Как веб-браузер становится еще более безопасным

Реклама

Объем личной информации, которой мы обмениваемся в Интернете, экспоненциально вырос с 1994 года, когда появился протокол Secure Sockets Layer (SSL).

Интернет есть наводненный парольными фразами Почему парольные фразы лучше паролей и отпечатков пальцевПомните, когда пароли не должны были быть сложными? Когда ПИНы было легко запомнить? Те дни прошли, и киберпреступность означает, что сканеры отпечатков пальцев практически бесполезны. Пришло время начать использовать пароли ... Читать далее , данные кредитной карты и данные онлайн-банкинга 6 причин здравого смысла, почему вы должны делать банковские онлайн, если вы еще не [Мнение]Как вы обычно делаете свои банковские операции? Ты едешь в свой банк? Вы ждете в длинных очередях, чтобы внести один чек? Получаете ли вы ежемесячные бумажные выписки? Вы храните эти ... Читать далее . У нас есть сертификаты SSL, чтобы поблагодарить за нашу безопасность и конфиденциальность. Но вы, вероятно, слышали о недавних недостатках, которые подорвали ваше доверие к криптографическому протоколу.

К счастью, SSL адаптируется, обновляется и заменяется, чтобы обеспечить вам спокойствие. Вот как.

Что такое SSL в любом случае?

Давайте начнем с именно то, что SSL Что такое SSL-сертификат и нужен ли он вам?Просматривать Интернет может быть страшно, когда речь идет о личной информации. Читать далее .

Сертификаты SSL - это документы с цифровой авторизацией, которые могут быть получены организацией или частным лицом, управляющим сайтом, который имеет дело с конфиденциальной информацией. Это гарантирует, что данные могут безопасно передаваться между веб-сервером и браузером, что эта информация не была перехвачена и ее источники являются подлинными.

Проверьте Amazon, например. Посмотрите на URL, и вместо типичного адреса HTTP (HTTP), вы должны быть перенаправлен на HTTPS один Что такое HTTPS и как включить безопасные подключения по умолчаниюПроблемы безопасности распространяются повсеместно и достигли передовых позиций большинства людей. Такие термины, как антивирус или брандмауэр, больше не являются странным словарным запасом и не только понятны, но и используются ... Читать далее - что дополнительное «S» означает, что это безопасная ссылка HTTPS везде: при возможности используйте HTTPS вместо HTTP Читать далее и вы можете безопасно оплачивать покупки через сайт. Hotmail, WordPress и даже Tumblr используют SSL-сертификаты.

Это здорово для потребителя (который знает, что с его данными обращаются ответственно) и для продавца (который не только извлекает выгоду из доверия покупателей, но и получает более высокий рейтинг в Google).

Тем не менее, ничто не является непогрешимым, и некоторые недостатки SSL, выявленные в течение всего лишь последнего года, подтверждают это. К счастью, просмотр веб-страниц снова становится более безопасным ...

TLS Обновления

Возможно, вы видели, что SSL и безопасность транспортного уровня (TLS) используются взаимозаменяемо, и, хотя различия, возможно, незначительны, они по-прежнему заслуживают внимания.

Оба используют одну и ту же систему шифрования данных и связываются с центром сертификации (CA) перед установлением этого соединения. TLS, тем не менее, является преемником SSL, поэтому понятно, что TLS будет более безопасным. Действительно, три его воплощения - TLS 1.0, 1.1 и 1.2 - устраняют некоторые уязвимости, обнаруженные в методе SSL.

TLS 1.3 существует с 2008 года, но недостатки предыдущих версий считались они не будут влиять на ситуацию в реальном мире, до недавнего времени это было реализация. По факту, еще в 2013 годуОказалось, что даже Агентство национальной безопасности (АНБ) не предназначалось для доменов, использующих протоколы TLS, потому что очень немногие фактически использовали его. Теперь, однако, мандат Совета Безопасности PCI заставил любой сайт, который передает или обрабатывает информацию о держателях карт, обновляться.

Более того, все основные браузеры - Google Chrome, Microsoft Edge, Safari, Firefox и Opera - поддерживают TLS 1.2 по умолчанию, так что уровень шифрования гарантируется обеими сторонами. Обратите внимание, однако, что мандат, похоже, применяется исключительно для платежных реквизитов, а не для входа

Шифрование везде

Обновление сертификатов полезно только в том случае, если оно широко распространено, а это не так. Все сайты электронной коммерции нуждаются в мерах безопасности, и большинство из них действительно должны иметь SSL или TLS. Многие полагаются на защиту сторонних платежных систем, таких как PayPal (это похоже на лазейку в мандат Совета безопасности PCI), но если сайт принимает частную информацию, он должен использовать безопасный уровень.

Если ваше соединение не является частным, хакеры могут получить данные, включая адрес электронной почты и пароль, при входе в систему. И потому, что большинство людей склонны использовать одни и те же пароли 7 самых распространенных тактик, используемых для взлома паролейКогда вы слышите «нарушение безопасности», что приходит на ум? Злобный хакер? Какой-нибудь подвальный ребенок? На самом деле все, что нужно, это пароль, и у хакеров есть 7 способов получить ваш. Читать далее на нескольких сайтах (несмотря на все предупреждения 7 ошибок пароля, которые могут вас взломатьХудшие пароли 2015 года были выпущены, и они весьма тревожны. Но они показывают, что крайне важно усилить ваши слабые пароли, всего за несколько простых настроек. Читать далее ), это может быть важной информацией.

Тем не менее, многие сайты не принимают протоколы SSL, потому что это может быть дорого, и это может быть сложно. Вот где появляется программа Symantec Encryption Everywhere.

Американская охранная фирма предлагает бесплатную услугу, при которой сертификат получается совершенно бесплатно, а обновления (например, сканирование на наличие вредоносных программ) доступны по цене. Партнерские отношения с хостинговыми компаниями избавляют администраторов сайтов от сложностей, а автоматические обновления упрощают процесс устранения любых других уязвимостей.

Это делается для того, чтобы к 2018 году использовать 100% уровень безопасности, поэтому мы ожидаем, что он будет принят большинством сайтов очень скоро.

Давай зашифруем

Но ждать! Symantec не единственный, кто стремится к шифрованию SSL / TLS через Интернет.

Давайте зашифруем, кажется, на волне последних недостатков; Обнародованный в декабре 2015 года, проект уже имеет многочисленных крупных международных спонсоров, включая Google Chrome, Mozilla, Facebook, Shopify, YunPian и Akamai. Управляемая исследовательской группой по безопасности в Интернете (ISRG), Let's Encrypt в этом месяце выпустила более 5 миллионов сертификатов и прогнозирует 50-процентную загрузку HTTPS-страниц к концу этого года.

Почему Let's Encrypt становится популярным? Просто потому, что он бесплатный и автоматизированный, что означает, что сайтам невероятно легко получать сертификаты и обновления.

Эта инициатива начинается с новой пары закрытых ключей и подтверждения владельца домена в ЦС; как только это проверено с использованием протокола Автоматизированной среды управления сертификатами (ACME), программное обеспечение сайта может подписать сообщения управления сертификатами с ключом для возобновления и отзыва сертификатов или создания новых для них домен.

Мы только что выпустили наш 5-миллионный сертификат!

- Давайте зашифровать (@letsencrypt) 17 июня 2016 г.

Возможно, Encrypt, возможно, самый известный проект, предлагающий бесплатные сертификаты, и между этими основными программами он, безусловно, заслуживает доверия.

конвергенция

Однако вы можете разочароваться в SSL-сертификатах.

Их репутация была повреждена в последние годы: большинство из них по крайней мере слышал о Heartbleed Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Читать далее уязвимость в библиотеке криптографии с открытым исходным кодом OpenSSL, которая позволяет хакерам читать незашифрованную информацию. Сердцебиение сказалось на многих услугах Копаться в ажиотаже: действительно ли кто-нибудь навредил сердечному кровотечению? Читать далее но это было два года назад Пять нарушений вашей конфиденциальности в 2014 году, которые вы, возможно, пропустилиМногочисленные публикации были раскрыты в личной жизни знаменитостей в 2014 году, год, в котором центр внимания также освещался широкой публикой. Можем ли мы чему-нибудь научиться из этих нарушений? Читать далее и исправление доступно. Но в прошлом году был суперфиш Владельцы ноутбуков Lenovo остерегаются: на вашем устройстве может быть предустановлено вредоносное ПОКитайский производитель компьютеров Lenovo признал, что на ноутбуках, поставляемых в магазины и потребителям в конце 2014 года, предустановлено вредоносное ПО. Читать далее вредоносное ПО, которое показало спор HTTPS; это тоже, был исправлен Superfish еще не пойман: объяснение взлома SSLВредоносная программа Lenovo Superfish вызвала сенсацию, но история еще не закончена. Даже если вы удалили рекламное ПО со своего компьютера, такая же уязвимость существует и в других онлайн-приложениях. Читать далее .

И это не ограничивается вашим компьютером: ваш затронуты приложения для смартфонов В 1000 приложениях iOS есть ошибка SSL: как проверить, не затронуты ли выОшибка AFNetworking создает проблемы для пользователей iPhone и iPad, а тысячи приложений имеют уязвимость, приводящую к Сертификаты SSL от правильной аутентификации, потенциально способствующие краже идентификационных данных через посредника атаки. Читать далее по недостаткам SSL тоже.

Таким образом, конвергенция - это надстройка браузера, которую многие путают с системой, которая заменяет сертификаты SSL; более всего, однако, это следующий этап для ЦС. По сути, вместо того, чтобы доверять одному CA, подтверждающему подлинность сайта, Convergence превращается в услуги нотариуса чтобы подтвердить безопасность сайта.

Вы посещаете адрес HTTPS. Есть три основных результата: все нотариусы соглашаются, что это безопасно, и в этом случае вы используете сайт; не все согласны, но вы можете пойти с большинством или отклонить сайт, потому что вы не доверяете нотариусам, которые делать ручаться за это; или в крайних случаях большинство или все нотариусы соглашаются с тем, что ему нельзя доверять. Таким образом, нет единой точки отказа.

Думайте об этом так: это сближение мнений о том, может ли пользователь доверять HTTPS.

Как интернет становится безопаснее?

Почему мы до сих пор называем их SSL-сертификатами? Конечно, они должны быть сертификаты TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Крис Понт (@chrispont) 7 июня 2016 г.

В скорлупе: SSL-сертификаты, которые аутентифицируют сайты, обновляются до TLS, что особенно важно в таких доменах, как PayPal, которые обрабатывают платежную информацию. Эти разворачиваются в массес целью 100% использования HTTPS в ближайшие несколько лет. CA также подвергаются переоценке, и надстройка Convergence представляет собой твердую стадию проверки надежности сайта, полагаясь на то, что нотариусы согласны.

Эти меры дают вам веру в SSL снова? Вы Чувствовать безопасный ввод платежных реквизитов онлайн? Какие еще протоколы безопасности вы хотели бы видеть широко внедренными?

Кредиты изображений: HTTPS (WeTransfer) Кристиан Колен; а также https от Шона Макэнти.