פרסומת

שפע המידע האישי שאנו חולקים באופן מקוון צמח באופן אקספוננציאלי מאז 1994, ראשיתו של פרוטוקול SSL (Secure Sockets Layer).

האינטרנט הוא עמוס בביטויים מדוע ביטוי סיסמאות עדיף על סיסמאות וטביעות אצבעזוכר מתי סיסמאות לא היו צריכות להיות מסובכות? כאשר קל היה לזכור את מספר ה- PIN? הימים ההם לא חלפו, וסיכוני פשעי רשת פירושם שסורקי טביעות אצבע הם חסרי תועלת. הגיע הזמן להתחיל להשתמש בקודי סיסמה ... קרא עוד , פרטי כרטיס אשראי, ו נתונים בנקאיים מקוונים 6 סיבות נפוצות למצב שכדאי לבנק באופן מקוון אם אינך כבר [חוות דעת]איך אתה עושה בדרך כלל את הבנקאות שלך? אתה נוהג לבנק שלך? האם אתה מחכה בתורים ארוכים רק כדי להפקיד צ'ק אחד? האם אתה מקבל דוחות נייר חודשיים? האם אתה מגיש את אלה ... קרא עוד . יש לנו תעודות SSL להודות על האבטחה והפרטיות שלנו. אבל בטח שמעת על פגמים אחרונים שזימנו את אמונך בפרוטוקול הקריפטוגרפי.

למרבה המזל, SSL מסתגל, משודרג ומוחלף בכדי לתת לך שקט נפשי טוב יותר. הנה איך.

מה זה בכלל SSL?

בוא נתחיל עם בדיוק מה זה SSL מה זה תעודת SSL והאם אתה צריך תעודה?גלישה באינטרנט יכולה להיות מפחידה כשמדובר במידע אישי. קרא עוד .

instagram viewer

אישורי SSL הם מסמכי הרשאה דיגיטליים שניתן להשיג על ידי ארגון או גורם המנהל אתר העוסק במידע רגיש. זה מבטיח שניתן יהיה להעביר נתונים בצורה בטוחה בין שרת אינטרנט לדפדפן, ומידע זה לא יורט ומקורותיו מקוריים.

בדוק את אמזון למשל. הסתכל בכתובת האתר, ובמקום כתובת טיפוסית של HyperText Transfer Protocol (HTTP), אתה אמור להיות הופנה מחדש ל- HTTPS מה זה HTTPS ואיך אפשר חיבורים מאובטחים לפי ברירת מחדלחששות ביטחוניים מתפשטים לרחבה והגיעו לחזית בראשם של כולם. מונחים כמו אנטי-וירוס או חומת אש הם כבר לא אוצר מילים מוזר והם לא רק מובנים, אלא משמשים גם את ... קרא עוד - הנוסף הזה "S" פירושו שזה קישור מאובטח HTTPS בכל מקום: השתמש ב- HTTPS במקום HTTP במידת האפשר קרא עוד , ואתה בטוח בתשלום עבור פריטים דרך האתר. Hotmail, WordPress ואפילו Tumblr משתמשים בתעודות SSL.

זה נהדר עבור הצרכן (שיודע שהנתונים שלו מטופלים באחריות), וגם עבור המוכר (שלא רק נהנה מהאמון של הקונים, אלא גם מקבל דירוג גבוה יותר על ידי גוגל).

עם זאת, שום דבר אינו קשור, וכמה פגמים ב- SSL שנחשפו רק בשנה האחרונה מעידים על כך. למרבה המזל, הגלישה באינטרנט הופכת להיות מאובטחת יותר ...

שדרוגי TLS

אולי ראיתם SSL ו- Security Layer Security (TLS) שמשתמשים זה בזה, ובעוד שההבדלים הם אולי עדינים, הם נותרו ראויים לציון.

17976028193_ca46369a35_z

שניהם משתמשים באותה מערכת של הצפנת נתונים, ומועברים עם רשות האישורים (CA) לפני יצירת קשר זה. עם זאת, TLS הוא ממשיך דרכו של SSL, ולכן זה סביר ש TLS יהיה בטוח. אכן, שלושת גלגוליו - TLS 1.0, 1.1 ו- 1.2 - מגהצים חלק מהפגיעויות שנמצאו בשיטת SSL.

TLS 1.3 קיים מאז 2008, אך מכיוון שהפגמים בגרסאות הקודמות נחשבו כך אם לא נניח שהם לא ישפיעו על מצבים של "העולם האמיתי", זה נדרש עד לא מזמן למסה שלו יישום. למעשה, חזרה בשנת 2013נראה כי אפילו הסוכנות לביטחון לאומי (NSA) לא מכוונת לתחומים המריצים פרוטוקולי TLS מכיוון שרק מעטים השתמשו בהם. אולם כעת, מנדט של מועצת האבטחה של PCI אילץ כל אתר המעביר או מעבד מידע על מחזיקי הכרטיסים לשדרוג.

מה שכן, כל הדפדפנים העיקריים - Google Chrome, Microsoft Edge, Safari, Firefox ואופרה - תומכים כברירת מחדל ב- TLS 1.2, כך שרמת ההצפנה מובטחת על ידי שני הצדדים. עם זאת, שים לב כי נראה כי המנדט חל רק על פרטי תשלום, ולא על פרטי התחברות.

הצפנה בכל מקום

שדרוג אישורים מועיל רק אם הוא מאומץ באופן נרחב, וזה לא המקרה. כל אתרי המסחר האלקטרוני זקוקים לשיטות אבטחה, ולרוב צריך להיות SSL או TLS. רבים מסתמכים על ההגנה על מעבדי תשלומי צד ג ', כמו PayPal (נראה כי מדובר בפרצה המועצה לביטחון PCI), אך אם אתר מקבל מידע פרטי עליו להשתמש בשכבה מאובטחת.

הצפנה בכל מקום

אם החיבור שלך אינו פרטי, נתונים הכוללים כתובת דוא"ל וסיסמא בעת הכניסה יכולים להיות רכושים על ידי האקרים. ובגלל שרוב האנשים נוטים השתמש באותן סיסמאות 7 הטקטיקה הנפוצה ביותר המשמשת לפריצת סיסמאותכשאתה שומע "הפרת ביטחון", מה עולה בראשך? האקר זדוני? איזה ילד שישב מרתף? המציאות היא שכל מה שצריך זה סיסמא, ולהאקרים יש 7 דרכים להשיג את שלך. קרא עוד במספר אתרים (למרות כל האזהרות 7 טעויות סיסמא שעלולות לגרום לך לפרוץהסיסמאות הגרועות ביותר של שנת 2015 שוחררו, והן די מדאיגות. אך הם מראים שזה קריטי לחלוטין לחיזוק הסיסמאות החלשות שלך, עם מספר ציוצים פשוטים בלבד. קרא עוד ), זה יכול להיות מידע חיוני.

עם זאת, אתרים רבים אינם מאמצים פרוטוקולי SSL מכיוון שזה יכול להיות יקר וזה יכול להיות מסובך. כאן נכנסת לתוכנית הצפנה של סימנטק בכל מקום.

חברת האבטחה האמריקאית מציעה שירות freemium, לפיו האישור מתקבל ללא עלות, עם שדרוגים (כמו סריקות זדוניות) זמינים בעלות. שיתופי פעולה עם חברות אירוח מוציאים את המורכבות מידי מנהלי אתרים, בעוד שעדכונים אוטומטיים מייעלים את תהליך ההתמודדות עם פגיעויות נוספות.

זאת מתוך הצעה להשיג שימוש בשכבות אבטחה של 100% עד 2018, לכן אנו מצפים שהוא יתקבל על ידי רוב האתרים בקרוב מאוד.

בואו להצפין

אבל חכה! סימנטק אינה היחידה החותרת להצפנת SSL / TLS ברחבי האינטרנט.

מאפשר להצפין

נראה שה'הצפנה 'רוכבת על גל הפגמים האחרונים; בפרויקט כבר הושק קהל בחודש דצמבר 2015, יש לפרויקט כבר כמה ספונסרים בינלאומיים גדולים, כולל גוגל כרום, מוזילה, פייסבוק, שופיפי, יונפיאן ואקמאי. מנוהל על ידי קבוצת המחקר בנושא אבטחת אינטרנט (ISRG), Let's Encrypt הנפיקה, החודש, יותר מחמישה מיליון אישורים ומקרינים עומסים של 50% HTTPS עד סוף השנה.

מדוע ההצפנה של בואו מוכיחה פופולריות? פשוט כיוון שהוא בחינם ואוטומטי, כלומר קל מאוד לאתרים לקבל אישורים ושדרוגים.

היוזמה מתחילה בצמד מפתחות פרטי חדש, והוכחה של בעל הדומיין לרשות CA; לאחר אימות זה באמצעות פרוטוקול ACME (Automatic Management Management Environment), תוכנת האתר יכולה לחתום אישורי ניהול אישורים עם המפתח כדי לחדש ולבטל אישורים, או ליצור חדשים עבור אותם תחום.

בדיוק הוצאנו את האישור 5 מיליון שלנו!

- בואו להצפין (@letsencrypt) 17 ביוני 2016

ניתן לטעון שה- Encrypt הוא הפרויקט הידוע ביותר המציע תעודות בחינם, ובין התוכניות העיקריות הללו נראה שהוא מהווה סיבה אמינה.

התכנסות

עם זאת, יתפכחו מאישורי SSL.

המוניטין שלהם נפגע בשנים האחרונות: לרובם לפחות שמעתי על Heartbleed פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד , פגיעות בספריית הקריפטוגרפיה בקוד הפתוח, OpenSSL, המאפשרת להאקרים לקרוא מידע שאינו מוצפן. Heartbleed השפיעו על הרבה שירותים לחפור אחר ההייפ: האם הלב נפגע בפועל למישהו? קרא עוד , אבל זה היה לפני שנתיים חמש הפרות לפרטיות שלך בשנת 2014 שאתה יכול לפספספרסומים רבים התעוררו בחייהם הפרטיים של ידוענים בשנת 2014, שנה שהאור הזרקורים בה גם זרק לקהל הרחב. האם נוכל ללמוד משהו מהפרצות האלה? קרא עוד ותיקון זמין. אבל אז בשנה שעברה, היה סופרפיש בעלי מחשב נייד של Lenovo היזהרו: ייתכן שההתקן שברשותך התקין מראש תוכנה זדוניתיצרנית המחשבים הסינית לנובו הודתה כי במחשבים ניידים שנשלחו לחנויות ולקוחות בסוף 2014 הותקנה תוכנה זדונית מראש. קרא עוד , תוכנה זדונית שהפכה את ה- HTTPS למחוק; גם זה, טופלה Superfish טרם נתפס: חטיפת SSL הסבירהתוכנות זדוניות Superfish של לנובו עוררו סערה, אך הסיפור לא הסתיים. גם אם הסרת את תוכנת הפרסום מהמחשב שלך, אותה פגיעות קיימת ביישומים מקוונים אחרים. קרא עוד .

15944989872_b958dc5552_z

וזה גם לא מוגבל למחשב האישי שלך: שלך יישומי הסמארטפון מושפעים 1,000 אפליקציות iOS נכותות באג SSL: כיצד לבדוק אם אתה מושפעהבאג של AFNetworking מעניק למשתמשי iPhone ו- iPad בעיות, כאשר 1000 יישומים נושאים פגיעות וכתוצאה מכך אישורי SSL מאימות נכון, מה שעלול להקל על גניבת זהות דרך אדם באמצע התקפות. קרא עוד על ידי פגמים ב- SSL מדי.

ההתכנסות, אם כן, היא תוסף לדפדפן שרבים מבלבלים עם מערכת המחליפה תעודות SSL; אולם יותר מהכול, זהו השלב הבא עבור חברות רשות. בעיקרו של דבר, במקום לסמוך על אישור CA אחד על האותנטיות של האתר, ההתכנסות פונה אליו שירותי נוטריון כדי להעיד על אבטחת האתר.

אתה מבקר בכתובת HTTPS. יש שלוש תוצאות עיקריות: כל הנוטריונים מסכימים שזה בטוח, ובמקרה זה אתה משתמש באתר; לא כולם מסכימים, אבל אתה יכול ללכת עם הרוב או לדחות את האתר מכיוון שאתה לא סומך על הנוטריונים שיש לעשות ערב לזה; או במקרים קיצוניים, רוב הנוטריונים או כולם מסכימים שאין לסמוך עליהם. ככה, אין שום נקודת כישלון אחת.

חשבו על זה כך: זו התכנסות של דעות האם משתמש יכול לסמוך על HTTPS.

כיצד האינטרנט הופך להיות מובטח?

מדוע אנו עדיין מתייחסים אליהם כאל תעודות SSL? הם בטח צריכים להיות תעודות TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- כריס פונט (@chrispont) 7 ביוני 2016

בקליפת אגוז: אישורי ה- SSL המאמתים אתרים משודרגים ל- TLS, והכי חשוב בתחומים כמו PayPal העוסקים במידע על תשלומים. אלה מגולגלים בהמוניהם, במטרה להשתמש ב- 100% HTTPS בשנים הקרובות. גם הרשות הפלסטינית עוברת הערכה מחודשת והתוסף ההתכנסות נראה שלב מוצק באימות עד כמה אתר אמין על ידי הסתמכות על נוטריונים שיסכימו.

האם האמצעים האלה נותנים לך אמון ב- SSL שוב? האם אתה להרגיש בטוחה בהזנת פרטי תשלום באופן מקוון? אילו פרוטוקולי אבטחה נוספים תרצה לראות מיושמים באופן נרחב?

נקודות זכות: HTTPS (WeTransfer) מאת כריסטיאן קולן; ו https מאת שון מקנטיי.

כשהוא לא צופה בטלוויזיה, קורא ספרי 'n' מארוול קומיקס, מאזין ל'רוצחים 'ואובססיבי על רעיונות התסריט, פיליפ בייטס מתיימר להיות סופר עצמאי. הוא נהנה לאסוף הכל.