Como a navegação na web está se tornando ainda mais segura

Propaganda

A riqueza de informações pessoais que compartilhamos on-line cresceu exponencialmente desde 1994, o início do protocolo Secure Sockets Layer (SSL).

A Internet é inundado com senhas Por que as frases de acesso ainda são melhores que as senhas e impressões digitaisLembra quando as senhas não precisavam ser complicadas? Quando os PINs eram fáceis de lembrar? Esses dias se foram e os riscos de crimes cibernéticos significam que os scanners de impressões digitais são quase inúteis. É hora de começar a usar senhas ... consulte Mais informação , detalhes do cartão de crédito e dados bancários online 6 razões do senso comum pelas quais você deve fazer um banco on-line se você ainda não possui [Opinião]Como você costuma fazer seus serviços bancários? Você dirige para o seu banco? Você espera em longas filas, apenas para depositar um cheque? Você recebe declarações mensais em papel? Você arquiva aqueles ... consulte Mais informação . Temos certificados SSL para agradecer por nossa segurança e privacidade. Mas você provavelmente já ouviu falar de falhas recentes que afetaram sua confiança no protocolo criptográfico.

Felizmente, o SSL está se adaptando, sendo atualizado e substituído para proporcionar uma melhor tranqüilidade. Aqui está como.

O que é SSL de qualquer maneira?

Vamos começar com exatamente o que é SSL O que é um certificado SSL e você precisa de um?Navegar na Internet pode ser assustador quando informações pessoais estão envolvidas. consulte Mais informação .

Certificados SSL são documentos de autorização digital que podem ser obtidos por uma organização ou indivíduo executando um site que lida com informações confidenciais. Ele garante que os dados possam ser transportados com segurança entre o servidor da web e o navegador, que essas informações não tenham sido interceptadas e que suas fontes sejam genuínas.

Confira a Amazon, por exemplo. Observe o URL e, em vez de um endereço HTTP (HyperText Transfer Protocol) típico, você deve redirecionado para um HTTPS O que é HTTPS e como ativar conexões seguras por padrãoAs preocupações com segurança estão se espalhando por todo o mundo e alcançaram a vanguarda da mente de quase todos. Termos como antivírus ou firewall não são mais um vocabulário estranho e não são apenas entendidos, mas também usados ​​por ... consulte Mais informação - que adicional "S" significa que é um link seguro HTTPS em todos os lugares: use HTTPS em vez de HTTP quando possível consulte Mais informação , e você está seguro para pagar itens pelo site. Hotmail, WordPress e até Tumblr usam certificados SSL.

É ótimo para o consumidor (que sabe que seus dados estão sendo tratados com responsabilidade) e para o vendedor (que não apenas se beneficia da confiança dos compradores, mas também é classificado pelo Google).

No entanto, nada é infalível, e algumas falhas de SSL expostas apenas no último ano atestam isso. Felizmente, a navegação na web está se tornando mais segura novamente ...

Atualizações TLS

Você pode ter visto SSL e TLS (Transport Layer Security) usados ​​de forma intercambiável e, embora as diferenças sejam talvez sutis, elas permanecem dignas de nota.

Ambos usam o mesmo sistema de criptografia de dados e conferência com a autoridade de certificação (CA) antes de fazer essa conexão. O TLS, no entanto, é o sucessor do SSL, portanto, é lógico que o TLS seria mais seguro. De fato, suas três encarnações - TLS 1.0, 1.1 e 1.2 - eliminam algumas das vulnerabilidades encontradas no método SSL.

O TLS 1.3 existe desde 2008, mas como as falhas nas versões anteriores foram consideradas tão minúsculo que eles não afetariam situações do "mundo real", demorou até muito recentemente para sua massa implementação. De fato, em 2013, parecia que mesmo a Agência de Segurança Nacional (NSA) não estava segmentando domínios que executam protocolos TLS, porque poucos o usavam de fato. Agora, no entanto, um mandato do PCI Security Council forçou qualquer site que transmita ou processe as informações do titular do cartão à atualização.

Além disso, todos os principais navegadores - Google Chrome, Microsoft Edge, Safari, Firefox e Opera - oferecem suporte ao TLS 1.2 por padrão, para que o nível de criptografia seja garantido por ambas as partes. Observe, no entanto, que o mandato parece se aplicar apenas a detalhes de pagamento, não a informações de login.

Criptografia em todos os lugares

A atualização de certificados só é útil se for amplamente adotada, e esse não é o caso. Todos os sites de comércio eletrônico precisam de práticas de segurança, e a maioria realmente deve ter SSL ou TLS. Muitos contam com a proteção de processadores de pagamento de terceiros, como o PayPal (isso parece ser uma brecha no o mandato do Conselho de Segurança do PCI), mas se um site aceitar informações privadas, ele deverá usar uma camada segura.

Se a sua conexão não for privada, os dados, incluindo endereço de e-mail e senha durante o login, podem ser adquiridos por hackers. E porque a maioria das pessoas tende a use as mesmas senhas As 7 táticas mais comuns usadas para invadir senhasQuando você ouve "brechas na segurança", o que vem à mente? Um hacker malévolo? Algum garoto que mora no porão? A realidade é que tudo o que é necessário é uma senha e os hackers têm 7 maneiras de obter a sua. consulte Mais informação em vários sites (apesar de todos os avisos 7 erros de senha que provavelmente o levarão a ser invadidoAs piores senhas de 2015 foram divulgadas e são bastante preocupantes. Mas eles mostram que é absolutamente essencial fortalecer suas senhas fracas, com apenas alguns ajustes simples. consulte Mais informação ), que podem ser informações vitais.

No entanto, muitos sites não adotam protocolos SSL porque podem ser caros e complicados. É aí que entra o programa Encryption Everywhere da Symantec.

A empresa de segurança americana está oferecendo um serviço freemium, no qual o certificado é obtido de forma totalmente gratuita, com atualizações (como verificações de malware) disponíveis a um custo. As parcerias com empresas de hospedagem eliminam as complexidades das mãos dos administradores do site, enquanto as atualizações automáticas agilizam o processo de abordagem de outras vulnerabilidades.

Essa é uma tentativa de obter 100% de uso da camada de segurança até 2018, portanto esperamos que seja adotada pela maioria dos sites em breve.

Vamos criptografar

Mas espere! A Symantec não é a única que luta pela criptografia SSL / TLS em toda a Web.

Vamos criptografar parece estar pegando onda de falhas mais recentes; Lançado ao público em dezembro de 2015, o projeto já conta com vários grandes patrocinadores internacionais, incluindo Google Chrome, Mozilla, Facebook, Shopify, YunPian e Akamai. Gerido pelo Internet Security Research Group (ISRG), o Let Encrypt emitiu, este mês, mais de 5 milhões de certificados e está projetando 50% de carregamento de páginas HTTPS até o final deste ano.

Por que vamos criptografar se tornando popular? Simplesmente gratuito e automatizado, o que significa que é incrivelmente fácil para os sites obterem certificados e atualizações.

A iniciativa começa com um novo par de chaves privadas e a prova do proprietário do domínio para a CA; Depois que isso é verificado usando o protocolo Ambiente de Gerenciamento de Certificado Automatizado (ACME), o software do site pode assinar mensagens de gerenciamento de certificados com a chave para renovar e revogar certificados ou criar novos para o mesmo domínio.

Acabamos de emitir nosso certificado milionésimo!

- Vamos criptografar (@letsencrypt) 17 de junho de 2016

Vamos criptografar é sem dúvida o projeto mais conhecido para oferecer certificados gratuitos e, entre esses principais programas, certamente parece ser uma causa confiável.

Convergência

Você pode estar desiludido com os certificados SSL, no entanto.

Sua reputação foi prejudicada nos últimos anos: a maioria tem pelo menos ouviu falar de Heartbleed Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação , uma vulnerabilidade na biblioteca de criptografia de código aberto, OpenSSL, que permite que hackers leiam informações não criptografadas. Heartbleed afetou muitos serviços Explorar o hype: Heartbleed realmente prejudicou alguém? consulte Mais informação , mas isso foi dois anos atrás Cinco violações à sua privacidade em 2014 que você pode ter perdidoNumerosas publicações se divertiram na vida particular das celebridades em 2014, um ano em que os holofotes também brilharam no público em geral. Podemos aprender alguma coisa com essas violações? consulte Mais informação e uma correção está disponível. Mas então, no ano passado, havia Superfish Os proprietários de laptops da Lenovo devem ter cuidado: o dispositivo pode ter malware pré-instaladoA fabricante chinesa de computadores Lenovo admitiu que os laptops enviados para lojas e consumidores no final de 2014 tinham o malware pré-instalado. consulte Mais informação , malware que tornou HTTPS discutível; isto também, foi corrigido Superfish ainda não foi capturado: explicado o seqüestro de SSLO malware Superfish da Lenovo causou alvoroço, mas a história não acabou. Mesmo se você removeu o adware do seu computador, a mesma vulnerabilidade existe em outros aplicativos online. consulte Mais informação .

E também não está confinado ao seu PC: o seu aplicativos para smartphone são afetados 1.000 aplicativos iOS têm bug SSL de criptografia: como verificar se você é afetadoO bug da AFNetworking está causando problemas aos usuários do iPhone e iPad, com milhares de aplicativos carregando uma vulnerabilidade, resultando em Certificados SSL sejam autenticados corretamente, potencialmente facilitando o roubo de identidade por meio do man-in-the-middle ataques. consulte Mais informação por falhas de SSL também.

Convergência, portanto, é um complemento de navegador que muitos confundem com um sistema que substitui certificados SSL; mais do que tudo, porém, é o próximo estágio para autoridades de certificação. Essencialmente, em vez de confiar em uma autoridade de certificação que ateste a autenticidade de um site, o Convergence passa a serviços de notário para atestar a segurança do site.

Você visita um endereço HTTPS. Existem três resultados principais: todos os notários concordam que é seguro; nesse caso, você usa o site; nem todos concordam, mas você pode ir com a maioria ou rejeitar o site porque não confia nos notários que Faz atestar isso; ou, em casos extremos, a maioria ou todos os notários concordam que não é confiável. Dessa forma, não há um único ponto de falha.

Pense desta maneira: é uma convergência de opiniões sobre se um usuário pode confiar no HTTPS.

Como a Internet está se tornando mais segura?

Por que ainda nos referimos a eles como certificados SSL? Certamente eles devem ser certificados TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 de junho de 2016

Em poucas palavras: os certificados SSL que autenticam sites estão sendo atualizados para TLS, principalmente em domínios como o PayPal que lidam com informações de pagamento. Estes estão sendo lançados em massa, com o objetivo de 100% de uso de HTTPS nos próximos anos. As autoridades de certificação também estão sendo reavaliadas e o complemento Convergence parece um estágio sólido para verificar a confiabilidade de um site, baseando-se em notários para concordar.

Essas medidas dão a você confiança no SSL novamente? Você sentir introdução segura de detalhes de pagamento online? Quais outros protocolos de segurança você gostaria de ver amplamente implementados?

Créditos de imagem: HTTPS (WeTransfer) de Christiaan Colen; e https por Sean MacEntee.