Werbung
Die Fülle an persönlichen Informationen, die wir online teilen, ist seit 1994, dem Beginn des SSL-Protokolls (Secure Sockets Layer), exponentiell gewachsen.
Das Internet ist überflutet mit Passphrasen Warum Passphrasen immer noch besser sind als Passwörter und FingerabdrückeErinnerst du dich, als Passwörter nicht kompliziert sein mussten? Wann waren PINs leicht zu merken? Diese Zeiten sind vorbei und Cyberkriminalitätsrisiken bedeuten, dass Fingerabdruckscanner so gut wie nutzlos sind. Es ist Zeit, Passcodes zu verwenden ... Weiterlesen , Kreditkartendaten und Online-Banking-Daten 6 Gründe für den gesunden Menschenverstand, warum Sie online überweisen sollten, wenn Sie noch nicht [Meinung]Wie machen Sie normalerweise Ihre Bankgeschäfte? Fahren Sie zu Ihrer Bank? Warten Sie in langen Schlangen, um nur einen Scheck zu hinterlegen? Erhalten Sie monatliche Papierauszüge? Feilen Sie diese ab ... Weiterlesen . Wir haben SSL-Zertifikate für unsere Sicherheit und Privatsphäre zu danken. Aber Sie haben wahrscheinlich von jüngsten Fehlern gehört, die Ihr Vertrauen in das kryptografische Protokoll beeinträchtigt haben.
Glücklicherweise wird SSL angepasst, aktualisiert und ersetzt, um Ihnen mehr Sicherheit zu geben. Hier ist wie.
Was ist SSL überhaupt?
Lass uns beginnen mit genau das, was SSL ist Was ist ein SSL-Zertifikat und benötigen Sie eines?Das Surfen im Internet kann beängstigend sein, wenn es um persönliche Informationen geht. Weiterlesen .
SSL-Zertifikate sind digitale Autorisierungsdokumente, die von einer Organisation oder Person erhalten werden können, die eine Site betreibt, die sich mit vertraulichen Informationen befasst. Es stellt sicher, dass Daten sicher zwischen Webserver und Browser transportiert werden können, dass diese Informationen nicht abgefangen wurden und ihre Quellen echt sind.
Schauen Sie sich zum Beispiel Amazon an. Sehen Sie sich die URL an und anstelle einer typischen HTTP-Adresse (HyperText Transfer Protocol) sollten Sie dies tun zu einem HTTPS umgeleitet Was ist HTTPS und wie werden standardmäßig sichere Verbindungen aktiviert?Sicherheitsbedenken breiten sich weit und breit aus und haben die meisten Menschen in den Vordergrund gerückt. Begriffe wie Antivirus oder Firewall sind kein seltsames Vokabular mehr und werden nicht nur verstanden, sondern auch von ... Weiterlesen - das zusätzlich "S" bedeutet, dass es sich um eine sichere Verbindung handelt Überall HTTPS: Verwenden Sie nach Möglichkeit HTTPS anstelle von HTTP Weiterlesen und Sie können sicher über die Website für Artikel bezahlen. Hotmail, WordPress und sogar Tumblr verwenden SSL-Zertifikate.
Dies ist ideal für den Verbraucher (der weiß, dass seine Daten verantwortungsbewusst behandelt werden) und für den Verkäufer (der nicht nur vom Vertrauen der Käufer profitiert, sondern auch von Google einen höheren Rang erhält).
Nichts ist jedoch unfehlbar, und einige SSL-Fehler, die erst im letzten Jahr aufgedeckt wurden, bestätigen dies. Zum Glück wird das Surfen im Internet wieder sicherer…
TLS-Upgrades
Möglicherweise wurde SSL und TLS (Transport Layer Security) synonym verwendet, und obwohl die Unterschiede möglicherweise geringfügig sind, bleiben sie bemerkenswert.
Beide verwenden dasselbe System zum Verschlüsseln von Daten und zur Besprechung mit der Zertifizierungsstelle, bevor diese Verbindung hergestellt wird. TLS ist jedoch der Nachfolger von SSL. Es liegt also nahe, dass TLS sicherer wäre. In der Tat bügeln die drei Inkarnationen - TLS 1.0, 1.1 und 1.2 - einige der Schwachstellen aus der SSL-Methode aus.
TLS 1.3 gibt es seit 2008, aber die Fehler in den vorherigen Versionen wurden berücksichtigt winzig, sie würden keine "realen" Situationen beeinflussen, es wird bis vor kurzem für seine Masse genommen Implementierung. Eigentlich, zurück im Jahr 2013Es schien, dass selbst die Nationale Sicherheitsagentur (NSA) nicht auf Domänen mit TLS-Protokollen abzielte, da so wenige diese tatsächlich verwendeten. Jetzt hat jedoch ein Mandat des PCI-Sicherheitsrates jede Site, die Karteninhaberinformationen überträgt oder verarbeitet, zu einem Upgrade gezwungen.
Darüber hinaus unterstützen alle gängigen Browser - Google Chrome, Microsoft Edge, Safari, Firefox und Opera - standardmäßig TLS 1.2, sodass beide Parteien die Verschlüsselungsstufe sicherstellen. Beachten Sie jedoch, dass das Mandat anscheinend nur für Zahlungsdetails gilt, nicht für Anmeldeinformationen.
Verschlüsselung überall
Das Aktualisieren von Zertifikaten ist nur dann sinnvoll, wenn es weit verbreitet ist. Dies ist jedoch nicht der Fall. Alle E-Commerce-Websites benötigen Sicherheitspraktiken, und die Mehrheit sollte wirklich über SSL oder TLS verfügen. Viele verlassen sich auf den Schutz von Drittanbieter-Zahlungsabwicklern wie PayPal (dies scheint eine Lücke zu sein das Mandat des PCI-Sicherheitsrates), aber wenn eine Site private Informationen akzeptiert, sollte sie eine sichere Schicht verwenden.
Wenn Ihre Verbindung nicht privat ist, können Hacker Daten wie E-Mail-Adresse und Passwort beim Anmelden abrufen. Und weil die meisten Menschen dazu neigen Verwenden Sie dieselben Passwörter Die 7 häufigsten Taktiken zum Hacken von PasswörternWas fällt Ihnen ein, wenn Sie "Sicherheitsverletzung" hören? Ein bösartiger Hacker? Ein Kind im Keller? Die Realität ist, dass nur ein Passwort benötigt wird und Hacker 7 Möglichkeiten haben, Ihr Passwort zu erhalten. Weiterlesen auf mehreren Websites (trotz aller Warnungen 7 Passwortfehler, die Sie wahrscheinlich hacken werdenDie schlechtesten Passwörter des Jahres 2015 wurden veröffentlicht und sind ziemlich besorgniserregend. Sie zeigen jedoch, dass es absolut wichtig ist, Ihre schwachen Passwörter mit nur wenigen einfachen Änderungen zu verbessern. Weiterlesen ), das könnte eine wichtige Information sein.
Dennoch verwenden viele Websites keine SSL-Protokolle, da dies kostspielig und kompliziert sein kann. Hier kommt das Encryption Everywhere-Programm von Symantec ins Spiel.
Die amerikanische Sicherheitsfirma bietet einen Freemium-Service an, bei dem das Zertifikat völlig kostenlos bezogen wird und Upgrades (wie Malware-Scans) kostenpflichtig sind. Partnerschaften mit Hosting-Unternehmen entlasten Site-Administratoren die Komplexität, während automatisierte Updates den Prozess der Behebung weiterer Schwachstellen vereinfachen.
Damit soll bis 2018 eine 100% ige Nutzung der Sicherheitsschicht erreicht werden. Wir gehen daher davon aus, dass sie bald von den meisten Websites übernommen wird.
Verschlüsseln wir
Aber warte! Symantec ist nicht das einzige Unternehmen, das eine webweite SSL / TLS-Verschlüsselung anstrebt.
Let's Encrypt scheint auf der Welle neuerer Fehler zu reiten. Das im Dezember 2015 der Öffentlichkeit vorgestellte Projekt hat bereits zahlreiche große internationale Sponsoren, darunter Google Chrome, Mozilla, Facebook, Shopify, YunPian und Akamai. Let's Encrypt wird von der Internet Security Research Group (ISRG) betrieben und hat in diesem Monat mehr als 5 Millionen Zertifikate ausgestellt. Bis Ende dieses Jahres werden 50% der HTTPS-Seiten geladen.
Warum ist Let's Encrypt so beliebt? Einfach, weil es kostenlos und automatisiert ist, was bedeutet, dass es für Websites unglaublich einfach ist, Zertifikate und Upgrades zu erhalten.
Die Initiative beginnt mit einem neuen privaten Schlüsselpaar und dem Nachweis des Domaininhabers gegenüber der Zertifizierungsstelle. Sobald dies mithilfe des ACME-Protokolls (Automated Certificate Management Environment) überprüft wurde, kann die Standortsoftware signieren Zertifikatsverwaltungsnachrichten mit dem Schlüssel, um Zertifikate zu erneuern und zu widerrufen oder neue für dieselben zu erstellen Domain.
Wir haben gerade unser 5-millionstes Zertifikat ausgestellt!
- Verschlüsseln (@letsencrypt) 17. Juni 2016
Let's Encrypt ist wohl das bekannteste Projekt, das kostenlose Zertifikate anbietet, und zwischen diesen Hauptprogrammen scheint es sicherlich eine vertrauenswürdige Sache zu sein.
Konvergenz
Sie könnten jedoch von SSL-Zertifikaten desillusioniert sein.
Ihr Ruf wurde in den letzten Jahren geschädigt: die meisten zumindest von Heartbleed gehört Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen , eine Sicherheitslücke in der Open-Source-Kryptografiebibliothek OpenSSL, mit der Hacker unverschlüsselte Informationen lesen können. Heartbleed wirkte sich auf viele Dienstleistungen aus Durch den Hype graben: Hat Heartbleed tatsächlich jemandem geschadet? Weiterlesen , aber das war vor zwei Jahren Fünf Verstöße gegen Ihre Privatsphäre im Jahr 2014, die Sie möglicherweise verpasst habenZahlreiche Veröffentlichungen schwelgten 2014 im Privatleben von Prominenten, ein Jahr, in dem auch die breite Öffentlichkeit im Rampenlicht stand. Können wir aus diesen Verstößen etwas lernen? Weiterlesen und ein Fix ist verfügbar. Aber letztes Jahr da war Superfish Lenovo Laptop-Besitzer Achtung: Auf Ihrem Gerät ist möglicherweise Malware vorinstalliertDer chinesische Computerhersteller Lenovo hat zugegeben, dass bei Laptops, die Ende 2014 an Geschäfte und Verbraucher ausgeliefert wurden, Malware vorinstalliert war. Weiterlesen , Malware, die HTTPS in Frage gestellt hat; Das auch, wurde gepatcht Superfisch wurde noch nicht gefangen: SSL-Hijacking erklärtDie Superfish-Malware von Lenovo sorgte für Aufsehen, aber die Geschichte ist noch nicht vorbei. Selbst wenn Sie die Adware von Ihrem Computer entfernt haben, besteht dieselbe Sicherheitsanfälligkeit in anderen Online-Anwendungen. Weiterlesen .
Und es ist auch nicht auf Ihren PC beschränkt: Ihren Smartphone-Apps sind betroffen 1.000 iOS-Apps haben einen lähmenden SSL-Fehler: So überprüfen Sie, ob Sie betroffen sindDer AFNetworking-Fehler bereitet iPhone- und iPad-Benutzern Probleme, da Tausende von Apps eine Sicherheitsanfälligkeit aufweisen SSL-Zertifikate werden nicht korrekt authentifiziert, was möglicherweise den Identitätsdiebstahl durch Man-in-the-Middle erleichtert Anschläge. Weiterlesen auch durch SSL-Mängel.
Convergence ist also ein Browser-Add-On, das viele mit einem System verwechseln, das SSL-Zertifikate ersetzt. Vor allem aber ist dies die nächste Stufe für Zertifizierungsstellen. Anstatt einer Zertifizierungsstelle zu vertrauen, die für die Authentizität einer Site bürgt, wendet sich Convergence im Wesentlichen an Notariatsdienste um die Sicherheit der Website zu bestätigen.
Sie besuchen eine HTTPS-Adresse. Es gibt drei Hauptergebnisse: Alle Notare sind sich einig, dass es sicher ist. In diesem Fall nutzen Sie die Website. Nicht alle stimmen überein, aber Sie können mit der Mehrheit gehen oder die Website ablehnen, weil Sie den Notaren nicht vertrauen tun bürgen dafür; oder in extremen Fällen stimmen die meisten oder alle Notare darin überein, dass es nicht vertrauenswürdig ist. Auf diese Weise gibt es keinen einzigen Fehlerpunkt.
Stellen Sie sich das so vor: Es ist eine Konvergenz der Meinungen darüber, ob ein Benutzer dem HTTPS vertrauen kann.
Wie wird das Internet sicherer?
Warum bezeichnen wir sie immer noch als SSL-Zertifikate? Sicherlich sollten sie TLS-Zertifikate sein? #ssl#tls#MostBrowsersDontDoSSLAnymore
- Chris Pont (@chrispont) 7. Juni 2016
Kurz gesagt: Die SSL-Zertifikate, mit denen Websites authentifiziert werden, werden auf TLS aktualisiert, vor allem in Domänen wie PayPal, die sich mit Zahlungsinformationen befassen. Diese werden ausgerollt en massemit dem Ziel einer 100% igen HTTPS-Nutzung in den nächsten Jahren. Auch die Zertifizierungsstellen werden neu bewertet, und das Convergence-Add-On scheint eine solide Grundlage für die Überprüfung der Vertrauenswürdigkeit einer Website zu sein, indem Notare zur Zustimmung herangezogen werden.
Vertrauen Sie mit diesen Maßnahmen wieder auf SSL? Machst du Gefühl sichere Online-Eingabe von Zahlungsdetails? Welche weiteren Sicherheitsprotokolle würden Sie gerne weit verbreitet sehen?
Bildnachweis: HTTPS (WeTransfer) von Christiaan Colen; und https von Sean MacEntee.
Wenn er nicht fernsieht, Bücher und Marvel-Comics liest, The Killers hört und von Drehbuchideen besessen ist, gibt Philip Bates vor, ein freiberuflicher Schriftsteller zu sein. Er sammelt gerne alles.