V posledných správach sa objavilo toľko veľkých únikov údajov, a preto by vás možno zaujímalo, ako sú vaše údaje chránené, keď ste online. Keď pôjdete na nejakú webovú stránku na nákup a zadáte číslo svojej kreditnej karty, dúfajme, že o pár dní vám balíček dorazí k dverám. Ale v tom momente, než stlačíte Objednať, zaujíma vás, ako funguje online bezpečnosť?
Základy online bezpečnosti
V základnej forme sa online bezpečnosť – bezpečnosť, ktorá prebieha medzi počítačom a webovou stránkou – vykonáva prostredníctvom série otázok a odpovedí. Zadáte webovú adresu do prehliadača a prehliadač potom požiada túto stránku o overenie jej pravosti. Stránka odpovie príslušnými informáciami a keď obaja súhlasia, stránka sa otvorí vo webovom prehliadači.
Medzi položenými otázkami a vymieňanými informáciami sú údaje o type šifrovania, ktoré prenáša informácie o prehliadači, informácie o počítači a osobné informácie medzi prehliadačom a webovou stránkou. Tieto otázky a odpovede sa nazývajú podanie ruky. Ak sa podanie ruky neuskutoční, web, ktorý sa pokúšate navštíviť, sa považuje za nebezpečný.
HTTP vs
- Otvorené pre každého, kto si ho môže po ceste pozrieť.
- Jednoduchšie nastavenie a spustenie.
-
Žiadne zabezpečenie hesiel a odoslaných údajov.
- Plne šifrované na skrytie informácií.
- Vyžaduje dodatočnú konfiguráciu servera.
- Chráni prenášané informácie vrátane hesiel.
Jedna vec, ktorú si môžete všimnúť, keď navštívite stránky na webe, je, že niektoré majú adresu, ktorá sa začína http a niektoré začínajú https. HTTP znamená Hypertext Transfer Protocol; je to protokol alebo súbor pokynov, ktoré určujú zabezpečenú komunikáciu cez internet.
Niektoré stránky, najmä stránky, na ktorých sa od vás požaduje poskytnutie citlivých informácií alebo informácií umožňujúcich identifikáciu osôb, môžu zobrazovať https buď zelenou alebo červenou farbou s prečiarknutou čiarou. HTTPS znamená Hypertext Transfer Protocol Secure a zelená znamená, že stránka má overiteľný bezpečnostný certifikát. Červená s prečiarknutou čiarou znamená, že stránka nemá bezpečnostný certifikát alebo je certifikát nepresný alebo jeho platnosť vypršala.
Tu je situácia trochu mätúca. HTTP neznamená, že dáta prenášané medzi počítačom a webovou stránkou sú šifrované. Znamená to len, že web, ktorý komunikuje s prehliadačom, má aktívny bezpečnostný certifikát. Iba v prípade, že je zahrnuté S (ako v S), sú prenášané údaje zabezpečené a používa sa iná technológia, vďaka ktorej je toto bezpečné označenie možné.
SSL vs. TLS
- Pôvodne vyvinutý v roku 1995.
- Skoršia úroveň šifrovania webu.
- Zaostal za rýchlo rastúcim internetom.
- Začalo ako tretia verzia SSL.
- Zabezpečenie transportnej vrstvy.
- Pokračovať v zlepšovaní šifrovania používaného v SSL.
- Pridané bezpečnostné opravy pre nové typy útokov a bezpečnostných dier.
SSL bol pôvodný bezpečnostný protokol na zaistenie bezpečnosti webových stránok a údajov prenášaných medzi týmito stránkami. Podľa GlobalSign bolo SSL predstavené v roku 1995 ako verzia 2.0. Prvá verzia (1.0) sa nikdy nedostala do verejnej sféry. Verzia 2.0 bola do roka nahradená verziou 3.0, aby sa odstránili zraniteľné miesta v protokole.
V roku 1999 bola predstavená ďalšia verzia SSL s názvom Transport Layer Security (TLS), aby sa zlepšila rýchlosť konverzácie a bezpečnosť handshake. TLS je verzia, ktorá sa momentálne používa, aj keď sa kvôli jednoduchosti často označuje ako SSL.
Porozumenie protokolu SSL
- Skryje informácie nastavené medzi počítačom a webovou stránkou.
- Chráni prihlasovacie údaje.
- Zabezpečuje online nákupy.
- Nechráni pred všetkými hrozbami.
- Nemôžem vás zabezpečiť na stránkach, ktoré nepoužívajú SSL.
- Nedá sa skryť, ktoré webové stránky navštevujete.
Keď uvažujete o tom, že si s niekým podáte ruku, znamená to, že je do toho zapojená druhá strana. Online bezpečnosť je podobná. Aby sa podanie ruky, ktoré zaisťuje bezpečnosť online, uskutočnilo, musí byť zapojená druhá strana. Ak je HTTPS protokol, ktorý webový prehliadač používa na zaistenie bezpečnosti, potom druhá polovica tohto handshake je protokol, ktorý zabezpečuje šifrovanie.
Šifrovanie je technológia, ktorá sa používa na maskovanie údajov prenášaných medzi dvoma zariadeniami v sieti. Dosahuje sa to premenou rozpoznateľných znakov na nerozoznateľné bláboly, ktoré je možné vrátiť do pôvodného stavu pomocou šifrovacieho kľúča. Pôvodne to bolo dosiahnuté prostredníctvom technológie s názvom Zabezpečenie Secure Socket Layer (SSL).
SSL bola technológia, ktorá premenila akékoľvek dáta presúvané medzi webovou stránkou a prehliadačom na nezmysel a potom späť na dáta. Funguje to takto:
- Otvorte prehliadač a zadajte adresu svojej banky.
- Webový prehliadač klope na dvere banky a predstavuje vás.
- Vrátnik overí, že ste tým, za koho sa vydávate, a súhlasí s tým, že vás vpustí dnu za určitých podmienok.
- Webový prehliadač súhlasí s týmito podmienkami a potom máte povolený prístup na webovú stránku banky.
Po zadaní používateľského mena a hesla sa proces zopakuje s niekoľkými ďalšími krokmi.
- Zadajte svoje používateľské meno a heslo, aby ste získali prístup k svojmu účtu.
- Váš webový prehliadač informuje správcu účtu banky, že by ste chceli získať prístup k svojmu účtu.
- Porozprávajú sa a súhlasia s tým, že ak poskytnete správne poverenia, bude vám udelený prístup. Tieto poverenia však musia byť prezentované v špeciálnom jazyku.
- Webový prehliadač a správca účtu banky súhlasia s jazykom, ktorý sa bude používať.
- Webový prehliadač skonvertuje vaše používateľské meno a heslo do tohto špeciálneho jazyka a odovzdá ho správcovi účtu banky.
- Správca účtu prijme údaje, dekóduje ich a porovná so svojimi záznamami.
- Ak sa vaše poverenia zhodujú, máte prístup k svojmu účtu.
Proces prebieha v nanosekundách, takže si nevšimnete, ako dlho trvá konverzácia a podanie ruky medzi webovým prehliadačom a webovou stránkou.
Šifrovanie TLS
- Bezpečnejšie šifrovanie.
- Skryje údaje medzi počítačom a webovými stránkami.
- Lepší proces handshake pri vyjednávaní šifrovanej komunikácie.
- Žiadne šifrovanie nie je dokonalé.
- Nezabezpečuje automaticky DNS.
- Nie je plne kompatibilné so staršími verziami.
Šifrovanie TLS bolo zavedené na zlepšenie bezpečnosti údajov. Zatiaľ čo SSL bola dobrá technológia, zabezpečenie sa mení rýchlym tempom, čo viedlo k potrebe lepšieho a najaktuálnejšieho zabezpečenia. TLS bolo postavené na rámci SSL s vylepšeniami algoritmov, ktoré riadia komunikáciu a proces handshake.
Ktorá verzia TLS je najaktuálnejšia?
Rovnako ako v prípade SSL, aj šifrovanie TLS sa neustále zlepšuje. Aktuálna verzia TLS je 1.2, ale bol navrhnutý TLSv1.3 a niektoré spoločnosti a prehliadače používajú zabezpečenie na krátke časové obdobia. Vo väčšine prípadov sa vrátia k TLSv1.2, pretože verzia 1.3 sa stále zdokonaľuje.
Po dokončení prinesie TLSv1.3 množstvo vylepšení zabezpečenia vrátane vylepšenej podpory pre aktuálnejšie typy šifrovania. TLSv1.3 však tiež zruší podporu starších verzií protokolov SSL a iných bezpečnostných technológií, ktoré už nie sú dostatočne robustné na to, aby zaistili správne zabezpečenie a šifrovanie osobných údajov.
