Come la navigazione Web sta diventando ancora più sicura

Annuncio pubblicitario

La ricchezza di informazioni personali che condividiamo online è cresciuta in modo esponenziale dal 1994, all'inizio del protocollo SSL (Secure Sockets Layer).

Internet è pieno di passphrase Perché le passphrase sono ancora meglio delle password e delle impronte digitaliRicordi quando le password non dovevano essere complicate? Quando i PIN erano facili da ricordare? Quei giorni sono passati e rischi di criminalità informatica significano che gli scanner di impronte digitali sono quasi inutili. È ora di iniziare a utilizzare i passcode ... Leggi di più , i dettagli della carta di credito e dati bancari online 6 ragioni di senso comune per cui dovresti effettuare una banca online se non sei già [Opinione]Come fai di solito il tuo bancario? Guidi in banca? Aspetti in fila, solo per depositare un assegno? Ricevi estratti cartacei mensili? Archivi quelli ... Leggi di più . Abbiamo certificati SSL da ringraziare per la nostra sicurezza e privacy. Ma probabilmente hai sentito parlare di recenti difetti che hanno intaccato la tua fiducia nel protocollo crittografico.

Fortunatamente, SSL si sta adattando, viene aggiornato e sostituito per offrirti una maggiore tranquillità. Ecco come.

Che cos'è SSL comunque?

Iniziamo con esattamente cos'è SSL Che cos'è un certificato SSL e ne hai bisogno?Navigare in Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più .

I certificati SSL sono documenti di autorizzazione digitali che possono essere ottenuti da un'organizzazione o da una persona che gestisce un sito che tratta informazioni riservate. Assicura che i dati possano essere trasportati in modo sicuro tra il web server e il browser, che queste informazioni non siano state intercettate e che le sue fonti siano autentiche.

Dai un'occhiata ad Amazon, per esempio. Guarda l'URL e invece di un tipico indirizzo HTTP (HyperText Transfer Protocol), dovresti esserlo reindirizzato a uno HTTPS Che cos'è HTTPS e come abilitare le connessioni sicure per impostazione predefinitaI problemi di sicurezza si stanno diffondendo in lungo e in largo e hanno raggiunto la prima linea nella mente di tutti. Termini come antivirus o firewall non sono più un vocabolario strano e non sono solo compresi, ma utilizzati anche da ... Leggi di più - quello aggiuntivo "S" significa che è un collegamento sicuro HTTPS ovunque: utilizzare HTTPS anziché HTTP quando possibile Leggi di più e sei sicuro di pagare per gli articoli tramite il sito. Hotmail, WordPress e persino Tumblr utilizzano i certificati SSL.

È ottimo per il consumatore (che sa che i suoi dati vengono trattati in modo responsabile) e per il venditore (che non solo beneficia della fiducia degli acquirenti, ma viene anche classificato più in alto da Google).

Tuttavia, nulla è infallibile e alcuni difetti SSL esposti solo nell'ultimo anno lo attestano. Per fortuna, la navigazione web sta tornando ad essere più sicura ...

Aggiornamenti TLS

Potresti aver visto SSL e Transport Layer Security (TLS) usati in modo intercambiabile e, sebbene le differenze siano forse sottili, rimangono degne di nota.

Entrambi utilizzano lo stesso sistema di crittografia dei dati e conferiscono con l'autorità di certificazione (CA) prima di effettuare tale connessione. TLS, tuttavia, è il successore di SSL, quindi è ovvio che TLS sarebbe più sicuro. In effetti, le sue tre incarnazioni - TLS 1.0, 1.1 e 1.2 - risolvono alcune delle vulnerabilità riscontrate nel metodo SSL.

TLS 1.3 è in circolazione dal 2008, ma poiché i difetti nelle versioni precedenti erano considerati così minuscoli non influenzerebbero le situazioni del "mondo reale", è stata presa fino a poco tempo fa per la sua massa implementazione. Infatti, nel 2013, sembrava che anche la National Security Agency (NSA) non stesse prendendo di mira i domini che eseguivano i protocolli TLS perché così pochi effettivamente lo utilizzavano. Ora, tuttavia, un mandato del Consiglio di sicurezza PCI ha costretto qualsiasi sito che trasmette o elabora le informazioni dei titolari di carta all'aggiornamento.

Inoltre, tutti i principali browser - Google Chrome, Microsoft Edge, Safari, Firefox e Opera - supportano TLS 1.2 per impostazione predefinita, in modo che il livello di crittografia sia assicurato da entrambe le parti. Si noti, tuttavia, che il mandato sembra applicarsi esclusivamente ai dettagli di pagamento, non alle informazioni di accesso.

Crittografia ovunque

L'aggiornamento dei certificati è utile solo se è ampiamente adottato e non è così. Tutti i siti di e-commerce richiedono pratiche di sicurezza e la maggior parte dovrebbe davvero avere SSL o TLS. Molti si affidano alla protezione dei processori di pagamento di terze parti, come PayPal (questa sembra essere una scappatoia il mandato del Consiglio di sicurezza PCI), ma se un sito accetta informazioni private, dovrebbe utilizzare un livello sicuro.

Se la tua connessione non è privata, gli hacker possono acquisire dati che includono indirizzo email e password durante l'accesso. E perché la maggior parte delle persone tende a farlo usa le stesse password Le 7 tattiche più comuni utilizzate per hackerare le passwordQuando senti "violazione della sicurezza", cosa ti viene in mente? Un hacker malevolo? Qualche ragazzino nel seminterrato? La realtà è che tutto ciò che serve è una password e gli hacker hanno 7 modi per ottenere la tua. Leggi di più su più siti (nonostante tutti gli avvertimenti 7 errori di password che probabilmente ti faranno hackerareLe password peggiori del 2015 sono state rilasciate e sono abbastanza preoccupanti. Ma mostrano che è assolutamente fondamentale rafforzare le tue password deboli, con solo alcune semplici modifiche. Leggi di più ), potrebbero essere informazioni vitali.

Tuttavia, molti siti non adottano protocolli SSL perché possono essere costosi e complicati. È qui che entra in gioco il programma Encryption Everywhere di Symantec.

La società di sicurezza americana offre un servizio freemium, in base al quale il certificato viene ottenuto completamente gratuitamente, con aggiornamenti (come scansioni di malware) disponibili a un costo. Le partnership con le società di hosting eliminano le complessità dalle mani degli amministratori del sito, mentre gli aggiornamenti automatici semplificano il processo di risoluzione di eventuali ulteriori vulnerabilità.

Si tratta di un'offerta per ottenere il 100% di utilizzo del livello di sicurezza entro il 2018, quindi prevediamo che venga adottato molto presto dalla maggior parte dei siti.

Facciamo crittografare

Ma aspetta! Symantec non è l'unico che si impegna per la crittografia SSL / TLS sul Web.

Let's Encrypt sembra cavalcare l'onda di difetti più recenti; lanciato al pubblico a dicembre 2015, il progetto ha già numerosi importanti sponsor internazionali tra cui Google Chrome, Mozilla, Facebook, Shopify, YunPian e Akamai. Gestito dall'Internet Security Research Group (ISRG), Let's Encrypt di questo mese ha emesso più di 5 milioni di certificati e prevede di caricare il 50% delle pagine HTTPS entro la fine di quest'anno.

Perché crittografiamo diventando popolare? Semplicemente perché è gratuito e automatizzato, il che significa che è incredibilmente facile per i siti ottenere certificati e upgrade.

L'iniziativa inizia con una nuova coppia di chiavi private e la prova del proprietario del dominio alla CA; una volta verificato questo tramite il protocollo ACME (Automated Certificate Management Environment), il software del sito può firmare messaggi di gestione dei certificati con la chiave per rinnovare e revocare i certificati o crearne di nuovi per lo stesso dominio.

Abbiamo appena emesso il nostro 5 milionesimo certificato!

- Let's Encrypt (@letsencrypt) 17 giugno 2016

Let's Encrypt è senza dubbio il progetto più noto per offrire certificati gratuiti e, tra questi importanti programmi, sembra certamente essere una causa affidabile.

Convergenza

Tuttavia, potresti essere deluso dai certificati SSL.

La loro reputazione è stata danneggiata negli ultimi anni: la maggior parte almeno sentito parlare di Heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più , una vulnerabilità nella libreria di crittografia open source, OpenSSL, che consente agli hacker di leggere informazioni non crittografate. Heartbleed ha interessato molti servizi Scavare attraverso l'hype: Heartbleed ha effettivamente fatto del male a qualcuno? Leggi di più , ma quello era due anni fa Cinque violazioni della tua privacy nel 2014 che potresti aver persoNumerose pubblicazioni si sono divertite nella vita privata delle celebrità nel 2014, un anno in cui i riflettori hanno anche riflesso il grande pubblico. Possiamo imparare qualcosa da queste violazioni? Leggi di più e una soluzione è disponibile. Ma poi l'anno scorso, c'era Superfish Proprietari dei laptop Lenovo Attenzione: il dispositivo potrebbe avere malware preinstallatoIl produttore cinese di computer Lenovo ha ammesso che i laptop spediti ai negozi e ai consumatori alla fine del 2014 avevano malware preinstallato. Leggi di più , malware che ha reso il moot HTTPS; anche questo, è stato corretto Superfish non è ancora stato catturato: spiegato il dirottamento SSLIl malware Superfish di Lenovo ha suscitato scalpore, ma la storia non è finita. Anche se hai rimosso l'adware dal tuo computer, la stessa vulnerabilità esiste in altre applicazioni online. Leggi di più .

E non si limita nemmeno al tuo PC: il tuo le app per smartphone sono interessate 1.000 app iOS hanno bug SSL paralizzante: come verificare se sei interessatoIl bug di AFNetworking sta causando problemi agli utenti di iPhone e iPad, con migliaia di app che presentano una vulnerabilità I certificati SSL vengono correttamente autenticati, facilitando potenzialmente il furto di identità attraverso il man-in-the-middle attacchi. Leggi di più anche da difetti SSL.

Convergence, quindi, è un componente aggiuntivo del browser che molti confondono con un sistema che sostituisce i certificati SSL; più che altro, tuttavia, è la fase successiva per le autorità di certificazione. In sostanza, invece di fidarsi di una CA che garantisce l'autenticità di un sito, Convergence si rivolge a servizi notarili per attestare la sicurezza del sito.

Visiti un indirizzo HTTPS. I risultati principali sono tre: tutti i notai concordano sul fatto che è sicuro, nel qual caso si utilizza il sito; non tutti concordano, ma puoi andare con la maggioranza o rifiutare il sito perché non ti fidi dei notai fare garantirlo; o in casi estremi, la maggior parte o tutti i notai concordano sul fatto che non ci si deve fidare. In questo modo, non esiste un singolo punto di errore.

Pensala in questo modo: è una convergenza di opinioni sul fatto che un utente possa fidarsi dell'HTTPS.

In che modo Internet sta diventando Securer?

Perché li chiamiamo ancora certificati SSL? Sicuramente dovrebbero essere certificati TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 giugno 2016

In poche parole: i certificati SSL che autenticano i siti vengono aggiornati a TLS, soprattutto su domini come PayPal che trattano le informazioni di pagamento. Questi vengono implementati in massa, con l'obiettivo di un utilizzo HTTPS del 100% nei prossimi anni. Anche le autorità di certificazione vengono rivalutate e il componente aggiuntivo Convergence appare una fase solida nel verificare quanto sia affidabile un sito facendo affidamento sui notai per concordare.

Queste misure ti danno nuovamente fiducia in SSL? Fai sentire inserimento sicuro dei dettagli di pagamento online? Quali altri protocolli di sicurezza vorresti vedere ampiamente implementati?

Crediti immagine: HTTPS (WeTransfer) di Christiaan Colen; e https di Sean MacEntee.