Webinar: wszystko co powinieneś wiedzieć o SSL
Wzrost liczby cyberataków i większa świadomość na temat nadzoru rządowego spowodowały wezwania do zwiększenia bezpieczeństwa w Internecie, a duża część tego polega na szyfrowaniu ruchu, który przepływa do iz witryn internetowych. Google, Facebook i Microsoft to jedne z wielu firm, które naciskają na szersze zastosowanie szyfrowania SSL / TLS (Secure Sockets Layer / Transport Layer Security), choć może to być trudne i kosztowne w implementacji. Oto podstawy tego, co musisz wiedzieć.
Co to jest SSL / TLS?
Jest to protokół pierwotnie opracowany częściowo przez Netscape w latach 90. XX w., Aby zapewnić autentyczność stron internetowych i umożliwić bezpieczną wymianę danych z końcem użytkowników. Tworzy szyfrowane połączenie za pomocą kryptografii z kluczem publicznym, zwykle oznaczonej "https" i kłódką wyświetlanej w oknie adresu URL przeglądarki.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Dlaczego to jest ważne?
Dane wymieniane przy użyciu tylko protokołu http mogą być przechwytywane przez hakerów. Dane mogą być zbierane lub przerabiane, co stwarza ryzyko dla prywatności i bezpieczeństwa użytkowników. Prawie wszystkie renomowane banki i witryny e-commerce używają obecnie SSL / TLS, ale wiele mniejszych witryn wciąż tego nie robi.
Czy to jest trudne?
SSL / TLS jest trudne i trudne do wdrożenia, zwłaszcza w przypadku bardzo dużych stron internetowych. Organizacje znane jako urzędy certyfikacji (CA) sprzedają różne rodzaje certyfikatów cyfrowych używanych do uwierzytelniania stron internetowych. W zależności od rodzaju certyfikatu urzędy certyfikacji weryfikują, czy podmiot, który się o to zwraca, jest zgodny z prawem, w celu ochrony przed fałszywymi witrynami. Ale certyfikaty mogą być drogie, a krytycy twierdzą, że koszt i złożoność są odpychające. Certyfikaty również wygasają i ważne jest, aby administratorzy IT wiedzieli, kiedy trzeba je odnowić.
Czy są jakieś słabości?
Krótko mówiąc, wiele. Eksperci ds. Bezpieczeństwa cybernetycznego opracowali liczne ataki na przestrzeni lat, które zaszkodziły połączeniom SSL / TLS. Ponadto luki w oprogramowaniu, takie jak Heartbleed, znaleziono w OpenSSL, powszechnie używanej aplikacji SSL. Czasami zdarzały się włamania do urzędów certyfikacji, a osoby atakujące tworzyły certyfikaty witryn internetowych służących do wyłudzania informacji. W 2011 roku kryptograf Moxie Marlinspike przedstawił wiele słabości systemu CA i złożoność znalezienia zamiennika. "To niesamowite, że protokół SSL przetrwał tak długo, jak ma to miejsce w przeciwieństwie do wielu innych protokołów z tego samego rocznika" - napisał Marlinspike. Ponad 600 urzędów certyfikacji wystawia lub sprzedaje certyfikaty SSL / TLS; niektóre z większych graczy to Verisign i Comodo.
Co robiono w związku z problemami?
Projekt zatytułowany Let's Encrypt, wprowadzony w zeszłym roku, wydaje bezpłatne certyfikaty cyfrowe potwierdzone domeną jako część ruchu mającego na celu przyspieszenie szerszego stosowania szyfrowania w Internecie. Błędy w protokołach SSL / TLS są łatane po wykryciu nowych ataków, ale w tym momencie nie ma możliwości zastąpienia całego systemu. Zmiana wymagałaby zgody całej branży i jest to mało prawdopodobne w najbliższym czasie. Obecnie ochrona prywatnych kluczy SSL / TLS jest prawdopodobnie najważniejszym zadaniem, a różne moduły bezpieczeństwa sprzętowego na rynku mogą bezpiecznie zarządzać tymi kluczami cyfrowymi.
5 Rzeczy, które musisz wiedzieć o analitykach społecznościowych
To duża firma, która w ostatnich latach bardzo dojrzała. Czy twoja firma robi tak dużo, jak to możliwe, aby skorzystać z nowych strumieni danych?
5 Rzeczy, które musisz wiedzieć o legalnym przekazywaniu danych poza Europę
Umowa między UE a UE w sprawie bezpiecznego transferu danych na transatlantyckie przesyłanie danych nie żyje. Co teraz?
5 Rzeczy, które musisz wiedzieć o SSL
Oto szybki i brudny przewodnik po SSL / TLS, jednej z najważniejszych technologii zabezpieczania danych Internet.
