Hoe surfen op het web nog veiliger wordt

Advertentie

De rijkdom aan persoonlijke informatie die we online delen is sinds 1994 exponentieel gegroeid, het begin van het Secure Sockets Layer (SSL) Protocol.

Het internet is overspoeld met wachtzinnen Waarom wachtwoordzinnen nog steeds beter zijn dan wachtwoorden en vingerafdrukkenWeet je nog dat wachtwoorden niet ingewikkeld hoefden te zijn? Wanneer waren pincodes gemakkelijk te onthouden? Die tijd is voorbij en door cybercrime-risico's zijn vingerafdrukscanners nagenoeg nutteloos. Het is tijd om toegangscodes te gaan gebruiken ... Lees verder , creditcardgegevens en gegevens over online bankieren 6 logische redenen waarom u online moet bankieren als u dat nog niet bent [Opinion]Hoe bankiert u gewoonlijk? Rijd je naar je bank? Wacht u in lange rijen om slechts één cheque te storten? Ontvangt u maandelijkse papieren afschriften? Bewaar je die ... Lees verder . We hebben SSL-certificaten te danken aan onze veiligheid en privacy. Maar u heeft waarschijnlijk gehoord van recente gebreken die uw vertrouwen in het cryptografische protocol hebben aangetast.

Gelukkig past SSL zich aan, wordt het geüpgraded en vervangen om u meer gemoedsrust te geven. Hier is hoe.

Wat is SSL eigenlijk?

Laten we beginnen met precies wat SSL is Wat is een SSL-certificaat en heeft u er een nodig?Surfen op internet kan eng zijn als het om persoonlijke informatie gaat. Lees verder .

SSL-certificaten zijn digitale autorisatiedocumenten die kunnen worden verkregen door een organisatie of persoon die een site beheert die gevoelige informatie behandelt. Het zorgt ervoor dat gegevens veilig kunnen worden getransporteerd tussen webserver en browser, dat deze informatie niet is onderschept en dat de bronnen echt zijn.

Bekijk bijvoorbeeld Amazon. Kijk naar de URL en in plaats van een typisch HyperText Transfer Protocol (HTTP) -adres zou dat moeten zijn omgeleid naar een HTTPS-account Wat is HTTPS en hoe kunt u standaard beveiligde verbindingen inschakelen?Veiligheidsproblemen verspreiden zich wijd en zijd en hebben de voorhoede van bijna iedereen bereikt. Termen als antivirus of firewall zijn geen vreemde woordenschat meer en worden niet alleen begrepen, maar ook gebruikt door ... Lees verder - dat extra 'S' betekent dat het een veilige link is HTTPS Everywhere: Gebruik indien mogelijk HTTPS in plaats van HTTP Lees verder , en u kunt veilig items betalen via de site. Hotmail, WordPress en zelfs Tumblr gebruiken SSL-certificaten.

Het is geweldig voor de consument (die weet dat zijn gegevens verantwoord worden behandeld) en voor de verkoper (die niet alleen profiteert van het vertrouwen van kopers, maar ook hoger wordt gerangschikt door Google).

Niets is echter onfeilbaar, en een paar SSL-fouten die het afgelopen jaar aan het licht zijn gekomen, bevestigen dat. Gelukkig wordt surfen op het web weer veiliger ...

TLS-upgrades

Misschien heb je SSL en Transport Layer Security (TLS) door elkaar gebruikt, en hoewel de verschillen misschien subtiel zijn, blijven ze opmerkelijk.

Beiden gebruiken hetzelfde systeem voor het coderen van gegevens en overleggen met de certificeringsinstantie (CA) voordat ze die verbinding tot stand brengen. TLS is echter de opvolger van SSL, dus het is logisch dat TLS veiliger zou zijn. Inderdaad, de drie incarnaties - TLS 1.0, 1.1 en 1.2 - strijken enkele van de kwetsbaarheden weg die worden aangetroffen in de SSL-methode.

TLS 1.3 bestaat al sinds 2008, maar zoals de gebreken in de vorige versies werden beschouwd minuscuul dat ze geen invloed zouden hebben op situaties uit de 'echte wereld', het is tot zeer recent genomen voor zijn massa implementatie. Eigenlijk, terug in 2013, bleek dat zelfs de National Security Agency (NSA) zich niet op domeinen met TLS-protocollen richtte omdat zo weinigen het daadwerkelijk gebruikten. Maar nu heeft een mandaat van de PCI Security Council elke site die kaarthouderinformatie verzendt of verwerkt, gedwongen om te upgraden.

Bovendien ondersteunen alle grote browsers - Google Chrome, Microsoft Edge, Safari, Firefox en Opera - standaard TLS 1.2, zodat het niveau van versleuteling door beide partijen wordt gegarandeerd. Houd er echter rekening mee dat het mandaat alleen van toepassing lijkt te zijn op betalingsgegevens, niet op inloggegevens.

Versleuteling overal

Certificaten upgraden is alleen nuttig als deze algemeen worden toegepast, en dat is niet het geval. Alle e-commercesites hebben beveiligingspraktijken nodig en de meerderheid moet echt SSL of TLS hebben. Velen vertrouwen op de bescherming van externe betalingsverwerkers, zoals PayPal (dit lijkt een maas in de wet te zijn) het mandaat van de PCI Security Council), maar als een site privé-informatie accepteert, moet deze een beveiligde laag gebruiken.

Als uw verbinding niet privé is, kunnen gegevens zoals e-mailadres en wachtwoord bij het inloggen door hackers worden verkregen. En omdat de meeste mensen de neiging hebben gebruik dezelfde wachtwoorden De 7 meest gebruikte tactieken om wachtwoorden te hackenWat komt er in je op als je 'inbreuk op de beveiliging' hoort? Een kwaadwillende hacker? Een kind in de kelder? De realiteit is dat alles wat nodig is een wachtwoord is, en hackers hebben 7 manieren om die van jou te krijgen. Lees verder op meerdere sites (ondanks alle waarschuwingen 7 wachtwoordfouten die u waarschijnlijk zullen hackenDe ergste wachtwoorden van 2015 zijn vrijgegeven en ze zijn behoorlijk zorgwekkend. Maar ze laten zien dat het absoluut essentieel is om je zwakke wachtwoorden te versterken, met slechts een paar simpele aanpassingen. Lees verder ), dat zou essentiële informatie kunnen zijn.

Desalniettemin gebruiken veel sites geen SSL-protocollen omdat dit kostbaar en ingewikkeld kan zijn. Dat is waar Symantec's Encryption Everywhere-programma binnenkomt.

Het Amerikaanse beveiligingsbedrijf biedt een freemium-service aan, waarbij het certificaat volledig gratis wordt verkregen, waarbij upgrades (zoals malware-scans) tegen betaling beschikbaar zijn. Partnerships met hostingbedrijven nemen de complexiteit uit handen van sitebeheerders, terwijl geautomatiseerde updates het proces van het aanpakken van verdere kwetsbaarheden stroomlijnen.

Dit is in een poging om tegen 2018 100% gebruik van de beveiligingslaag te krijgen, dus we verwachten dat het binnenkort door de meeste sites zal worden overgenomen.

Laten we versleutelen

Maar wacht! Symantec is niet de enige die streeft naar web-brede SSL / TLS-encryptie.

Let's Encrypt lijkt de golf van recentere fouten te volgen; Het project is in december 2015 voor het publiek gelanceerd en heeft al tal van grote internationale sponsors, waaronder Google Chrome, Mozilla, Facebook, Shopify, YunPian en Akamai. Let’s Encrypt, gerund door de Internet Security Research Group (ISRG), heeft deze maand meer dan 5 miljoen certificaten uitgegeven en verwacht tegen het einde van dit jaar 50% HTTPS-paginaladingen te laden.

Waarom is Let's Encrypt populair? Gewoon omdat het gratis en geautomatiseerd is, wat betekent dat het ongelooflijk eenvoudig is voor sites om certificaten en upgrades te krijgen.

Het initiatief begint met een nieuw privé-sleutelpaar en een bewijs van de domeineigenaar aan de CA; Zodra dit is geverifieerd met behulp van het Automated Certificate Management Environment (ACME) -protocol, kan de sitesoftware ondertekenen certificaatbeheerberichten met de sleutel om certificaten te vernieuwen en in te trekken, of om er nieuwe voor te maken domein.

We hebben zojuist ons 5 miljoenste certificaat uitgegeven!

- Laten we versleutelen (@letsencrypt) 17 juni 2016

Let's Encrypt is misschien wel het bekendste project dat gratis certificaten aanbiedt, en tussen deze grote programma's lijkt het zeker een betrouwbare oorzaak te zijn.

Convergentie

Mogelijk bent u echter gedesillusioneerd met SSL-certificaten.

Hun reputatie is de afgelopen jaren beschadigd: de meesten hebben dat tenminste gehoord van Heartbleed Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder , een kwetsbaarheid in de open-source cryptografiebibliotheek, OpenSSL, waardoor hackers niet-versleutelde informatie kunnen lezen. Heartbleed heeft veel services beïnvloed Graven door de hype: heeft Heartbleed eigenlijk iemand schade berokkend? Lees verder , maar dat was twee jaar geleden Vijf inbreuken op uw privacy in 2014 die u misschien hebt gemistTalrijke publicaties genoten in 2014 in het privéleven van beroemdheden, een jaar waarin ook het grote publiek in de schijnwerpers stond. Kunnen we iets leren van deze inbreuken? Lees verder en er is een oplossing beschikbaar. Maar vorig jaar, er was Superfish Eigenaren van Lenovo-laptops Let op: op uw apparaat is mogelijk vooraf malware geïnstalleerdDe Chinese computerfabrikant Lenovo heeft toegegeven dat op laptops die eind 2014 naar winkels en consumenten zijn verzonden, vooraf malware is geïnstalleerd. Lees verder , malware die HTTPS ter discussie bracht; dit ook, is gepatcht Superfish is nog niet gevangen: SSL-kaping uitgelegdLenovo's Superfish-malware veroorzaakte opschudding, maar het verhaal is nog niet voorbij. Zelfs als u de adware van uw computer heeft verwijderd, bestaat dezelfde kwetsbaarheid ook in andere online applicaties. Lees verder .

En het is ook niet beperkt tot uw pc: uw smartphone-apps worden beïnvloed 1.000 iOS-apps hebben een verlammende SSL-bug: hoe u kunt controleren of u bent getroffenDe AFNetworking-bug geeft iPhone- en iPad-gebruikers problemen, met duizenden apps die een kwetsbaarheid met zich meebrengen, resulterend in SSL-certificaten worden niet correct geverifieerd, wat mogelijk identiteitsdiefstal door man-in-the-middle mogelijk maakt aanvallen. Lees verder door SSL-gebreken ook.

Convergentie is dan een browser-add-on die velen verwarren met een systeem dat SSL-certificaten vervangt; meer dan wat dan ook, het is de volgende fase voor CA's. In plaats van te vertrouwen op één CA die instaat voor de authenticiteit van een site, wendt Convergence zich tot notarisdiensten om te getuigen van de beveiliging van de site.

U bezoekt een HTTPS-adres. Er zijn drie belangrijke resultaten: alle notarissen zijn het erover eens dat het veilig is, in welk geval u de site gebruikt; niet iedereen is het daarmee eens, maar u kunt met de meerderheid meegaan of de site afwijzen omdat u de notarissen niet vertrouwt Doen sta ervoor in; of in extreme gevallen zijn de meeste of alle notarissen het erover eens dat het niet te vertrouwen is. Op die manier is er geen enkel storingspunt.

Zie het op deze manier: het is een convergentie van meningen over of een gebruiker de HTTPS kan vertrouwen.

Hoe wordt het internet veiliger?

Waarom noemen we ze nog steeds SSL-certificaten? Het zouden toch TLS-certificaten moeten zijn? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 juni 2016

In een notendop: de SSL-certificaten die sites verifiëren, worden geüpgraded naar TLS, vooral op domeinen zoals PayPal die te maken hebben met betalingsinformatie. Deze worden uitgerold en massaal, met als doel 100% HTTPS-gebruik in de komende jaren. Ook de CA's worden opnieuw beoordeeld en de Convergence-add-on lijkt een solide fase om te verifiëren hoe betrouwbaar een site is door te vertrouwen op notarissen om akkoord te gaan.

Geven deze maatregelen u weer vertrouwen in SSL? Doe je voelen veilig online betalingsgegevens invoeren? Welke verdere beveiligingsprotocollen wilt u op grote schaal geïmplementeerd zien?

Afbeeldingscredits: HTTPS (WeTransfer) door Christiaan Colen; en https door Sean MacEntee.