Wie das Web-Browsing noch sicherer wird
Die Fülle an persönlichen Informationen, die wir online teilen, ist seit 1994, dem Beginn des SSL-Protokolls (Secure Sockets Layer), exponentiell gewachsen.
Das Internet ist voller Passphrasen. Warum Passphrasen immer noch besser sind als Passwörter und Fingerabdrücke. Warum Passphrasen immer noch besser als Passwörter und Fingerabdrücke sind. Erinnern Sie sich, wenn Passwörter nicht kompliziert sein mussten? Wann waren PINs leicht zu merken? Diese Zeiten sind vorbei und Cyberkriminalität bedeutet, dass Fingerabdruckscanner nahezu nutzlos sind. Es ist Zeit, mit der Verwendung von Passcodes zu beginnen… Weitere Informationen, Kreditkartendetails und Online-Banking-Daten 6 Gründe, warum Sie online Bankgeschäfte machen sollten, wenn Sie nicht bereits [Meinung] sind 6 Gründe, warum Sie Online-Bankgeschäfte machen sollten, wenn Sie nicht sind Schon [Meinung] Wie erledigen Sie normalerweise Ihre Bankgeschäfte? Fährst du zu deiner Bank? Warten Sie in langen Schlangen, um nur einen Scheck einzubezahlen? Erhalten Sie monatliche Kontoauszüge? Feilen Sie diese… Read More. Wir haben SSL-Zertifikate für unsere Sicherheit und unseren Datenschutz. Aber Sie haben wahrscheinlich von den jüngsten Fehlern gehört, die Ihr Vertrauen in das kryptographische Protokoll beeinträchtigt haben.
Glücklicherweise passt sich SSL an, wird aktualisiert und ersetzt, um Ihnen ein sicheres Gefühl zu geben. Hier ist wie.
Was ist SSL überhaupt??
Beginnen wir mit genau dem, was SSL ist Was ist ein SSL-Zertifikat und benötigen Sie eines? Was ist ein SSL-Zertifikat und benötigen Sie eines? Das Surfen im Internet kann unheimlich sein, wenn persönliche Informationen betroffen sind. Weiterlesen .
SSL-Zertifikate sind digitale Berechtigungsdokumente, die von einer Organisation oder einer Einzelperson, die eine Site betreibt, die sensible Informationen behandelt, abgerufen werden können. Es stellt sicher, dass Daten sicher zwischen Webserver und Browser transportiert werden können, dass diese Informationen nicht abgefangen wurden und ihre Quellen echt sind.
Schauen Sie sich beispielsweise Amazon an. Schauen Sie sich die URL an und anstelle einer typischen HTTP-Adresse (HyperText Transfer Protocol) sollten Sie zu einer HTTPS-Adresse umgeleitet werden. Was ist HTTPS und wie werden sichere Verbindungen per Standard aktiviert? Was ist HTTPS und wie sind sichere Sicherheitsbedenken möglich? Sie verbreiten sich weit und breit und sind an die Spitze der meisten Menschen gekommen. Begriffe wie Antivirus oder Firewall sind kein seltsames Vokabular mehr und werden nicht nur verstanden, sondern auch von… Read More - dieser Zusatz verwendet “S” bedeutet, dass es sich um eine sichere Verbindung handelt. HTTPS Everywhere: HTTPS statt HTTP verwenden, wenn möglich. HTTPS Everywhere: HTTPS anstelle von HTTP verwenden, wenn möglich. Lesen Sie mehr. Sie können Artikel sicher über die Site bezahlen. Hotmail, WordPress und sogar Tumblr verwenden SSL-Zertifikate.
Es ist für den Verbraucher (der weiß, dass seine Daten verantwortungsbewusst behandelt werden) und für den Verkäufer (der nicht nur vom Vertrauen der Käufer profitiert, sondern auch von Google höher eingestuft wird) großartig..
Nichts ist unfehlbar, und ein paar SSL-Fehler, die im letzten Jahr aufgedeckt wurden, belegen dies. Glücklicherweise wird das Surfen im Internet wieder sicherer…
TLS-Upgrades
Möglicherweise haben Sie SSL und Transport Layer Security (TLS) austauschbar verwendet, und obwohl die Unterschiede möglicherweise geringfügig sind, bleiben sie dennoch bemerkenswert.
Beide verwenden dasselbe System zum Verschlüsseln von Daten und unterhalten sich mit der Zertifizierungsstelle (CA), bevor diese Verbindung hergestellt wird. TLS ist jedoch der Nachfolger von SSL, weshalb TLS sicherer ist. Durch die drei Inkarnationen TLS 1.0, 1.1 und 1.2 werden einige der in der SSL-Methode gefundenen Sicherheitsanfälligkeiten beseitigt.
TLS 1.3 gibt es seit 2008, aber da die Fehler in den Vorgängerversionen als so winzig eingestuft wurden, dass sie keine Auswirkungen hätten “echte Welt” Situationen ist es bis vor kurzem für seine Massenimplementierung gedauert. Im Jahr 2013 schien es sogar so, dass selbst die National Security Agency (NSA) nicht auf Domänen abzielte, die TLS-Protokolle verwenden, weil so wenige es tatsächlich verwendeten. Nun hat jedoch ein Mandat des PCI Security Council dazu geführt, dass Standorte, die Karteninhaberdaten übertragen oder verarbeiten, zur Aktualisierung gezwungen werden.
Darüber hinaus unterstützen alle gängigen Browser - Google Chrome, Microsoft Edge, Safari, Firefox und Opera - TLS 1.2 standardmäßig, sodass beide Seiten den Verschlüsselungsgrad gewährleisten. Beachten Sie jedoch, dass das Mandat offenbar nur für Zahlungsdetails gilt, nicht für Anmeldeinformationen.
Verschlüsselung überall
Das Upgrade von Zertifikaten ist nur dann von Nutzen, wenn es weit verbreitet ist. Dies ist jedoch nicht der Fall. Alle E-Commerce-Sites benötigen Sicherheitspraktiken, und die Mehrheit sollte über SSL oder TLS verfügen. Viele verlassen sich auf den Schutz von Zahlungsabwicklern von Drittanbietern, wie beispielsweise PayPal (dies scheint eine Lücke im Mandat des PCI-Sicherheitsrats zu sein), aber wenn eine Site private Informationen akzeptiert, sollte sie eine sichere Schicht verwenden.
Wenn Ihre Verbindung nicht privat ist, können Hacker Daten einschließlich E-Mail-Adresse und Kennwort beim Anmelden abrufen. Und weil die meisten Leute dazu neigen, dieselben Kennwörter zu verwenden Die 7 häufigsten Taktiken, die zum Hacken von Kennwörtern verwendet werden Die 7 häufigsten Taktiken, die zum Hacken von Kennwörtern verwendet werden Wenn Sie "Sicherheitsverletzung" hören, was fällt Ihnen ein? Ein bösartiger Hacker? Irgendein Kellerkind? Die Realität ist, alles, was benötigt wird, ist ein Passwort, und Hacker haben 7 Möglichkeiten, um Ihre zu bekommen. Lesen Sie mehr auf mehreren Websites (trotz aller Warnungen 7 Passwortfehler, die Sie wahrscheinlich gehackt bekommen 7 Passwortfehler, die Sie wahrscheinlich gehackt bekommen Die schlechtesten Passwörter von 2015 wurden veröffentlicht, und sie sind ziemlich beunruhigend. Aber sie zeigen, dass es absolut ist Dies ist von entscheidender Bedeutung, um Ihre schwachen Passwörter mit nur ein paar einfachen Änderungen zu verstärken.
Trotzdem verwenden viele Sites keine SSL-Protokolle, da dies kostspielig und kompliziert sein kann. Hier kommt das Programm "Encryption Everywhere" von Symantec ins Spiel.
Die amerikanische Sicherheitsfirma bietet einen Freemium-Service an, bei dem das Zertifikat völlig kostenlos erworben wird. Upgrades (wie Malware-Scans) sind gegen Aufpreis erhältlich. Durch Partnerschaften mit Hosting-Unternehmen können Site-Administratoren die Komplexität aus den Händen nehmen. Automatisierte Updates vereinfachen den Prozess, um weitere Schwachstellen zu beheben.
Dies bedeutet, dass bis 2018 eine 100% ige Nutzung der Sicherheitsschicht erreicht werden soll. Wir gehen daher davon aus, dass sie bald von der Mehrheit der Websites übernommen wird.
Lassen Sie uns verschlüsseln
Aber warte! Symantec ist nicht der einzige, der nach einer webweiten SSL / TLS-Verschlüsselung strebt.
Let's Encrypt scheint auf der Welle neuerer Fehler zu reiten; Das Projekt wurde im Dezember 2015 der Öffentlichkeit vorgestellt und hat bereits zahlreiche große internationale Sponsoren, darunter Google Chrome, Mozilla, Facebook, Shopify, YunPian und Akamai. Let's Encrypt, das von der Internet Security Research Group (ISRG) betrieben wird, hat in diesem Monat mehr als 5 Millionen Zertifikate ausgestellt und plant bis Ende dieses Jahres 50% HTTPS-Seitenladungen.
Warum ist Let's Encrypt beliebt? Einfach und kostenlos. Automatisiert. Das bedeutet, dass Websites unglaublich einfach Zertifikate und Upgrades erhalten können.
Die Initiative beginnt mit einem neuen privaten Schlüsselpaar und einem Nachweis des Domäneninhabers gegenüber der Zertifizierungsstelle. Sobald dies mit dem ACME-Protokoll (Automated Certificate Management Environment) überprüft wurde, kann die Site-Software Zertifikatsverwaltungsnachrichten mit dem Schlüssel signieren, um Zertifikate zu erneuern und zu widerrufen oder neue für dieselbe Domäne zu erstellen.
Wir haben gerade unser fünfmillionstes Zertifikat ausgestellt!
- Lass uns verschlüsseln (@letsencrypt) 17. Juni 2016
Let's Encrypt ist wohl das bekannteste Projekt, das kostenlose Zertifikate anbietet, und zwischen diesen großen Programmen scheint es sicherlich eine vertrauenswürdige Sache zu sein.
Konvergenz
Sie werden jedoch möglicherweise mit SSL-Zertifikaten desillusioniert.
Ihr Ruf ist in den letzten Jahren beschädigt worden: Die meisten haben zumindest von Heartbleed Heartbleed gehört - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Read More, eine Sicherheitsanfälligkeit in der Open-Source-Verschlüsselungsbibliothek OpenSSL, mit der Hacker unverschlüsselte Informationen lesen können. Heartbleed hat viele Dienste betroffen: Durch den Hype graben: Hat Heartbleed tatsächlich jemandem geschadet? Durch den Hype graben: Hat Heartbleed tatsächlich jemandem geschadet? Lesen Sie mehr, aber das war vor zwei Jahren Fünf Brüche in Ihre Privatsphäre im Jahr 2014, die Sie möglicherweise verpasst haben Fünf Brüche in Ihre Privatsphäre im Jahr 2014, die Sie möglicherweise verpasst haben Zahlreiche Veröffentlichungen schwelgten im Privatleben von Prominenten im Jahr 2014, einem Jahr, in dem das Scheinwerfer beleuchteten auch die breite Öffentlichkeit. Können wir aus diesen Verstößen etwas lernen? Lesen Sie mehr und ein Update ist verfügbar. Aber letztes Jahr gab es Superfish-Lenovo-Besitzer von Laptop-Besitzern: Ihr Gerät hat möglicherweise Malware vorinstalliert. Lenovo-Laptop-Besitzer: Vorsicht: Möglicherweise hat Ihr Gerät Malware vorinstalliert. Lesen Sie mehr, Malware, die HTTPS moot gemacht hat; Auch hier wurde gepatcht. Superfish wurde noch nicht gefasst: SSL-Entführung erklärt, Superfish wurde noch nicht gefasst: SSL-Entführung erklärt Die Superfish-Malware von Lenovo hat für Aufsehen gesorgt, aber die Geschichte ist noch nicht vorbei. Selbst wenn Sie die Adware von Ihrem Computer entfernt haben, besteht die gleiche Sicherheitsanfälligkeit in anderen Online-Anwendungen. Weiterlesen .
Und es ist auch nicht auf Ihren PC beschränkt: Ihre Smartphone-Apps sind betroffen. 1.000 iOS-Apps haben SSL-Fehler verursacht: Wie prüfen Sie, ob Sie betroffen sind? 1.000 iOS-Apps: SSL-Fehler: Sie überprüfen, ob Sie betroffen sind. Der AFNetworking-Fehler ist aufgetreten Für iPhone- und iPad-Benutzer gibt es Probleme, da Tausende von Apps eine Sicherheitsanfälligkeit aufweisen, was dazu führt, dass SSL-Zertifikate korrekt authentifiziert werden, was möglicherweise den Identitätsdiebstahl durch Man-in-the-Middle-Angriffe erleichtert. Lesen Sie auch mehr über SSL-Fehler.
Konvergenz ist also ein Browser-Add-On, das viele mit einem System verwechseln, das SSL-Zertifikate ersetzt. Vor allem aber ist es die nächste Stufe für CAs. Anstatt einer Zertifizierungsstelle einer Zertifizierungsstelle die Authentizität einer Site zuzutrauen, wendet sich Convergence im Wesentlichen an Notarservices, um die Sicherheit der Site zu bestätigen.
Sie besuchen eine HTTPS-Adresse. Es gibt drei Hauptergebnisse: Alle Notare stimmen zu, dass sie sicher sind. In diesem Fall verwenden Sie die Website. Nicht alle stimmen überein, aber Sie können mit der Mehrheit gehen oder die Website ablehnen, weil Sie den Notaren nicht vertrauen tun dafür verbürgen oder in extremen Fällen stimmen die meisten oder alle Notare darin überein, dass sie nicht vertrauenswürdig sind. Auf diese Weise gibt es keinen einzigen Ausfallpunkt.
Stellen Sie sich das so vor: Es ist eine Konvergenz der Meinungen darüber, ob ein Benutzer dem HTTPS vertrauen kann.
Wie wird das Internet sicherer??
Warum bezeichnen wir sie immer noch als SSL-Zertifikate? Sicher sollten sie TLS-Zertifikate sein? #ssl #tls #MostBrowsersDontDoSSLAnymore
- Chris Pont (@chrispont) 7. Juni 2016
Kurz gesagt: Die SSL-Zertifikate, die Websites authentifizieren, werden auf TLS aktualisiert. Dies gilt vor allem für Domains wie PayPal, die mit Zahlungsinformationen arbeiten. Diese werden ausgerollt en masse, mit dem Ziel einer 100% igen HTTPS-Nutzung in den nächsten Jahren. Die Zertifizierungsstellen werden ebenfalls neu bewertet, und das Convergence-Add-On scheint eine solide Phase zu sein, um die Vertrauenswürdigkeit einer Site zu überprüfen, indem sie sich auf die Zustimmung von Notaren stützt.
Gibt Ihnen diese Maßnahme wieder Vertrauen in SSL? Machst du Gefühl sichere Online-Eingabe von Zahlungsdetails? Welche weiteren Sicherheitsprotokolle würden Sie gerne implementiert sehen??
Bildnachweis: HTTPS (WeTransfer) von Christiaan Colen; und https von Sean MacEntee.
Erfahren Sie mehr über: Verschlüsselung, SSL.