Veiligheid

Hoe Web Browsing nog veiliger wordt

De schat aan persoonlijke informatie die we online delen, is sinds 1994 exponentieel gegroeid, het begin van het Secure Sockets Layer (SSL) -protocol.

Het internet is overspoeld met wachtzinnen Waarom wachtzinnen nog steeds beter zijn dan wachtwoorden en vingerafdrukken Waarom wachtzinnen nog steeds beter zijn dan wachtwoorden en vingerafdrukken Weet je nog dat wachtwoorden niet ingewikkeld hoefden te zijn? Wanneer pincodes gemakkelijk te onthouden waren? Die dagen zijn voorbij, en door cybercriminaliteitsrisico's zijn vingerafdrukscanners nutteloos. Het is tijd om te beginnen met het gebruik van toegangscodes ... Lees meer, creditcardgegevens en online bankgegevens 6 Gezond verstand Redenen waarom u online moet bankieren Als u dat nog niet bent [Mening] 6 Gezond verstand Redenen waarom u online moet bankieren als u dat niet bent Al [Opinion] Hoe doe je meestal je bankzaken? Rijd je naar je bank? Wacht je in lange rijen, gewoon om een cheque te storten? Krijgt u maandelijkse papieren afschriften? Verpak je die ... Lees meer. We hebben SSL-certificaten te danken voor onze veiligheid en privacy. Maar u hebt waarschijnlijk gehoord van recente fouten die uw vertrouwen in het cryptografische protocol hebben aangetast.

Gelukkig is SSL aan het aanpassen, wordt het geüpgraded en vervangen om u meer gemoedsrust te bieden. Hier is hoe.

Wat is SSL hoe dan ook?

Laten we beginnen met precies wat SSL is Wat is een SSL-certificaat en Do You Need One? Wat is een SSL-certificaat en heeft u er een nodig? Surfen op het internet kan eng zijn als het om persoonlijke gegevens gaat. Lees verder .

SSL-certificaten zijn digitale autorisatiedocumenten die kunnen worden verkregen door een organisatie of persoon die een website beheert die zich bezighoudt met gevoelige informatie. Het zorgt ervoor dat gegevens veilig kunnen worden vervoerd tussen de webserver en browser, dat deze informatie niet is onderschept en dat de bronnen echt zijn.

Bekijk Amazon bijvoorbeeld. Kijk naar de URL, en in plaats van een typisch HyperText Transfer Protocol (HTTP) -adres, zou u doorgestuurd moeten worden naar een HTTPS-een. Wat is HTTPS & Hoe kan ik beveiligde verbindingen per standaard inschakelen Wat is HTTPS en hoe kan ik beveiligde verbindingen inschakelen Standaard beveiligingsproblemen verspreiden zich wijd en zijd en hebben de voorhoede bereikt van de meeste mensen. Termen als antivirus of firewall zijn niet langer vreemd vocabulaire en worden niet alleen begrepen, maar ook gebruikt door ... Lees meer - die extra “S” betekent dat het een veilige link is HTTPS Everywhere: gebruik HTTPS in plaats van HTTP wanneer mogelijk HTTPS Everywhere: gebruik HTTPS in plaats van HTTP indien mogelijk Lees meer en u kunt veilig items betalen via de site. Hotmail, WordPress en zelfs Tumblr gebruiken SSL-certificaten.

Het is geweldig voor de consument (wie weet dat hun gegevens op een verantwoorde manier worden behandeld) en voor de verkoper (die niet alleen profiteert van het vertrouwen van kopers, maar ook hoger scoort door Google).

Niets is echter onfeilbaar en een paar SSL-fouten die in het afgelopen jaar zijn ontdekt, bevestigen dat. Gelukkig wordt internetten weer veiliger ...

TLS-upgrades

U hebt SSL en Transport Layer Security (TLS) mogelijk door elkaar gebruikt en hoewel de verschillen misschien subtiel zijn, blijven ze opmerkelijk.

Beide gebruiken hetzelfde systeem voor het coderen van gegevens en overleggen met de certificeringsinstantie (CA) voordat ze die verbinding maken. TLS is echter de opvolger van SSL, dus het is logisch dat TLS veiliger zou zijn. Inderdaad, zijn drie incarnaties - TLS 1.0, 1.1 en 1.2 - een aantal van de kwetsbaarheden uit de SSL-methode weg te werken.

TLS 1.3 bestaat al sinds 2008, maar omdat de fouten in de vorige versies als minuscuul werden beschouwd, hadden ze geen effect “echte wereld” situaties, het is tot zeer recent genomen voor de massale implementatie. Het bleek zelfs in 2013 dat zelfs de National Security Agency (NSA) zich niet op domeinen met TLS-protocollen richtte, omdat zo weinig mensen het daadwerkelijk gebruikten. Nu heeft een mandaat van de PCI Security Council echter elke site geforceerd die kaarthouderinformatie verzendt of verwerkt bij het upgraden.

Bovendien ondersteunen alle belangrijke browsers - Google Chrome, Microsoft Edge, Safari, Firefox en Opera - standaard TLS 1.2, zodat het niveau van codering door beide partijen wordt gegarandeerd. Houd er echter rekening mee dat het mandaat alleen lijkt te gelden voor betalingsgegevens, en niet voor inloggegevens.

Encryptie overal

Het upgraden van certificaten is alleen nuttig als het op grote schaal wordt goedgekeurd, en dat is niet het geval. Alle e-commercesites hebben beveiligingsprocedures nodig, en de meerderheid zou SSL of TLS moeten hebben. Velen vertrouwen op de bescherming van externe betalingsverwerkers, zoals PayPal (dit lijkt een maas in het mandaat van de PCI-Veiligheidsraad te zijn), maar als een site privéinformatie accepteert, moet deze een beveiligde laag gebruiken.

Als uw verbinding niet privé is, kunnen gegevens met inbegrip van e-mailadres en wachtwoord bij het inloggen door hackers worden verkregen. En omdat de meeste mensen dezelfde wachtwoorden gebruiken De 7 meest voorkomende tactieken die worden gebruikt om wachtwoorden te hacken De 7 meest voorkomende tactieken die worden gebruikt om wachtwoorden te hacken Wanneer u "inbreuk op de beveiliging" hoort, wat komt u dan voor de geest? Een kwaadwillende hacker? Een kind dat in de kelder woont? De realiteit is dat er alleen een wachtwoord nodig is en hackers 7 manieren om de jouwe te krijgen. Lees meer op meerdere sites (ondanks alle waarschuwingen 7 wachtwoordfouten die u waarschijnlijk kunnen hacken 7 wachtwoordfouten die u waarschijnlijk in de war zullen brengen gehackt De ergste wachtwoorden van 2015 zijn vrijgegeven en ze zijn zeer zorgwekkend. Maar ze laten zien dat het absoluut noodzakelijk is kritisch om uw zwakke wachtwoorden te versterken, met slechts een paar eenvoudige tweaks Lees meer), dat kan essentiële informatie zijn.

Desondanks gebruiken veel sites geen SSL-protocollen omdat dit kostbaar kan zijn en het ingewikkeld kan zijn. Dat is waar het Encryption Everywhere-programma van Symantec binnenkomt.

Het Amerikaanse beveiligingsbedrijf biedt een freemium-service aan, waarbij het certificaat volledig kosteloos wordt verkregen, met upgrades (zoals malwarescans) tegen een vergoeding. Partnerschappen met hostingbedrijven nemen de complexiteit uit handen van sitebeheerders, terwijl geautomatiseerde updates het proces van aanpak van eventuele verdere kwetsbaarheden stroomlijnen.

Dit is in een poging om 100% gebruik van de beveiligingslaag tegen 2018 te krijgen, dus we verwachten dat het binnenkort door de meerderheid van de sites zal worden overgenomen.

Laten we versleutelen

Maar wacht! Symantec streeft niet alleen naar webbrede SSL / TLS-codering.

Let's Encrypt lijkt de golf van recentere fouten te rijden; in december 2015 voor het publiek gelanceerd, heeft het project al talloze grote internationale sponsors waaronder Google Chrome, Mozilla, Facebook, Shopify, YunPian en Akamai. Let's Encrypt wordt gerund door de Internet Security Research Group (ISRG) en heeft van deze maand meer dan 5 miljoen certificaten uitgegeven en projecteert 50% HTTPS-pagina's aan het eind van dit jaar.

Waarom is Let's Encrypt populair? Eenvoudig omdat het gratis en geautomatiseerd is, wat betekent dat het ongelooflijk gemakkelijk is voor sites om certificaten en upgrades te krijgen.

Het initiatief begint met een nieuw privé-sleutelpaar en een bewijs van de domeineigenaar bij de CA; Zodra dit is geverifieerd met behulp van het ACME-protocol (Automatic Certificate Management Environment), kan de sitesoftware certificaatbeheerberichten ondertekenen met de sleutel om certificaten te vernieuwen en in te trekken of nieuwe certificaten voor hetzelfde domein te maken.

We hebben net ons 5 miljoenste certificaat uitgegeven!

- Let's Encrypt (@letsencrypt) 17 juni 2016

Let's Encrypt is misschien wel het bekendste project om gratis certificaten aan te bieden, en tussen deze grote programma's blijkt het zeker een betrouwbare oorzaak te zijn.

Convergentie

U kunt echter gedesillusioneerd raken met SSL-certificaten.

Hun reputatie is de afgelopen jaren beschadigd: de meesten hebben in ieder geval gehoord van Heartbleed Heartbleed - Wat kan je doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Read More, een kwetsbaarheid in de open-source cryptografiebibliotheek, OpenSSL, waarmee hackers onversleutelde informatie kunnen lezen. Heartbleed beïnvloedde een heleboel diensten. Digging Through The Hype: Heeft Heartbleed eigenlijk iedereen geschaad? Door de hype graven: Heeft Heartbleed iemand feitelijk geschaad? Lees meer, maar dat was twee jaar geleden Vijf inbreuken op uw privacy in 2014, dat u in 2014 vijf inbreuken op uw privacy zou hebben gemist Die u mogelijk had gemist Talrijke publicaties spanden zich af in het privéleven van beroemdheden in 2014, een jaar waarin de schijnwerpers schijnen ook voor het grote publiek. Kunnen we iets leren van deze overtredingen? Lees meer en er is een oplossing beschikbaar. Maar vorig jaar waren er Superfish Lenovo laptopbezitters. Let op: uw apparaat is vooraf geïnstalleerd Malware Lenovo-laptopbezitters Let op: uw apparaat is vooraf geïnstalleerd Malware Chinese computerfabrikant Lenovo heeft toegegeven dat laptops die eind 2014 naar winkels en consumenten waren verzonden, vooraf waren geïnstalleerd. Meer lezen, malware die HTTPS heeft gematcht; ook dit is gepatcht Superfish is nog niet betrapt: SSL kaping verklaard Superfish is nog niet betrapt: SSL Hijacking Explained Lenovo's Superfish-malware zorgde voor opschudding, maar het verhaal is nog niet afgelopen. Zelfs als je de adware van je computer hebt verwijderd, bestaat dezelfde kwetsbaarheid in andere online applicaties. Lees verder .

En het is ook niet beperkt tot uw pc: uw smartphone-apps worden beïnvloed 1000 iOS-apps hebben een verlammende SSL-bug: controleren of u wordt getroffen 1.000 iOS-apps hebben een verlammende SSL-bug: controleren of u wordt getroffen De bug voor AFNetworking is gebruikers van iPhone en iPad problemen geven, waarbij duizenden apps een kwetsbaarheid dragen waardoor SSL-certificaten correct worden geverifieerd, waardoor identiteitsdiefstal mogelijk wordt vergemakkelijkt door middel van man-in-the-middle-aanvallen. Meer lezen door SSL-fouten ook.

Convergentie is dan een browser-add-on die velen verwarren met een systeem dat SSL-certificaten vervangt; Maar bovenal is het de volgende fase voor CA's. In wezen, in plaats van te vertrouwen op één CA die garant staat voor de authenticiteit van een site, schakelt Convergence zich tot notarisdiensten om te getuigen van de beveiliging van de site.

U bezoekt een HTTPS-adres. Er zijn drie belangrijke resultaten: alle notarissen zijn het erover eens dat het veilig is, in welk geval u de site gebruikt; niet allemaal komen overeen, maar je kunt met de meerderheid meegaan of de site weigeren omdat je de notarissen dat niet vertrouwt do instaan voor het; of in extreme gevallen zijn de meeste of alle notarissen het erover eens dat het niet te vertrouwen is. Op die manier is er geen enkel punt van mislukking.

Zie het op deze manier: het is een samenloop van meningen over of een gebruiker de HTTPS kan vertrouwen.

Hoe wordt internet veiliger??

Waarom verwijzen we ernaar als SSL-certificaten? Ze zouden toch TLS-certificaten moeten zijn? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 juni 2016

In een notendop: de SSL-certificaten waarmee sites worden geverifieerd, worden geüpgraded naar TLS, met name op domeinen zoals PayPal die zich bezighouden met betalingsinformatie. Deze worden uitgerold En masse, met als doel 100% HTTPS-gebruik in de komende jaren. Ook de CA's worden opnieuw beoordeeld en de add-on Convergence lijkt een solide fase in het verifiëren van hoe betrouwbaar een site is door te vertrouwen op notarissen om tot overeenstemming te komen.

Bieden deze maatregelen u opnieuw vertrouwen in SSL? Doe je voelen veilig online betalingsgegevens invoeren? Welke verdere beveiligingsprotocollen zou u graag op grote schaal geïmplementeerd zien worden??

Beeldcredits: HTTPS (WeTransfer) door Christiaan Colen; en https door Sean MacEntee.

Meer informatie over: versleuteling, SSL.

« Hoe we films bekijken [INFOGRAPHIC] Hoe websites uw activiteit in het geheim opnemen met sessie-naslag-scripts »