Hur webbsökning blir ännu säkrare

Hur webbsökning blir ännu säkrare / säkerhet

Den rikedom av personlig information vi delar på nätet har vuxit exponentiellt sedan 1994, inledningen av SSL-protokollet Secure Sockets Layer.

Internet är övertygat om passfraser Varför passfraser är ännu bättre än lösenord och fingeravtryck Varför passfraser är ännu bättre än lösenord och fingeravtryck Kom ihåg när lösenord inte behövde vara komplicerat? När PIN-kod var lätt att komma ihåg? De dagarna är borta, och riskerna för cyberkriminalitet betyder att fingeravtrycksscannrar är bredvid värdelösa. Det är dags att börja använda lösenkoder ... Läs mer, kreditkortsuppgifter och online-bankdata 6 Vanliga sinnen Skälet till att du borde banka online om du inte redan är [Yttrande] 6 Vanliga sinnen Skulle du borde betala online om du inte är Redan [Yttrande] Hur brukar du göra din bank? Rider du till din bank? Väntar du länge, bara för att sätta in en check? Får du månatliga pappersutlåtanden? Filer du bort dem ... Läs mer. Vi har SSL-certifikat för att tacka för vår säkerhet och integritet. Men du har nog hört talas om de senaste bristerna som har dämpat din förtroende för kryptografiska protokollet.

Lyckligtvis anpassas SSL, uppgraderas och ersätts för att ge dig bättre sinnesro. Här är hur.

Vad är SSL ändå?

Låt oss börja med exakt vad SSL är Vad är ett SSL-certifikat och behöver du? Vad är ett SSL-certifikat och behöver du? Att surfa på Internet kan vara skrämmande när personuppgifter är inblandade. Läs mer .

SSL-certifikat är digitala behörighetsdokument som kan erhållas av en organisation eller enskild som kör en webbplats som behandlar känslig information. Det säkerställer att data kan transporteras säkert mellan webbservern och webbläsaren, att denna information inte har tagits upp och dess källor är äkta.

Kolla in Amazon, till exempel. Titta på webbadressen och istället för en typisk HTTP-adress (HyperText Transfer Protocol), bör du omdirigeras till en HTTPS-en. Vad är HTTPS och hur du aktiverar säkra anslutningar per standard. Vad är HTTPS och hur du aktiverar säkra anslutningar per standard säkerhetsproblem sprider sig alldeles bred och har nått framsteg för mest allas sinne. Villkor som antivirus eller brandvägg är inte längre märkliga ordförråd och förstås inte bara, men används också av ... Läs mer - det extra “S” betyder att det är en säker länk HTTPS Överallt: Använd HTTPS istället för HTTP när det är möjligt HTTPS överallt: Använd HTTPS istället för HTTP när det är möjligt Läs mer, och du är säker på att betala för artiklar via webbplatsen. Hotmail, WordPress och även Tumblr använder SSL-certifikat.

Det är bra för konsumenten (vem vet att deras data behandlas på ett ansvarsfullt sätt), och för säljaren (som inte bara drar nytta av köparens förtroende, men också rankas högre av Google).

Men ingenting är ofrånkomligt, och några SSL-brister utsatta inom just det senaste året intygar det. Lyckligtvis blir webbläsning igen säkrare ...

TLS uppgraderingar

Du kanske har sett SSL och Transport Layer Security (TLS) används omväxlande, och medan skillnaderna är kanske subtila, är de fortfarande anmärkningsvärda.

Båda använder samma system för att kryptera data och tilldela certifikatutfärdaren (CA) innan den gör anslutningen. TLS är dock SSL: s efterträdare, så det betyder att TLS skulle vara säkrare. Faktum är att dess tre inkarnationer - TLS 1.0, 1.1 och 1.2 - stryker ut några av de sårbarheter som finns i SSL-metoden.

TLS 1.3 har funnits sedan 2008, men eftersom bristerna i tidigare versioner ansågs så minimala skulle de inte påverka “verkliga världen” situationer, det är taget tills mycket nyligen för dess massimplementering. I själva verket tillbaka 2013 visade det sig att även National Security Agency (NSA) inte riktar in domäner som kör TLS-protokoll, eftersom så få faktiskt använde det. Nu har dock ett mandat från PCI: s säkerhetsråd tvingat någon webbplats som överför eller behandlar kortinnehavsinformation till uppgradering.

Dessutom är alla större webbläsare - Google Chrome, Microsoft Edge, Safari, Firefox och Opera - som standard TLS 1.2, så att krypteringen är säker på båda parter. Observera dock att mandatet tycks gälla endast för betalningsinformation, inte inloggningsinformation.

Kryptering överallt

Uppgraderingscertifikat är endast användbart om det är allmänt antaget, och det är inte så. Alla e-handelswebbplatser behöver säkerhetspraxis, och majoriteten borde verkligen ha SSL eller TLS. Många litar på skyddet av betalningspartners från tredje part, som PayPal (det här verkar vara ett smutthål i PCI: s säkerhetsråds mandat), men om en webbplats accepterar privat information ska den använda ett säkert lager.

Om din anslutning inte är privat kan data inklups med e-postadress och lösenord när du loggar in förvärvas av hackare. Och eftersom de flesta brukar använda samma lösenord De 7 vanligaste taktiken som används för att hämta lösenord De 7 vanligaste taktiken som används för att hämta lösenord När du hör "säkerhetsbrott", vad händer i åtanke? En illvillig hacker? Några källare-boende barn? Verkligheten är, allt som behövs är ett lösenord, och hackare har 7 sätt att få din. Läs mer på flera webbplatser (trots alla varningar 7 Lösenordsfel som sannolikt kommer att få dig hackad 7 Lösenordsmissor som sannolikt kommer att få dig hackade De värsta lösenorden för 2015 har släppts och de är ganska oroande. Men de visar att det är absolut kritiskt för att stärka dina svaga lösenord, med bara några enkla tweaks. Läs mer), det kan vara viktig information.

Ändå adopterar många webbplatser inte SSL-protokoll eftersom det kan vara dyrt och det kan vara komplicerat. Det är där Symantecs program Encryption Everywhere kommer in.

Det amerikanska säkerhetsföretaget erbjuder en freemium-tjänst, där certifikatet erhålls helt gratis, med uppgraderingar (som skadliga program) finns till en kostnad. Partnerskap med värdföretag tar komplexiteten ut ur händerna på webbplatsadministratörer, medan automatiserade uppdateringar effektiviserar processen för att ta itu med eventuella ytterligare sårbarheter.

Detta är ett försök att få 100% säkerhetslaganvändning senast 2018, så vi förväntar oss att det antas av de flesta webbplatser snart.

Låt oss kryptera

Men vänta! Symantec är inte den enda som strävar efter webbsänd SSL / TLS-kryptering.

Låt oss kryptera verkar rida våg av nyare brister; lanserat till allmänheten i december 2015 har projektet redan flera stora internationella sponsorer, inklusive Google Chrome, Mozilla, Facebook, Shopify, YunPian och Akamai. Kör av Internet Security Research Group (ISRG), Let's Encrypt har i denna månad utfärdat mer än 5 miljoner certifikat och projicerar 50% HTTPS-sidladdningar i slutet av detta år.

Varför är Låt oss kryptera bevisa populär? Helt enkelt eftersom det är gratis och automatiserat, vilket betyder att det är otroligt enkelt för webbplatser att få certifikat och uppgraderingar.

Initiativet börjar med ett nytt privat nyckelpar och bevis på domänägaren till CA; När det här är verifierat med ACME-protokollet (Automated Certificate Management Environment) kan webbplatsprogrammet skriva under certifikathanteringsmeddelanden med nyckeln för att förnya och återkalla certifikat eller skapa nya för samma domän.

Vi har precis utfärdat vårt 5 miljoner certifikat!

- Låt oss kryptera (@letsencrypt) 17 juni 2016

Låt oss kryptera är förmodligen det mest kända projektet att erbjuda gratis certifikat, och mellan dessa stora program verkar det säkert vara en pålitlig orsak.

Konvergens

Du kanske är desillusionerad med SSL-certifikat.

Deras rykte har blivit skadat de senaste åren. De flesta har åtminstone hört talas om Heartbleed Heartbleed - vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer, en sårbarhet i open-source krypteringsbiblioteket, OpenSSL, vilket tillåter hackare att läsa okrypterad information. Heartbleed påverkade många tjänster Grävning genom Hype: Har Heartbleed faktiskt skadat någon? Gräva genom Hype: Har Heartbleed skadat någonting? Läs mer, men det var för två år sedan Fem brott mot din integritet 2014, att du kanske har missat fem överträdelser mot din integritet 2014 som du kanske har missat Många publikationer upplevde i personliga liv av kändisar 2014, ett år i vilket de strålkastare skenade också på allmänheten. Kan vi lära oss allt från dessa överträdelser? Läs mer och en fix är tillgänglig. Men då förra året var det Superfish Lenovo bärbara ägare Varning: Din enhet kan ha förinstallerad skadlig kod Lenovo bärbara ägare Var uppmärksam: Din enhet kan ha förinstallerad skadlig kod Kinesisk datortillverkare Lenovo har medgett att bärbara datorer levereras till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerad. Läs mer, skadlig kod som gjordes HTTPS moot; Det här har också blivit patchat Superfish har inte blivit fängt än: SSL Hijacking Explained Superfish har inte blivit fängt än: SSL Hijacking förklaras Lenovos Superfish malware orsakade en röra, men historien är inte över. Även om du har tagit bort adware från din dator finns samma sårbarhet i andra onlineapplikationer. Läs mer .

Och det är inte heller begränsat till din dator: din smartphone-applikation påverkas 1.000 iOS-apparater Har Crippling SSL-fel: Hur kontrolleras om du påverkas 1.000 iOS-apparater har förkrossande SSL-fel: Hur man kontrollerar om du påverkas AFNetworking-felet är vilket ger iPhone- och iPad-användare problem, med tusentals appar som bär en sårbarhet som resulterar i att SSL-certifikaten blir korrekt autentiserade, vilket möjliggör identitetsstöld genom man-i-mitten-attacker. Läs mer av SSL brister också.

Konvergens är då en webbläsaretillägg som många förvirrar med ett system som ersätter SSL-certifikat. mer än vad som helst, det är nästa steg för CA: erna. I huvudsak, i stället för att lita på en CA-godkännande för en webbplatss äkthet, vänder konvergensen till notarie tjänster för att intyga webbplatsens säkerhet.

Du besöker en HTTPS-adress. Det finns tre huvudresultat: alla notarius publicus är överens om att det är säkert, i vilket fall använder du webbplatsen; inte alla är överens, men du kan gå med majoriteten eller avvisa webbplatsen eftersom du inte litar på notarius publicus som do försäkra dig om det; eller i extrema fall är de flesta eller alla notarier överens om att de inte är betroda. På så sätt finns det ingen enda misslyckande punkt.

Tänk på det på så vis: det är en konvergens av åsikter om huruvida en användare kan lita på HTTPS.

Hur blir Internet Säkerare?

Varför hänvisar vi fortfarande till dem som SSL-certifikat? Visst borde de vara TLS-certifikat? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 juni 2016

I ett mutterskal: SSL-certifikaten som autentiserar webbplatser uppgraderas till TLS, viktigast av domäner som PayPal som behandlar betalningsinformation. Dessa rullas ut en massa, med sikte på 100% HTTPS-användning under de närmaste åren. Även CA: erna omprövas och konvergenstillägget framstår som ett solidt stadium för att verifiera hur pålitlig en webbplats är genom att förlita sig på notarier för att komma överens.

Ger dessa åtgärder dig tro på SSL igen? Gör du känna Säker inmatning av betalningsuppgifter online? Vilka ytterligare säkerhetsprotokoll skulle du vilja se omfattande implementering?

Bildkrediter: HTTPS (WeTransfer) av Christiaan Colen; och https av Sean MacEntee.

Utforska mer om: Kryptering, SSL.