С толкова много големи нарушения на сигурността на данните в новините напоследък може да се чудите как са защитени вашите данни, когато сте онлайн. Когато отидете на уебсайт, за да пазарувате и въведете номера на кредитната си карта, да се надяваме, че след няколко дни на вратата ви ще пристигне пакет. Но в този момент, преди да натиснете Поръчка, чудите ли се как работи онлайн сигурността?
Основи на онлайн сигурността
В основната си форма онлайн сигурността - сигурността, която се осъществява между компютър и уебсайт - се осъществява чрез поредица от въпроси и отговори. Вие въвеждате уеб адрес в браузър и след това браузърът иска от този сайт да потвърди своята автентичност. Сайтът отговаря с подходящата информация и след като и двамата се съгласят, сайтът се отваря в уеб браузъра.
Сред зададените въпроси и обменената информация са данни за типа криптиране, което предава информацията за браузъра, компютърната информация и личната информация между браузъра и уебсайта. Тези въпроси и отговори се наричат ръкостискане. Ако това ръкостискане не се осъществи, уебсайтът, който се опитвате да посетите, се счита за опасен.
HTTP срещу
- Отворено за всеки, който може да види по пътя.
- По-лесен за настройка и работа.
- Няма сигурност за пароли и изпратени данни.
-
Напълно криптиран за скриване на информация.
- Изисква допълнителна конфигурация на сървъра.
- Защитава предадената информация, включително пароли.
Нещо, което може да забележите, когато посещавате сайтове в мрежата, е, че някои имат адрес, който започва с http, а някои започват с https. HTTP означава Hypertext Transfer Protocol; това е протокол или набор от указания, които обозначават защитена комуникация по интернет.
Някои сайтове, особено сайтове, където от вас се иска да предоставите чувствителна или лична информация, може да показват https в зелено или в червено с линия през него. HTTPS означава Hypertext Transfer Protocol Secure, а зеленото означава, че сайтът има сертификат за сигурност, който може да се провери. Червено с линия през него означава, че сайтът няма сертификат за сигурност или сертификатът е неточен или изтекъл.
Тук нещата стават малко объркващи. HTTP не означава, че данните, прехвърляни между компютър и уебсайт, са криптирани. Това означава само, че уебсайтът, който комуникира с браузъра, има активен сертификат за сигурност. Само когато е включен S (както в S) данните, които се прехвърлят, са защитени и има друга използвана технология, която прави това защитено обозначение възможно.
SSL срещу TLS
- Първоначално разработен през 1995 г.
- По-ранно ниво на уеб криптиране.
- Изостава от бързо развиващия се интернет.
- Стартира като третата версия на SSL.
- Сигурност на транспортния слой.
- Продължаваме да подобряваме криптирането, използвано в SSL.
- Добавени корекции на сигурността за нови видове атаки и дупки в сигурността.
SSL беше оригиналният протокол за сигурност, който гарантира, че уебсайтовете и данните, предавани между сайтовете, са защитени. Според GlobalSign SSL е въведен през 1995 г. като версия 2.0. Първата версия (1.0) никога не е станала обществено достояние. Версия 2.0 беше заменена от версия 3.0 в рамките на една година за справяне с уязвимостите в протокола.
През 1999 г. беше въведена друга версия на SSL, наречена Transport Layer Security (TLS), за подобряване на скоростта на разговора и сигурността на ръкостискането. TLS е версията, която се използва в момента, въпреки че често се нарича SSL за по-голяма простота.
Разбиране на SSL протокола
- Скрива информация, зададена между компютър и уебсайт.
- Защитава информацията за вход.
- Осигурява онлайн покупки.
- Не защитава срещу всички заплахи.
- Не може да ви защити на сайтове, които не използват SSL.
- Не може да се скрие кои уебсайтове посещавате.
Когато смятате да споделите ръкостискане с някого, това означава, че има намесена втора страна. Онлайн сигурността е почти по същия начин. За да се осъществи ръкостискането, което гарантира сигурността онлайн, трябва да участва втора страна. Ако HTTPS е протоколът, който уеб браузърът използва, за да гарантира, че има сигурност, тогава втората половина на това ръкостискане е протоколът, който гарантира криптиране.
Шифроването е технологията, която се използва за прикриване на данни, които се прехвърлят между две устройства в мрежа. Това се постига чрез превръщане на разпознаваеми знаци в неразпознаваеми безсмислици, които могат да бъдат върнати в първоначалното си състояние с помощта на ключ за криптиране. Първоначално това беше постигнато чрез технология, наречена защита на Secure Socket Layer (SSL).
SSL беше технологията, която превърна всички данни, движещи се между уебсайт и браузър, в безсмислици и след това обратно в данни. Ето как работи:
- Отваряте браузър и въвеждате адреса на вашата банка.
- Уеб браузърът чука на вратата на банката и ви представя.
- Портиерът потвърждава, че сте този, за който се представяте, и се съгласява да ви пусне при определени условия.
- Уеб браузърът се съгласява с тези условия и след това ви е разрешен достъп до уебсайта на банката.
Процесът се повтаря, когато въведете вашето потребителско име и парола, с някои допълнителни стъпки.
- Въвеждате вашето потребителско име и парола, за да получите достъп до вашия акаунт.
- Вашият уеб браузър казва на мениджъра на сметката на банката, че искате достъп до сметката си.
- Те разговарят и се съгласяват, че ако можете да предоставите правилните идентификационни данни, ще ви бъде предоставен достъп. Тези идентификационни данни обаче трябва да бъдат представени на специален език.
- Уеб браузърът и мениджърът на сметката на банката се съгласяват с езика, който ще се използва.
- Уеб браузърът преобразува вашето потребителско име и парола на този специален език и ги предава на мениджъра на сметката на банката.
- Мениджърът на акаунта получава данните, декодира ги и ги сравнява със своите записи.
- Ако вашите идентификационни данни съвпадат, получавате достъп до вашия акаунт.
Процесът се извършва за наносекунди, така че не забелязвате времето, което е необходимо на разговора и ръкостискането да се осъществи между уеб браузъра и уебсайта.
TLS криптиране
- По-сигурно криптиране.
- Скрива данни между компютър и уебсайтове.
- По-добър процес на ръкостискане при договаряне на криптирана комуникация.
- Нито едно криптиране не е перфектно.
- Не защитава автоматично DNS.
- Не е напълно съвместим с по-стари версии.
TLS криптирането беше въведено за подобряване на сигурността на данните. Докато SSL беше добра технология, сигурността се променя с бързи темпове и това доведе до необходимостта от по-добра, по-актуална сигурност. TLS е изграден върху рамката на SSL с подобрения на алгоритмите, които управляват комуникацията и процеса на ръкостискане.
Коя TLS версия е най-актуална?
Както при SSL, TLS криптирането продължи да се подобрява. Текущата версия на TLS е 1.2, но TLSv1.3 е изготвен и някои компании и браузъри са използвали защитата за кратки периоди от време. В повечето случаи те се връщат към TLSv1.2, защото версия 1.3 все още се усъвършенства.
Когато бъде финализиран, TLSv1.3 ще донесе множество подобрения в сигурността, включително подобрена поддръжка за по-актуални типове криптиране. Въпреки това, TLSv1.3 също така ще премахне поддръжката за по-стари версии на SSL протоколи и други технологии за сигурност, които вече не са достатъчно надеждни, за да осигурят правилната сигурност и криптиране на лични данни.