Come la navigazione sul Web sta diventando ancora più sicura

La ricchezza di informazioni personali che condividiamo online è cresciuta in modo esponenziale dal 1994, l'inizio del protocollo Secure Sockets Layer (SSL).

Internet è pieno di passphrase Perché le passphrase sono ancora meglio delle password e delle impronte digitali Perché le passphrase sono ancora meglio delle password e delle impronte digitali Ricordate quando le password non devono essere complicate? Quando i PIN erano facili da ricordare? Quei giorni non ci sono più e il cybercrime rischia di rendere inutili gli scanner delle impronte digitali. È ora di iniziare a utilizzare i passcode ... Leggi di più, dettagli della carta di credito e dati bancari online 6 Motivi di Common Sense Perché dovresti fare una banca online se non sei già [opinione] 6 Motivi comuni per cui dovresti fare una banca online se non lo sei Già [opinione] Come fai di solito il tuo banking? Guidi alla tua banca? Aspetti in lunghe file, solo per depositare un assegno? Ricevi dichiarazioni cartacee mensili? Metti via quelli ... Per saperne di più. Abbiamo certificati SSL da ringraziare per la nostra sicurezza e privacy. Ma probabilmente hai sentito di recenti difetti che hanno intaccato la tua fiducia nel protocollo crittografico.

Fortunatamente, SSL si sta adattando, essendo aggiornato e sostituito per darti una maggiore tranquillità. Ecco come.

Cos'è comunque SSL?

Iniziamo con esattamente ciò che SSL è Cos'è un certificato SSL e ne hai bisogno? Cos'è un certificato SSL e ne hai bisogno? Navigare su Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più .

I certificati SSL sono documenti di autorizzazione digitale che possono essere ottenuti da un'organizzazione o da un individuo che gestisce un sito che si occupa di informazioni sensibili. Garantisce che i dati possano essere trasportati in modo sicuro tra web server e browser, che questa informazione non sia stata intercettata e che le sue fonti siano autentiche.

Controlla Amazon, per esempio. Guarda l'URL, e invece di un tipico indirizzo HTTP (Hypertext Transfer Protocol), dovresti essere reindirizzato a uno HTTPS Cos'è HTTPS e Come abilitare connessioni sicure per impostazione predefinita Cos'è HTTPS e Come abilitare connessioni sicure Per default Problemi di sicurezza si stanno diffondendo in lungo e in largo e sono arrivati ​​alla ribalta della mente di tutti. Termini come antivirus o firewall non sono più un vocabolario strano e non solo sono capiti, ma sono anche usati da ... Read More - quell'ulteriore “S” significa che si tratta di un collegamento sicuro HTTPS ovunque: utilizza HTTPS anziché HTTP quando possibile HTTPS ovunque: usa HTTPS anziché HTTP quando possibile Leggi altro e puoi pagare gli articoli tramite il sito. Hotmail, WordPress e anche Tumblr utilizzano certificati SSL.

È ottimo per il consumatore (che sa che i suoi dati vengono trattati in modo responsabile) e per il venditore (che non beneficia solo della fiducia degli acquirenti, ma viene anche classificato più in alto da Google).

Tuttavia, nulla è infallibile e alcuni difetti SSL esposti solo nell'ultimo anno lo attestano. Per fortuna, la navigazione sul Web sta diventando di nuovo più sicura ...

Aggiornamenti TLS

Potresti aver visto SSL e Transport Layer Security (TLS) usati in modo intercambiabile, e mentre le differenze sono forse sottili, rimangono degne di nota.

Entrambi utilizzano lo stesso sistema di crittografia dei dati e il conferimento con l'autorità di certificazione (CA) prima di effettuare tale connessione. TLS, tuttavia, è il successore di SSL, quindi è ovvio che TLS sarebbe più sicuro. In effetti, le sue tre incarnazioni - TLS 1.0, 1.1 e 1.2 - eliminano alcune delle vulnerabilità riscontrate nel metodo SSL.

TLS 1.3 è in circolazione dal 2008, ma poiché i difetti delle versioni precedenti erano considerati così minuscoli non avrebbero alcun effetto “mondo reale” situazioni, è stata presa fino a tempi molto recenti per la sua implementazione di massa. In effetti, già nel 2013, sembrava che persino la National Security Agency (NSA) non stesse bersagliando domini con i protocolli TLS perché così pochi l'avevano effettivamente utilizzata. Ora, però, un mandato del PCI Security Council ha costretto qualsiasi sito che trasmette o elabora le informazioni relative ai titolari di carta nell'aggiornamento.

Inoltre, tutti i principali browser - Google Chrome, Microsoft Edge, Safari, Firefox e Opera - supportano TLS 1.2 per impostazione predefinita, in modo tale che il livello di crittografia sia garantito da entrambe le parti. Si noti, tuttavia, che il mandato sembra riguardare esclusivamente i dettagli del pagamento, non le informazioni di accesso.

Crittografia ovunque

L'aggiornamento dei certificati è utile solo se è ampiamente adottato e non è così. Tutti i siti di e-commerce necessitano di pratiche di sicurezza e la maggioranza dovrebbe avere SSL o TLS. Molti si affidano alla protezione di processori di pagamento di terze parti, come PayPal (questa sembra essere una scappatoia nel mandato del PCI Security Council), ma se un sito accetta informazioni private, dovrebbe utilizzare un livello sicuro.

Se la tua connessione non è privata, i dati inclusi indirizzo e-mail e password al momento del login possono essere acquisiti dagli hacker. E perché la maggior parte delle persone tende ad usare le stesse password Le 7 tattiche più comuni usate per hackerare le password Le 7 tattiche più comuni usate per hackerare le password Quando senti "violazione della sicurezza", cosa ti viene in mente? Un hacker malevolo? Qualche ragazzo che abita nel seminterrato? La realtà è che tutto ciò che serve è una password e gli hacker hanno 7 modi per ottenere il tuo. Maggiori informazioni su più siti (nonostante tutti gli avvertimenti 7 Errori delle password che ti faranno probabilmente incastrare 7 errori delle password che ti faranno probabilmente incastrare Le peggiori password del 2015 sono state rilasciate, e sono piuttosto preoccupanti, ma mostrano che è assolutamente fondamentale per rafforzare le tue password deboli, con poche semplici modifiche. Per saperne di più), che potrebbero essere informazioni vitali.

Tuttavia, molti siti non adottano protocolli SSL perché possono essere costosi e possono essere complicati. È qui che entra in gioco il programma Symantec Encryption Everywhere.

L'azienda americana di sicurezza offre un servizio freemium, grazie al quale il certificato è completamente gratuito, con aggiornamenti (come le scansioni di malware) disponibili a un costo. Le partnership con le società di hosting eliminano le complessità dagli amministratori del sito, mentre gli aggiornamenti automatici semplificano il processo di risoluzione di eventuali ulteriori vulnerabilità.

Questo è nel tentativo di ottenere l'utilizzo del livello di sicurezza al 100% entro il 2018, quindi prevediamo che verrà adottato dalla maggior parte dei siti molto presto.

Let's Encrypt

Ma aspetta! Symantec non è l'unico a puntare alla crittografia SSL / TLS su tutto il Web.

Let's Encrypt sembra cavalcare l'onda di difetti più recenti; lanciato al pubblico nel dicembre 2015, il progetto ha già numerosi importanti sponsor internazionali tra cui Google Chrome, Mozilla, Facebook, Shopify, YunPian e Akamai. Gestito da Internet Security Research Group (ISRG), Let's Encrypt ha emesso più di 5 milioni di certificati e sta proiettando il 50% di caricamenti di pagine HTTPS entro la fine di quest'anno.

Perché Let's Encrypt si rivela popolare? Semplicemente come è gratuito e automatizzato, il che significa che è incredibilmente facile per i siti ottenere certificati e aggiornamenti.

L'iniziativa inizia con una nuova coppia di chiavi private e la prova del proprietario del dominio alla CA; una volta verificato mediante il protocollo ACME (Automated Certificate Management Environment), il software del sito può firmare i messaggi di gestione dei certificati con la chiave per rinnovare e revocare i certificati o crearne di nuovi per lo stesso dominio.

Abbiamo appena pubblicato il nostro 5 milionesimo certificato!

- Let's Encrypt (@letsencrypt), 17 giugno 2016

Let's Encrypt è probabilmente il progetto più conosciuto per offrire certificati gratuiti e, tra questi importanti programmi, sembra certamente una causa attendibile.

Convergenza

Tuttavia, potresti essere disilluso dai certificati SSL.

La loro reputazione è stata danneggiata negli ultimi anni: molti hanno almeno sentito parlare di Heartbleed Heartbleed - Cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Per saperne di più, una vulnerabilità nella libreria di crittografia open source, OpenSSL, che consente agli hacker di leggere le informazioni non crittografate. Heartbleed ha colpito molti servizi Digging Through The Hype: Heartbleed ha realmente danneggiato qualcuno? Scavando attraverso la campagna pubblicitaria: ha Heartbleed realmente danneggiato qualcuno? Per saperne di più, ma questo è stato due anni fa Cinque violazioni alla tua privacy nel 2014 che avresti perso cinque violazioni alla tua privacy nel 2014 che avresti potuto perdere Numerose pubblicazioni rivelate nella vita privata delle celebrità nel 2014, un anno in cui il anche i riflettori hanno brillato sul pubblico in generale. Possiamo imparare qualcosa da queste violazioni? Leggi di più e una correzione è disponibile. Ma l'anno scorso c'erano i proprietari di laptop Superfish di Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Il produttore cinese di computer Lenovo ha ammesso che i laptop spediti a negozi e consumatori alla fine del 2014 avevano malware preinstallati. Per saperne di più, malware che ha eseguito il rendering di HTTPS; Superfish non è ancora stato catturato: il dirottamento SSL ha spiegato Superfish non è ancora stato catturato: il dirottamento SSL ha spiegato Il malware Superfish di Lenovo ha causato scalpore, ma la storia non è finita. Anche se hai rimosso l'adware dal tuo computer, la stessa vulnerabilità esiste in altre applicazioni online. Leggi di più .

E non è limitato al tuo PC: le tue app per smartphone sono coinvolte 1.000 App iOS Hanno bug Crippling SSL: Come verificare se sei interessato 1000 Apps iOS hanno bug paralizzante SSL: Come verificare se sei interessato Il bug di AFNetworking è dare agli utenti iPhone e iPad problemi, con migliaia di app che portano una vulnerabilità che porta a certificare correttamente i certificati SSL, potenzialmente facilitando il furto di identità tramite attacchi man-in-the-middle. Leggi di più dai difetti SSL anche.

Convergence, quindi, è un componente aggiuntivo del browser che molti confondono con un sistema che sostituisce i certificati SSL; più di ogni altra cosa, però, è la fase successiva per le CA. In sostanza, anziché affidarsi a una CA che garantisce l'autenticità di un sito, Convergence si rivolge ai servizi notarili per attestare la sicurezza del sito.

Visita un indirizzo HTTPS. Ci sono tre risultati principali: tutti i notai concordano che è sicuro, nel qual caso, si utilizza il sito; non tutti sono d'accordo, ma puoi andare con la maggioranza o rifiutare il sito perché non ti fidi dei notai fare garantire per questo; o in casi estremi, la maggior parte o tutti i notai sono d'accordo che non ci si può fidare. In questo modo, non c'è un singolo punto di errore.

Pensala in questo modo: è una convergenza di opinioni sul fatto che un utente possa fidarsi dell'HTTPS.

Come Internet sta diventando Securer?

Perché li chiamiamo ancora come certificati SSL? Sicuramente dovrebbero essere certificati TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 giugno 2016

In un guscio di noce: i certificati SSL che autenticano i siti vengono aggiornati a TLS, soprattutto su domini come PayPal che gestiscono le informazioni di pagamento. Questi sono stati lanciati in massa, con l'obiettivo dell'utilizzo HTTPS al 100% nei prossimi anni. Anche le CA sono state riesaminate e il componente aggiuntivo di Convergence appare un solido palcoscenico per verificare quanto sia affidabile un sito affidandosi ai notai per concordare.

Queste misure ti danno ancora fiducia in SSL? Fai sentire inserimento sicuro dei dettagli di pagamento online? Quali ulteriori protocolli di sicurezza ti piacerebbe vedere ampiamente implementati?

Crediti immagine: HTTPS (WeTransfer) di Christiaan Colen; e https di Sean MacEntee.

Scopri di più su: Crittografia, SSL.