikkerhed
Er du en af ​​69 millioner hackede Dropbox-brugere?
Sikkerhed
Hvordan private efterforskere bruger internettet til at spore dig
Sikkerhed
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.