Skelbimas
Asmeninės informacijos, kuria mes dalijamės internetu, gausa išaugo eksponentiškai nuo 1994 m., Kai buvo pradėtas naudoti „Secure Sockets Layer“ (SSL) protokolas.
Internetas yra praplaukite slaptafrazėmis Kodėl slaptažodžiai vis dar geresni už slaptažodžius ir pirštų atspaudusPrisimenate, kada slaptažodžiai neturėjo būti sudėtingi? Kada PIN kodus buvo lengva atsiminti? Tų dienų nebėra, o kibernetinių nusikaltimų rizika reiškia, kad pirštų atspaudų skaitytuvai yra beveik nenaudingi. Laikas pradėti naudoti kodus ... Skaityti daugiau , kreditinės kortelės duomenys ir internetinės bankininkystės duomenys 6 bendrosios prasmės priežastys, kodėl turėtumėte banko sąskaitą internetu, jei dar nesate [nuomonė]Kaip jūs paprastai darote savo bankininkystę? Ar važiuojate į savo banką? Ar jūs laukiate ilgomis eilėmis, kad tik įneštumėte vieną čekį? Ar kas mėnesį gaunate popierines ataskaitas? Ar paduosi tuos ... Skaityti daugiau . Mes turime SSL sertifikatus, norėdami padėkoti už mūsų saugumą ir privatumą. Bet jūs tikriausiai girdėjote apie naujausius trūkumus, paneigusius jūsų pasitikėjimą kriptografiniu protokolu.
Laimei, SSL prisitaiko, yra tobulinamas ir keičiamas, kad suteiktumėte geresnę ramybę. Štai taip.
Kas vis dėlto yra SSL?
Pradėkime nuo kas tiksliai yra SSL Kas yra SSL sertifikatas ir ar jums jo reikia?Naršymas internete gali būti baisus, kai naudojama asmeninė informacija. Skaityti daugiau .
SSL sertifikatai yra skaitmeniniai autorizacijos dokumentai, kuriuos gali gauti organizacija ar asmuo, valdantis svetainę, kurioje nagrinėjama slapta informacija. Tai užtikrina, kad duomenis galima saugiai perkelti iš žiniatinklio serverio į naršyklę, kad ši informacija nebuvo perimta ir jos šaltiniai yra autentiški.
Patikrinkite, pavyzdžiui, „Amazon“. Pažvelkite į URL ir turėtumėte būti vietoj įprasto „HyperText Transfer Protocol“ (HTTP) adreso peradresuotas į HTTPS Kas yra HTTPS ir kaip įjungti saugius ryšius pagal nutylėjimąRūpesčiai dėl saugumo plinta toli ir plačiai ir yra žinomi daugumai visų pirma. Tokie terminai kaip antivirusinė ar ugniasienė nebėra keistas žodynas ir yra ne tik suprantami, bet ir vartojami ... Skaityti daugiau - tas papildomas „S“ reiškia saugią nuorodą HTTPS visur: naudokite HTTPS, o ne HTTP, kai įmanoma Skaityti daugiau , ir jūs galite saugiai mokėti už elementus per svetainę. „Hotmail“, „WordPress“ ir net „Tumblr“ naudoja SSL sertifikatus.
Tai puikiai tinka vartotojui (kuris žino, kad su jo duomenimis elgiamasi atsakingai) ir pardavėjui (kuris ne tik naudojasi pirkėjų pasitikėjimu, bet ir „Google“ vertinamas aukščiau).
Tačiau tai nėra nieko neklystantis ir tai patvirtina keletas SSL trūkumų, kurie buvo atskleisti tik praėjusiais metais. Laimei, naršymas internete vėl tampa saugesnis ...
TLS atnaujinimai
Galbūt būtumėte matę SSL ir transporto sluoksnių apsaugą (TLS), naudojamus pakaitomis, ir nors skirtumai galbūt yra menki, jie išlieka pastebimi.
Prieš užmezgant ryšį, abu naudoja tą pačią duomenų šifravimo sistemą ir tariasi su sertifikato institucija (CA). Vis dėlto TLS yra SSL įpėdinė, todėl suprantama, kad TLS būtų saugesnė. Iš tiesų, trys jos įsikūnijimai - TLS 1.0, 1.1 ir 1.2 - išsprendžia kai kuriuos pažeidimus, nustatytus taikant SSL metodą.
TLS 1.3 veikia nuo 2008 m., Tačiau buvo laikomi ankstesnių versijų trūkumais Miniatiūrinės, jos nepaveiktų „realaus pasaulio“ situacijų, jos masėms buvo imtasi visai neseniai įgyvendinimas. Faktiškai, atgal 2013 m, paaiškėjo, kad net Nacionalinė saugumo agentūra (NSA) nebuvo nukreipta į domenus, kuriuose vykdomi TLS protokolai, nes tik nedaugelis iš tikrųjų juo naudojosi. Tačiau dabar, PCI saugumo tarybos įgaliojimas privertė atnaujinti bet kurią svetainę, kuri perduoda ar apdoroja kortelių turėtojų informaciją.
Be to, visos pagrindinės naršyklės - „Google Chrome“, „Microsoft Edge“, „Safari“, „Firefox“ ir „Opera“ palaiko TLS 1.2 pagal numatytuosius nustatymus, kad šifravimo lygį užtikrintų abi šalys. Tačiau atminkite, kad įgaliojimas taikomas tik informacijai apie mokėjimą, o ne prisijungimo informacijai.
Šifravimas visur
Patobulinti pažymėjimus naudinga tik tuo atveju, jei jie yra plačiai priimami, ir taip nėra. Visoms el. Prekybos svetainėms reikalinga saugumo praktika, o dauguma jų turėtų turėti SSL ar TLS. Daugelis pasikliauja trečiųjų šalių mokėjimų tvarkytojų, tokių kaip PayPal, apsauga (atrodo, kad tai spraga) PCI saugumo tarybos mandatą), tačiau jei svetainė priima asmeninę informaciją, ji turėtų naudoti saugų sluoksnį.
Jei jūsų ryšys nėra privatus, duomenis, įskaitant el. Pašto adresą ir slaptažodį, prisijungdami gali gauti įsilaužėliai. Ir todėl, kad dauguma žmonių linkę naudoti tuos pačius slaptažodžius 7 dažniausiai naudojamos slaptažodžių nulaužimo taktikosKas iškyla, kai išgirsti „saugumo pažeidimą“? Piktybinis įsilaužėlis? Kažkuris rūsyje gyvenantis vaikas? Realybė yra tai, kad viskas, ko reikia, yra slaptažodis, o įsilaužėliai turi 7 būdus, kaip gauti jūsų. Skaityti daugiau keliose svetainėse (nepaisant visų perspėjimų 7 slaptažodžio klaidos, kurios greičiausiai jus nugirsBuvo paskelbti patys blogiausi 2015 m. Slaptažodžiai, ir jie kelia didelį nerimą. Bet jie rodo, kad labai svarbu sustiprinti silpnus slaptažodžius, atliekant tik keletą paprastų patarimų. Skaityti daugiau ), tai gali būti gyvybiškai svarbi informacija.
Nepaisant to, daugelis svetainių nepriima SSL protokolų, nes tai gali būti brangu ir sudėtinga. Štai kur įsijungia „Symantec“ šifravimo programa visur.
Amerikos apsaugos įmonė siūlo nemokamą paslaugą, kuria pažymėjimas gaunamas visiškai nemokamai, o atnaujinimus (pvz., Kenkėjiškų programų nuskaitymą) galima įsigyti už kainą. Partnerystė su prieglobos įmonėmis paverčia sudėtingas svetainių administratorių rankomis, o automatiniai atnaujinimai supaprastina visų kitų pažeidžiamumų šalinimo procesą.
Siekiama, kad iki 2018 m. Būtų naudojamas 100 proc. Saugumo lygmuo, todėl tikimės, kad dauguma svetainių jį greitai patvirtins.
Užšifruokime
Bet palauk! „Symantec“ nėra vienintelis, kuris siekia SSL / TLS šifravimo visame pasaulyje.
Panašu, kad „Let’s Encrypt“ eina į naujesnių trūkumų bangą; pradėtas viešinti 2015 m. gruodžio mėn., projektas jau turi daugybę pagrindinių tarptautinių rėmėjų, įskaitant „Google Chrome“, „Mozilla“, „Facebook“, „Shopify“, „YunPian“ ir „Akamai“. Internetinio saugumo tyrimų grupės (ISRG) vadovaujama „Let’s Encrypt“ šį mėnesį išdavė daugiau nei 5 milijonus sertifikatų ir iki šių metų pabaigos planuoja įkelti 50% HTTPS puslapių.
Kodėl „Leiskite šifruoti“ populiarumą? Tiesiog kaip nemokama ir automatizuota, tai reiškia, kad svetainėms yra nepaprastai lengva gauti sertifikatus ir atnaujinimus.
Iniciatyva prasideda nauja privačių raktų pora ir CA domeno savininko įrodymu; Kai tai bus patikrinta naudojant automatizuotą sertifikatų tvarkymo aplinkos (ACME) protokolą, svetainės programinė įranga gali pasirašyti pažymėjimų tvarkymo pranešimai su raktu, siekiant atnaujinti ir atšaukti pažymėjimus arba sukurti naujus domenas.
Ką tik išleidome savo 5 milijoną sertifikatą!
- Užšifruokime (@letsencrypt) 2016 m. Birželio 17 d
„Let’s Encrypt“ yra neabejotinai labiausiai žinomas projektas, siūlantis nemokamus sertifikatus, ir, be abejo, šioms didelėms programoms tai yra patikima priežastis.
Konvergencija
Tau gali tekti nusivilti SSL sertifikatais.
Jų reputacija buvo sugadinta pastaraisiais metais: dauguma jų bent jau turi girdėjo apie širdies plakimą Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau , atvirojo kodo kriptografijos bibliotekos „OpenSSL“ pažeidžiamumas, kuris leidžia įsilaužėliams skaityti nešifruotą informaciją. Širdies plakimas paveikė daugybę paslaugų Kasimas per hipę: ar širdis iš tikrųjų kam nors pakenkė? Skaityti daugiau , bet taip buvo prieš du metus Penki 2014 m. Jūsų privatumo pažeidimai, kuriuos galbūt praleidoteDaugybė publikacijų atskleidė apie įžymybių asmeninį gyvenimą 2014-aisiais, tais metais, kai dėmesio centre taip pat sužibėjo plačioji visuomenė. Ar galime sužinoti ko nors iš šių pažeidimų? Skaityti daugiau ir galimas taisymas. Bet tada pernai ten buvo Superfish „Lenovo“ nešiojamųjų kompiuterių savininkai saugokitės: jūsų įrenginyje gali būti iš anksto įdiegta kenkėjiška programaKinijos kompiuterių gamintojas „Lenovo“ pripažino, kad 2014 m. Pabaigoje parduotuvėse ir vartotojams pristatytuose nešiojamuosiuose kompiuteriuose iš anksto buvo įdiegta kenkėjiška programinė įranga. Skaityti daugiau , kenkėjiška programinė įranga, dėl kurios kilo HTTPS diskusija; tai taip pat buvo užtaisytas „Superfish“ dar nebuvo pagautas: SSL užgrobimas paaiškintas„Lenovo“ „Superfish“ kenkėjiška programa sukėlė sąmyšį, tačiau istorija dar nesibaigė. Net jei pašalinote reklaminę įrangą iš savo kompiuterio, tas pats pažeidžiamumas yra ir kitose internetinėse programose. Skaityti daugiau .
Ir tai neapsiriboja tik jūsų kompiuteriu: jūsų Tai turi įtakos išmaniųjų telefonų programoms 1 000 „iOS“ programų turi „Crippling SSL“ klaidą: kaip patikrinti, ar esate paveiktiDėl „AFNetworking“ klaidos kyla problemų „iPhone“ ir „iPad“ vartotojams, nes tūkstančiai programų turi pažeidžiamumą Teisingas SSL sertifikatų autentifikavimas - tai gali palengvinti tapatybės vagystę per „viduryje žmogaus“ išpuoliai. Skaityti daugiau taip pat SSL trūkumų.
Taigi konvergencija yra naršyklės priedas, kurį daugelis supainioja su sistema, kuri pakeičia SSL sertifikatus; daugiau nei bet kas, tačiau tai yra kitas CA etapas. Iš esmės, užuot pasitikėjęs viena CA, užtikrinančia svetainės autentiškumą, konvergencija kreipiasi į notaro paslaugos patvirtinti svetainės saugumą.
Jūs lankotės HTTPS adresą. Yra trys pagrindiniai rezultatai: visi notarai sutinka, kad tai saugu; tokiu atveju jūs naudojatės svetaine; ne visi sutinka, tačiau galite kreiptis su dauguma arba atmesti svetainę, nes nepasitikite tuo notarais daryti garantuoti už tai; arba kraštutiniais atvejais dauguma ar visi notarai sutinka, kad tai nėra pasitikima. Tokiu būdu nėra vieno nesėkmės taško.
Pagalvokite apie tai taip: tai nuomonių suartėjimas apie tai, ar vartotojas gali pasitikėti HTTPS.
Kaip internetas tampa saugesnis?
Kodėl mes vis dar juos vadiname SSL pažymėjimais? Ar tikrai jie turėtų būti TLS sertifikatai? #ssl#tls#MostBrowsersDontDoSSLAnymore
- Chrisas Pontas (@chrispont) 2016 m. Birželio 7 d
Riešuto apvalkale: svetainių autentifikavimo SSL sertifikatai yra modernizuojami į TLS, svarbiausia domenuose, tokiuose kaip „PayPal“, kuriuose nagrinėjama mokėjimo informacija. Jie yra plėtojami masiškai, turint tikslą 100% naudoti HTTPS per ateinančius kelerius metus. Taip pat iš naujo vertinamos CA, o konvergencijos priedas atrodo tvirtas etapas, kuriuo siekiama patikrinti, ar svetainė yra patikima, pasikliaudama notarais.
Ar šios priemonės vėl suteikia jums tikėjimo SSL? Ar tu jausti ar saugu įvesti išsamią mokėjimo informaciją internete? Kokius tolesnius saugumo protokolus norėtumėte pamatyti plačiai įgyvendinamus?
Vaizdo kreditai: HTTPS („WeTransfer“), autorius Christiaan Colen; ir Sean MacEntee, https.
Filmas Batesas, nežiūrėdamas televizijos, neskaitęs knygų apie „Marvel“ komiksus, klausydamasis „The Killers“ ir apsėstas scenarijaus idėjų, apsimeta esąs laisvai samdomas rašytojas. Jam patinka viską kolekcionuoti.