自1994年安全套接字层(SSL)协议问世以来,我们在线共享的个人信息就呈指数增长。
互联网充满了密码短语。我们有SSL证书,以感谢我们的安全性和私密性。但是您可能听说过最近的一些漏洞,这些漏洞使您对加密协议的信任下降了。
幸运的是,SSL正在进行调整,升级和替换,以使您更加放心。
反正是什么SSL?
让我们从SSL到底是什么开始。
SSL证书是可以由组织获得的数字授权文档。或个人经营处理敏感信息的网站。它可以确保数据可以在Web服务器和浏览器之间安全地传输,并且该信息没有被拦截并且其来源是真实的。
例如,请访问Amazon。查看URL,而不是典型的超文本传输协议(HTTP)地址,应将您重定向到HTTPS地址,您可以安全地通过该网站付款。 Hotmail,WordPress甚至Tumblr都使用SSL证书。
这对消费者(谁知道他们的数据得到负责任的对待)和卖方(不仅受益于买方的信任,而且受益于卖方)非常有用被Google排名更高。
然而,没有什么是绝对可靠的,并且仅在去年内就暴露出了一些SSL缺陷。幸运的是,Web浏览再次变得更加安全...
TLS升级
您可能已经看到SSL和传输层安全性(TLS)可以互换使用,尽管两者之间的差异可能很小,它们仍然值得注意。
两者都使用相同的数据加密系统,并在建立该连接之前与证书颁发机构(CA)进行协商。 TLS是SSL的继承者,因此可以说TLS会更安全。确实,它的三个版本TLS 1.0、1.1和1.2消除了SSL方法中发现的一些漏洞。
TLS 1.3自2008年以来就存在,但是由于以前版本中的缺陷是由于它被认为很小,不会影响“现实世界"的情况,直到最近才大规模实施。实际上,早在2013年,就连国家安全局(NSA)都没有针对运行TLS协议的域,因为实际上很少有人使用它。不过,现在,PCI安全委员会的一项授权已迫使任何传输或处理持卡人信息的站点进行升级。
所有主要浏览器-Google Chrome,Microsoft Edge,Safari,Firefox和Opera —默认情况下支持TLS 1.2,因此双方都可以确保加密级别。但是请注意,该授权似乎仅适用于付款详细信息,而不适用于登录信息。
无处不在的加密
升级证书仅在被广泛采用的情况下才有用,事实并非如此。 。所有电子商务站点都需要安全实践,并且大多数确实应该具有SSL或TLS。许多网站都依赖于第三方付款处理器的保护,例如PayPal(这似乎是PCI安全理事会规定的漏洞),但是如果站点接受私人信息,则应该使用安全层。
如果您的连接不是私人的,则黑客可以获取登录时包括电子邮件地址和密码在内的数据。而且,由于大多数人倾向于使用相同的密码(),所以这可能是至关重要的信息。
尽管如此,许多站点仍未采用SSL协议,因为它可能会导致成本高昂,并且可能会非常复杂。这就是Symantec的Encryption Everywhere程序所在的地方。
这家美国安全公司提供了免费增值服务,从而完全免费获得证书,并且需要付费进行升级(例如恶意软件扫描)。与托管公司的合作伙伴关系消除了站点管理员的复杂性,而自动更新简化了解决任何其他漏洞的过程。
这是为了在2018年实现100%安全层的使用,因此我们希望它很快就会被大多数站点采用。
让我们加密
但是,请等待!赛门铁克不是唯一一个在网络范围内进行SSL / TLS加密的公司。
让我们的Encrypt似乎正乘潮流而来;该项目于2015年12月启动,已经有众多主要的国际赞助商,包括Google Chrome,Mozilla,Facebook,Shopify,YunPian和Akamai。由互联网安全研究小组(ISRG)运营的“让我们加密"(Let's Encrypt)本月已发行了超过500万个证书,并计划在今年年底之前将HTTPS页面加载量提高到50%。
为什么让我们进行加密证明受欢迎?它是免费和自动的,这意味着站点非常容易获得证书和升级。
该计划始于一个新的私钥对,并向CA证明了域名所有者;一旦使用自动证书管理环境(ACME)协议对此进行了验证,站点软件便可以使用密钥对证书管理消息进行签名,以更新和吊销证书,或者为同一域创建新证书。
— Let's Encrypt(@letsencrypt)2016年6月17日
Let's Encrypt可以说是提供免费证书的最著名的项目,在这些主要程序之间,这显然是值得信赖的原因。
融合
不过,您可能对SSL证书感到失望。
近年来,它们的声誉受到了损害:大多数人至少听说过Heartbleed。
它也不仅限于您的PC:智能手机应用程序也受到SSL漏洞的影响。
那么,聚合是一种浏览器插件,很多人将其与替换SSL证书的系统混淆;不过,最重要的是,这是CA的下一阶段。本质上,Convergence不再信任一个CA来证明网站的真实性,而是求助于公证服务以证明该网站的安全性。
您访问的是HTTPS地址。主要结果有三点:所有公证人都认为这是安全的,在这种情况下,您可以使用该网站;并非所有人都同意,但是您可以选择多数或拒绝该网站,因为您不信任愿意为其提供担保的公证人;甚至在极端情况下,大多数或所有公证人都认为这是不受信任的。这样,就不会出现单点故障。
以这种方式思考:关于用户是否可以信任HTTPS的观点是一致的。
互联网如何变得更加安全
—克里斯·庞特(@chrispont),2016年6月7日
简而言之:用于认证站点的SSL证书正在升级到TLS,最重要的是在PayPal这样的域上处理付款信息。这些产品正在大规模推出,目标是在未来几年内100%使用HTTPS。同样,也正在重新评估CA,并且Convergence附加组件似乎是依靠公证人来验证站点是否值得信赖的坚实舞台。
这些措施是否再次使您对SSL充满信心?您是否感觉安全地在线输入付款明细?您希望进一步实现哪些进一步的安全协议?
图片来源:Christiaan Colen的HTTPS(WeTransfer); 和sean Macentee所使用的https。