Безопасность

Как веб-браузер становится еще более безопасным

Как веб-браузер становится еще более безопасным

Объем личной информации, которой мы обмениваемся в Интернете, экспоненциально вырос с 1994 года, когда появился протокол Secure Sockets Layer (SSL).

Интернет наводнен фразами фразы фразы , данные кредитной карты и данные онлайн-банкинга . У нас есть сертификаты SSL, чтобы поблагодарить за нашу безопасность и конфиденциальность. Но вы, вероятно, слышали о недавних недостатках, которые подорвали ваше доверие к криптографическому протоколу.

К счастью, SSL адаптируется, обновляется и заменяется, чтобы обеспечить вам спокойствие. Вот как.

Что такое SSL в любом случае?

Давайте начнем с того , что такое SSL.

Сертификаты SSL — это документы с цифровой авторизацией, которые могут быть получены организацией или частным лицом, управляющим сайтом, который имеет дело с конфиденциальной информацией. Это гарантирует, что данные могут безопасно передаваться между веб-сервером и браузером, что эта информация не была перехвачена и ее источники являются подлинными.

Проверьте Amazon, например. Посмотрите на URL, и вместо типичного адреса протокола передачи гипертекста (HTTP) вы должны быть перенаправлены на HTTPS. — этот дополнительный «S» означает, что это защищенная связь , и вы можете безопасно оплачивать покупки через сайт. Hotmail, WordPress и даже Tumblr используют SSL-сертификаты.

Это здорово для потребителя (который знает, что с его данными обращаются ответственно) и для продавца (который не только извлекает выгоду из доверия покупателей, но и получает более высокий рейтинг в Google).

Тем не менее, нет ничего непогрешимого, и несколько недостатков SSL, выявленных в течение всего лишь последнего года, подтверждают это. К счастью, просмотр веб-страниц снова становится более безопасным …

TLS Обновления

Возможно, вы видели, что SSL и безопасность транспортного уровня (TLS) используются взаимозаменяемо, и, хотя различия, возможно, незначительны, они по-прежнему заслуживают внимания.

17976028193_ca46369a35_z

Оба используют одну и ту же систему шифрования данных и связываются с центром сертификации (CA) перед установлением этого соединения. TLS, тем не менее, является преемником SSL, поэтому понятно, что TLS будет более безопасным. Действительно, три его воплощения — TLS 1.0, 1.1 и 1.2 — устраняют некоторые уязвимости, обнаруженные в методе SSL.

TLS 1.3 существует с 2008 года, но, поскольку недостатки предыдущих версий считались настолько незначительными, что они не повлияли бы на ситуации «реального мира», до недавнего времени он использовался для массового внедрения. На самом деле, еще в 2013 году оказалось, что даже Агентство национальной безопасности (АНБ) не предназначалось для доменов, использующих протоколы TLS, потому что очень немногие фактически использовали его. Теперь, однако, мандат Совета Безопасности PCI вынудил любой сайт, который передает или обрабатывает информацию о держателях карт, обновляться.

Более того, все основные браузеры — Google Chrome, Microsoft Edge, Safari, Firefox и Opera — поддерживают TLS 1.2 по умолчанию, поэтому уровень шифрования гарантируется обеими сторонами. Обратите внимание, однако, что мандат, похоже, применяется исключительно для платежных реквизитов, а не для входа в систему.

Шифрование везде

Обновление сертификатов полезно только в том случае, если оно широко распространено, а это не так. Все сайты электронной коммерции нуждаются в мерах безопасности, и большинство из них действительно должны иметь SSL или TLS. Многие полагаются на защиту сторонних платежных процессоров, таких как PayPal (это кажется лазейкой в ​​мандате Совета Безопасности PCI), но если сайт принимает личную информацию, он должен использовать безопасный уровень.

Шифрование везде

Если ваше соединение не является конфиденциальным, хакеры могут получить данные, включая адрес электронной почты и пароль, при входе в систему. И поскольку большинство людей склонны использовать одни и те же пароли на нескольких сайтах ( несмотря на все предупреждения ), которые могут быть важной информацией.

Тем не менее, многие сайты не принимают протоколы SSL, потому что это может быть дорого, и это может быть сложно. Вот где появляется программа Symantec Encryption Everywhere.

Американская охранная фирма предлагает бесплатную услугу, при которой сертификат получается совершенно бесплатно, а обновления (например, сканирование на наличие вредоносных программ) доступны по цене. Партнерские отношения с хостинговыми компаниями избавляют администраторов сайтов от сложностей, а автоматические обновления упрощают процесс устранения любых других уязвимостей.

Это делается для того, чтобы к 2018 году использовать 100% уровень безопасности, поэтому мы ожидаем, что он будет принят большинством сайтов очень скоро.

Давайте зашифруем

Но ждать! Symantec не единственная, кто стремится к шифрованию SSL / TLS через Интернет.

Позволяет зашифровать

Let’s Encrypt, кажется, катается на волне более поздних недостатков; Обнародованный в декабре 2015 года, проект уже имеет многочисленных крупных международных спонсоров, включая Google Chrome, Mozilla, Facebook, Shopify, YunPian и Akamai. Управляемая исследовательской группой по безопасности в Интернете (ISRG), в этом месяце Let’s Encrypt выпустила более 5 миллионов сертификатов и прогнозирует 50-процентную загрузку HTTPS-страниц к концу этого года.

Почему Let’s Encrypt доказывает свою популярность? Просто потому, что это бесплатно и автоматизировано, а это значит, что сайты невероятно легко получают сертификаты и обновления.

Эта инициатива начинается с новой пары закрытых ключей и подтверждения владельца домена в ЦС; как только это проверено с использованием протокола Automated Certificate Management Environment (ACME), программное обеспечение сайта может подписывать сообщения управления сертификатами ключом, чтобы возобновлять и отзывать сертификаты, или создавать новые для того же домена.

Let’s Encrypt, пожалуй, самый известный проект, предлагающий бесплатные сертификаты, и между этими крупными программами это, безусловно, заслуживает доверия.

конвергенция

Однако вы можете разочароваться в SSL-сертификатах.

Их репутация была подорвана в последние годы: большинство по крайней мере слышали о Heartbleed , уязвимость в библиотеке криптографии с открытым исходным кодом, OpenSSL, которая позволяет хакерам читать незашифрованную информацию. Heartbleed повлиял на многие сервисы. , но это было два года назад и исправление доступно. Но тогда, в прошлом году, было замечено: « , вредоносная программа, которая сделала HTTPS спорным; это также было исправлено.

15944989872_b958dc5552_z

Кроме того, он не ограничивается вашим ПК: на приложения для вашего смартфона повлияло не подвержены по недостаткам SSL тоже.

Таким образом, конвергенция — это надстройка браузера, которую многие путают с системой, которая заменяет сертификаты SSL; более всего, однако, это следующий этап для ЦС. По сути, вместо того, чтобы доверять одному CA, подтверждающему подлинность сайта, Convergence обращается к нотариальным службам, чтобы подтвердить безопасность сайта.

Вы посещаете HTTPS-адрес. Есть три основных результата: все нотариусы соглашаются, что это безопасно, и в этом случае вы используете сайт; не все согласны, но вы можете согласиться с большинством или отклонить сайт, потому что вы не доверяете нотариусам, которые ручаются за него; или в крайних случаях, большинство или все нотариусы соглашаются, что этому нельзя доверять. Таким образом, нет единой точки отказа.

Думайте об этом так: это сближение мнений о том, может ли пользователь доверять HTTPS.

Как интернет становится безопаснее?

В ореховой оболочке: SSL-сертификаты, которые аутентифицируют сайты, обновляются до TLS, что особенно важно в таких доменах, как PayPal, которые обрабатывают платежную информацию. Они внедряются в массовом порядке с целью 100% использования HTTPS в ближайшие несколько лет. CA также подвергаются переоценке, и надстройка Convergence представляет собой твердую стадию проверки надежности сайта, полагаясь на согласие нотариусов.

Эти меры дают вам веру в SSL снова? Вы чувствуете себя в безопасности, вводя данные оплаты онлайн? Какие еще протоколы безопасности вы хотели бы видеть широко внедренными?

Изображение предоставлено: HTTPS (WeTransfer) Кристианом Коленом ; и https от Шона Макэнти .

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16