Содержание
Объем личной информации, которой мы обмениваемся в Интернете, экспоненциально вырос с 1994 года, когда появился протокол Secure Sockets Layer (SSL).
Интернет наводнен парольными фразами
, данные кредитной карты и данные онлайн-банкинга
, У нас есть сертификаты SSL, чтобы поблагодарить за нашу безопасность и конфиденциальность. Но вы, вероятно, слышали о недавних недостатках, которые подорвали ваше доверие к криптографическому протоколу.
К счастью, SSL адаптируется, обновляется и заменяется, чтобы обеспечить вам спокойствие. Вот как.
Что такое SSL в любом случае?
Давайте начнем с того, что такое SSL
,
Сертификаты SSL — это документы с цифровой авторизацией, которые могут быть получены организацией или частным лицом, управляющим сайтом, который имеет дело с конфиденциальной информацией. Это гарантирует, что данные могут безопасно передаваться между веб-сервером и браузером, что эта информация не была перехвачена и ее источники являются подлинными.
Проверьте Amazon, например. Посмотрите на URL, и вместо обычного адреса HTTP (HTTP) вы должны быть перенаправлены на HTTPS.
— эта дополнительная буква «S» означает безопасную связь
и вы можете безопасно оплачивать покупки через сайт. Hotmail, WordPress и даже Tumblr используют SSL-сертификаты.
Это здорово для потребителя (который знает, что с его данными обращаются ответственно) и для продавца (который не только получает выгоду от доверия покупателей, но и получает более высокий рейтинг в Google).
Тем не менее, нет ничего непогрешимого, и несколько недостатков SSL, выявленных в течение всего лишь последнего года, подтверждают это. К счастью, просмотр веб-страниц снова становится более безопасным …
TLS Обновления
Возможно, вы видели, что SSL и безопасность транспортного уровня (TLS) используются взаимозаменяемо, и, хотя различия, возможно, незначительны, они по-прежнему заслуживают внимания.
Оба используют одну и ту же систему шифрования данных и связываются с центром сертификации (CA) перед установлением этого соединения. TLS, тем не менее, является преемником SSL, поэтому понятно, что TLS будет более безопасным. Действительно, три его варианта — TLS 1.0, 1.1 и 1.2 — устраняют некоторые уязвимости, обнаруженные в методе SSL.
TLS 1.3 существует с 2008 года, но, поскольку недостатки предыдущих версий считались настолько незначительными, что они не повлияли бы на «реальные» ситуации, до недавнего времени он использовался для массового внедрения. Фактически, еще в 2013 году оказалось, что даже Агентство национальной безопасности (АНБ) не нацеливалось на домены, использующие протоколы TLS, потому что очень немногие фактически использовали его. Теперь, однако, мандат Совета Безопасности PCI заставил любой сайт, который передает или обрабатывает информацию о держателях карт, обновляться.
Более того, все основные браузеры — Google Chrome, Microsoft Edge, Safari, Firefox и Opera — поддерживают TLS 1.2 по умолчанию, поэтому уровень шифрования гарантируется обеими сторонами. Однако обратите внимание, что мандат, по-видимому, применяется исключительно для платежных реквизитов, а не для входа.
Шифрование везде
Обновление сертификатов полезно только в том случае, если оно широко распространено, а это не так. Все сайты электронной коммерции нуждаются в мерах безопасности, и большинство из них действительно должны иметь SSL или TLS. Многие полагаются на защиту сторонних платежных процессоров, таких как PayPal (это кажется лазейкой в мандате Совета Безопасности PCI), но если сайт принимает частную информацию, он должен использовать безопасный уровень.
Если ваше соединение не является частным, хакеры могут получить данные, включая адрес электронной почты и пароль, при входе в систему. И потому, что большинство людей, как правило, используют одни и те же пароли
на нескольких сайтах (несмотря на все предупреждения
), это может быть важной информацией.
Тем не менее, многие сайты не принимают протоколы SSL, потому что это может быть дорого, и это может быть сложно. Вот где появляется программа Symantec Encryption Everywhere.
Американская охранная фирма предлагает бесплатную услугу, при которой сертификат получается совершенно бесплатно, а обновления (например, сканирование на наличие вредоносных программ) доступны по цене. Партнерские отношения с хостинговыми компаниями избавляют администраторов сайтов от сложностей, а автоматические обновления упрощают процесс устранения любых других уязвимостей.
Это делается для того, чтобы к 2018 году использовать 100% уровень безопасности, поэтому мы ожидаем, что он будет принят большинством сайтов в ближайшее время.
Давай зашифруем
Но ждать! Symantec не единственный, кто стремится к шифрованию SSL / TLS через Интернет.
Давайте зашифруем, кажется, на волне новых недостатков; Обнародованный в декабре 2015 года, проект уже имеет многочисленных крупных международных спонсоров, включая Google Chrome, Mozilla, Facebook, Shopify, YunPian и Akamai. Управляемая исследовательской группой по безопасности в Интернете (ISRG), в этом месяце Let’s Encrypt выпустила более 5 миллионов сертификатов и прогнозирует 50-процентную загрузку HTTPS-страниц к концу этого года.
Почему Let’s Encrypt становится популярным? Просто потому, что он бесплатный и автоматизированный, что означает, что сайтам невероятно легко получать сертификаты и обновления.
Эта инициатива начинается с новой пары закрытых ключей и подтверждения владельца домена в ЦС; как только это проверено с использованием протокола Automated Certificate Management Environment (ACME), программное обеспечение сайта может подписывать сообщения управления сертификатами ключом, чтобы возобновлять и отзывать сертификаты, или создавать новые для того же домена.
Мы только что выпустили наш 5-миллионный сертификат!
— Let’s Encrypt (@letsencrypt) 17 июня 2016 г.
Пусть Encrypt, пожалуй, самый известный проект, предлагающий бесплатные сертификаты, и между этими крупными программами он, безусловно, заслуживает доверия.
конвергенция
Однако вы можете разочароваться в SSL-сертификатах.
Их репутация пострадала в последние годы: большинство по крайней мере слышали о Heartbleed
уязвимость в библиотеке криптографии с открытым исходным кодом, OpenSSL, которая позволяет хакерам читать незашифрованную информацию. Сердцебиение сказалось на многих услугах
но это было два года назад
и исправление доступно. Но тогда в прошлом году появился Superfish
вредоносное ПО, которое показало спор HTTPS; это тоже было исправлено
,
И это не ограничивается вашим ПК: это влияет на ваши приложения для смартфонов
по недостаткам SSL тоже.
Таким образом, конвергенция — это надстройка браузера, которую многие путают с системой, которая заменяет сертификаты SSL; более всего, однако, это следующий этап для ЦС. По сути, вместо того, чтобы доверять одному ЦС, подтверждающему подлинность сайта, Convergence обращается к нотариальным услугам, чтобы подтвердить безопасность сайта.
Вы посещаете HTTPS-адрес. Есть три основных результата: все нотариусы соглашаются, что это безопасно, и в этом случае вы используете сайт; не все согласны, но вы можете согласиться с большинством или отклонить сайт, потому что вы не доверяете нотариусам, которые ручаются за него; или в крайних случаях большинство или все нотариусы соглашаются с тем, что ему нельзя доверять. Таким образом, нет единой точки отказа.
Думайте об этом так: это сближение мнений о том, может ли пользователь доверять HTTPS.
Как интернет становится безопаснее?
Почему мы до сих пор называем их SSL-сертификатами? Наверняка у них должны быть сертификаты TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore
— Крис Пон (@chrispont) 7 июня 2016 г.
В скорлупе: SSL-сертификаты, которые аутентифицируют сайты, обновляются до TLS, что особенно важно в таких доменах, как PayPal, которые обрабатывают платежную информацию. Они развернуты в массовом порядке с целью 100% -ного использования HTTPS в ближайшие несколько лет. Центры сертификации также подвергаются переоценке, и надстройка Convergence представляет собой солидную стадию проверки надежности сайта, полагаясь на то, что нотариусы соглашаются.
Эти меры дают вам веру в SSL снова? Вы чувствуете себя в безопасности, вводя данные оплаты онлайн? Какие еще протоколы безопасности вы хотели бы видеть широко внедренными?
Изображение предоставлено: HTTPS (WeTransfer) Кристианом Коленом; и https от Шона Макэнти.
