Web'de Tarama Nasıl Daha Güvenli Oluyor

İlan

Çevrimiçi paylaştığımız kişisel bilgilerin zenginliği, Güvenli Yuva Katmanı (SSL) Protokolünün başlangıcı olan 1994'ten bu yana katlanarak artmıştır.

İnternet parolalarla çalkalamak Parolalar Neden Parolalar ve Parmak İzlerinden Daha İyi?Parolaların ne zaman karmaşık olması gerekmediğini hatırlıyor musunuz? PIN'leri ne zaman hatırlamak kolaydı? O günler geride kaldı ve siber suç riskleri, parmak izi tarayıcılarının işe yaramaz olduğu anlamına geliyor. Şifre kodlarını kullanmaya başlama zamanı ... Daha fazla oku , kredi kartı bilgileri ve çevrimiçi bankacılık verileri Zaten değilseniz Online Bankacılmanız Gerekenler İçin 6 Genel Anlam Nedeni [Görüş]Bankacılığınızı genellikle nasıl yapıyorsunuz? Bankanıza mı gidiyorsunuz? Sadece bir çek yatırmak için uzun kuyruklarda mı bekliyorsunuz? Aylık bildiri alıyor musunuz? Bunları uzatabilir misiniz? Daha fazla oku . Güvenlik ve gizliliğimiz için teşekkür edecek SSL sertifikalarımız var. Ancak muhtemelen kriptografik protokole olan güveninizi engelleyen son kusurları duymuşsunuzdur.

Neyse ki, SSL size daha iyi bir rahatlık sağlamak için adapte oluyor, yükseltiliyor ve değiştiriliyor. İşte böyle.

Yine de SSL nedir?

İle başlayalım tam olarak SSL nedir SSL Sertifikası Nedir ve Sertifikaya İhtiyacınız Var mı?Kişisel bilgiler söz konusu olduğunda internette gezinmek korkutucu olabilir. Daha fazla oku .

SSL sertifikaları, hassas bilgilerle ilgilenen bir kuruluş veya site çalıştıran bir kişi tarafından alınabilen dijital yetkilendirme belgeleridir. Verilerin web sunucusu ile tarayıcı arasında güvenli bir şekilde aktarılmasını, bu bilgilerin ele geçirilmemesini ve kaynaklarının gerçek olmasını sağlar.

Örneğin Amazon'a bakın. URL'ye bakın ve tipik bir Köprü Metni Aktarım Protokolü (HTTP) adresi yerine, HTTPS birine yönlendirildi HTTPS Nedir ve Varsayılan Başına Güvenli Bağlantıları EtkinleştirmeGüvenlik kaygıları geniş bir alana yayılıyor ve herkesin zihninin ön saflarına ulaştı. Virüsten koruma veya güvenlik duvarı gibi terimler artık garip bir kelime dağarcığı değildir ve yalnızca anlaşılmakla kalmaz, aynı zamanda ... Daha fazla oku - bu ek “S” güvenli bir bağlantı olduğu anlamına gelir Her Yerde HTTPS: Mümkün Olduğunda HTTP Yerine HTTPS Kullanın Daha fazla oku ve site üzerinden öğeler için ödeme yapmak güvenlidir. Hotmail, WordPress ve hatta Tumblr SSL sertifikalarını kullanıyor.

Tüketici (verilerinin sorumlu bir şekilde ele alındığını bilen) ve satıcı (yalnızca alıcıların güveninden faydalanmakla kalmayıp, aynı zamanda Google tarafından daha üst sıralarda yer alan) için de harika.

Bununla birlikte, hiçbir şey yanılmaz değildir ve sadece geçen yıl içinde birkaç SSL hatası ortaya çıkmıştır. Neyse ki, web'de gezinme tekrar daha güvenli hale geliyor…

TLS Yükseltmeleri

SSL ve Aktarım Katmanı Güvenliği'nin (TLS) dönüşümlü olarak kullanıldığını görmüş olabilirsiniz ve farklar belki de incelikli olsa da, kayda değer kalırlar.

Her ikisi de aynı şifreleme sistemini kullanır ve bu bağlantıyı yapmadan önce sertifika yetkilisine (CA) danışır. TLS, SSL'nin halefidir, bu nedenle TLS'nin daha güvenli olması nedenidir. Aslında, üç enkarnasyonu - TLS 1.0, 1.1 ve 1.2 - SSL yönteminde bulunan bazı güvenlik açıklarını giderir.

TLS 1.3 2008'den beri var, ancak önceki versiyonlardaki kusurlar böyle düşünüldüğünde “gerçek dünya” durumlarını etkilemeyecekleri çok küçük, kitlesi için çok yakın zamana kadar sürüyor uygulanması. Aslında, 2013 yılında, Ulusal Güvenlik Ajansı'nın (NSA) bile TLS protokollerini çalıştıran alanları hedeflemediği anlaşıldı, çünkü çok azı bunu kullandı. Ancak şimdi, PCI Güvenlik Konseyi'nin bir görevi, kart sahibi bilgilerini ileten veya işleyen herhangi bir siteyi yükseltmeye zorladı.

Dahası, tüm büyük tarayıcılar - Google Chrome, Microsoft Edge, Safari, Firefox ve Opera - varsayılan olarak TLS 1.2'yi destekler, böylece şifreleme düzeyi her iki taraf tarafından da garanti edilir. Ancak, yetkinin giriş bilgileri için değil yalnızca ödeme ayrıntıları için geçerli olduğunu unutmayın.

Her Yerde Şifreleme

Sertifikaları yükseltmek yalnızca geniş çapta benimsenirse yararlıdır ve durum böyle değildir. Tüm e-ticaret sitelerinin güvenlik uygulamalarına ihtiyacı vardır ve çoğunun gerçekten SSL veya TLS'si olmalıdır. Birçoğu, PayPal gibi üçüncü taraf ödeme işlemcilerinin korunmasına güveniyor (bu, PCI Güvenlik Konseyi zorunludur), ancak bir site özel bilgileri kabul ederse güvenli bir katman kullanmalıdır.

Bağlantınız özel değilse, giriş yaparken e-posta adresi ve şifre içeren veriler bilgisayar korsanları tarafından alınabilir. Ve çoğu insan aynı şifreleri kullan Parolaları Kırmada Kullanılan En Yaygın 7 Taktik"Güvenlik ihlali" sözlerini duyduğunuzda aklınıza ne geliyor? Kötü niyetli bir hacker mı? Bodrumda yaşayan bir çocuk mu? Gerçek şu ki, gereken tek şey bir parola ve bilgisayar korsanlarının sizinkini almanın 7 yolu var. Daha fazla oku birden fazla sitede (tüm uyarılara rağmen Sizi Hackedecek 7 Şifre Hatası2015'in en kötü şifreleri yayınlandı ve oldukça endişe verici. Ancak, zayıf parolalarınızı birkaç basit ayarlamayla güçlendirmenin kesinlikle kritik olduğunu gösteriyorlar. Daha fazla oku ), bu hayati bilgiler olabilir.

Bununla birlikte, birçok site maliyetli olabileceği ve karmaşık olabileceği için SSL protokollerini kabul etmemektedir. İşte burada Symantec’in Şifreleme Her Yer programı devreye giriyor.

Amerikan güvenlik firması, ücretsiz olarak sertifikanın ücretsiz olarak alınabileceği ücretsiz bir hizmet sunuyor ve maliyet yükseltmeleri (kötü amaçlı yazılım taramaları gibi). Barındırma şirketleriyle ortaklıklar, site yöneticilerinin karmaşıklığını ortadan kaldırırken, otomatik güncellemeler diğer güvenlik açıklarını ele alma sürecini kolaylaştırır.

Bu, 2018 yılına kadar% 100 güvenlik katmanı kullanımı elde etmek için teklif edildiğinden, sitelerin çoğunluğu tarafından çok yakında kabul edilmesini bekliyoruz.

Şifreleyelim

Fakat bekle! Symantec, web çapında SSL / TLS şifrelemesi için çalışan tek kişi değil.

Şifreleyelim, daha yeni kusurların dalgasına biniyor gibi görünüyor; Aralık 2015'te halka açılan projede, Google Chrome, Mozilla, Facebook, Shopify, YunPian ve Akamai dahil olmak üzere çok sayıda büyük uluslararası sponsor var. İnternet Güvenlik Araştırma Grubu (ISRG) tarafından işletilen Let's Encrypt, bu ayın 5 milyondan fazla sertifikası yayınladı ve bu yıl sonuna kadar% 50 HTTPS sayfa yüklemesi öngörüyor.

Neden Şifrelemenin popüler olduğunu kanıtlayalım? Tıpkı ücretsiz ve otomatik olduğu için, sitelerin sertifika ve yükseltme alması inanılmaz derecede kolaydır.

Girişim, yeni bir özel anahtar çifti ve etki alanı sahibinin CA'ya kanıtlanması ile başlar; bu, Otomatik Sertifika Yönetim Ortamı (ACME) protokolü kullanılarak doğrulandıktan sonra, site yazılımı imzalayabilir Sertifikaları yenilemek ve iptal etmek veya aynı sertifika için yenilerini oluşturmak için anahtar içeren sertifika yönetimi iletileri alan adı.

5 milyonuncu sertifikamızı yeni verdik!

- Let's Encrypt (@letsencrypt) Instagram Profilini Görüntüle 17 Haziran 2016

Let's Encrypt, ücretsiz sertifikalar sunmak için tartışmasız en iyi bilinen projedir ve bu büyük programlar arasında kesinlikle güvenilir bir neden olduğu görülmektedir.

yakınsama

Ancak SSL sertifikalarından hayal kırıklığına uğrayabilirsiniz.

Ünleri son yıllarda zarar gördü: çoğu en azından Tarafından Nereden duydunuz Heartbleed Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Daha fazla oku bilgisayar korsanlarının şifrelenmemiş bilgileri okumasına izin veren açık kaynaklı şifreleme kitaplığı OpenSSL'deki bir güvenlik açığıdır. Heartbleed birçok hizmeti etkiledi Yutturmaca Kazmak: Heartbleed Aslında Kimseye Zarar? Daha fazla oku , ama öyleydi iki yıl önce 2014'te Gizliliğinizi Kaçırmış Olabileceğiniz Beş İhlal2014 yılında, halkın da spot ışığının da parladığı bir yıl olan ünlülerin özel yaşamlarında çok sayıda yayın yeniden canlandı. Bu ihlallerden bir şey öğrenebilir miyiz? Daha fazla oku ve bir düzeltme mevcuttur. Ama sonra geçen yıl, Süper Balık vardı Lenovo Dizüstü Bilgisayar Sahipleri Dikkat: Cihazınız Önceden Yüklenmiş Kötü Amaçlı Yazılımlara Sahip OlabilirÇinli bilgisayar üreticisi Lenovo, 2014 sonlarında mağazalara gönderilen tüketicilerin ve tüketicilerin kötü amaçlı yazılımların önceden yüklendiğini itiraf etti. Daha fazla oku , HTTPS'yi ele geçiren kötü amaçlı yazılım; bu da, yamalı Superfish Henüz Yakalanmadı: SSL Hijacking AçıklamasıLenovo'nun Superfish kötü amaçlı yazılımı bir heyecan yarattı, ancak hikaye bitmedi. Reklam yazılımını bilgisayarınızdan kaldırmış olsanız bile, aynı güvenlik açığı diğer çevrimiçi uygulamalarda da vardır. Daha fazla oku .

Üstelik PC'nizle de sınırlı değil: akıllı telefon uygulamaları etkilenir 1.000 iOS Uygulamasında Sakat SSL Hatası var: Etkilendiğiniz Nasıl Kontrol EdilirAFNetworking hatası, iPhone ve iPad kullanıcılarına sorun çıkarıyor, 1000'lerce uygulama bir güvenlik açığı taşıyor. SSL sertifikalarının doğru bir şekilde doğrulanması ve ortadaki adam aracılığıyla kimlik hırsızlığını potansiyel olarak kolaylaştırması saldırılar. Daha fazla oku SSL kusurları ile de.

Yakınsama, birçok kişinin SSL sertifikalarının yerini alan bir sistemle karıştırdığı bir tarayıcı eklentisidir; Yine de, CA'lar için bir sonraki aşama. Esasen, bir sitenin orijinalliği için bir CA makbuzuna güvenmek yerine, Convergence noter hizmetleri sitenin güvenliğini kanıtlamak için.

Bir HTTPS adresini ziyaret edersiniz. Üç ana sonuç vardır: tüm noterler güvenli olduğunu kabul eder, bu durumda siteyi kullanırsınız; hepsi aynı fikirde değil, ancak çoğunluk ile gidebilir veya siteyi reddedebilirsiniz, çünkü noterlere güvenmiyorsunuz. yapmak bunun için kefil; ya da aşırı durumlarda, noterlerin çoğu ya da tümü ona güvenilmemesi konusunda hemfikirdir. Bu şekilde, tek bir başarısızlık noktası yoktur.

Bunu şu şekilde düşünün: bir kullanıcının HTTPS'ye güvenip güvenemeyeceği konusunda bir görüş birliği.

İnternet Nasıl Güvenlikli Oluyor?

Neden hala SSL Sertifikası olarak adlandırıyoruz? Kesinlikle TLS Sertifikası olmalı mı? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) Instagram Profilini Görüntüle 07 Haziran 2016

Bir somun kabuğunda: Sitelerin kimliğini doğrulayan SSL sertifikaları, en önemlisi PayPal gibi ödeme bilgileriyle ilgilenen alan adlarında TLS'ye yükseltilir. Bunlar dağıtılıyor toplu halde, önümüzdeki birkaç yıl içinde% 100 HTTPS kullanımı amacıyla. CA'lar da yeniden değerlendiriliyor ve Yakınsama eklentisi, anlaşmaya varmak için noterlere güvenerek bir sitenin ne kadar güvenilir olduğunu doğrulamada sağlam bir aşama gibi görünüyor.

Bu önlemler size tekrar SSL'ye inanıyor mu? Yapıyor musun hissetmek güvenli ödeme bilgilerini çevrimiçi girme? Yaygın olarak uygulanan başka hangi güvenlik protokollerini görmek istersiniz?

Resim kredileri: Christiaan Colen tarafından HTTPS (WeTransfer); ve https - Sean MacEntee.