С учетом того, что в последнее время в новостях появилось так много крупных утечек данных, вы можете задаться вопросом, как ваши данные защищены, когда вы находитесь в сети. Когда вы заходите на веб-сайт, чтобы сделать покупки и вводите номер своей кредитной карты, надеюсь, через несколько дней к вашей двери прибудет посылка. Но в тот момент, прежде чем вы нажмете «Заказать», вам интересно, как работает онлайн-безопасность?
Основы сетевой безопасности
В своей основной форме онлайн-безопасность - безопасность, которая имеет место между компьютером и веб-сайтом - осуществляется посредством серии вопросов и ответов. Вы вводите веб-адрес в браузер, а затем браузер запрашивает у этого сайта подтверждение его подлинности. Сайт отвечает соответствующей информацией, и после того, как оба соглашаются, сайт открывается в веб-браузере.
Среди задаваемых вопросов и обмена информацией есть данные о типе шифрования, которое передает информацию о браузере, информацию о компьютере и личную информацию между браузером и веб-сайтом. Эти вопросы и ответы называются рукопожатием. Если это рукопожатие не происходит, веб-сайт, который вы пытаетесь посетить, считается небезопасным.
HTTP против
- Открыто для всех, кто может увидеть по пути.
- Легче настроить и запустить.
- Без защиты паролей и отправленных данных.
-
Полностью зашифровано, чтобы скрыть информацию.
- Требуется дополнительная настройка сервера.
- Защищает передаваемую информацию, включая пароли.
Одна вещь, которую вы можете заметить при посещении сайтов в Интернете, это то, что некоторые адреса начинаются с http, а некоторые - с https. HTTP означает протокол передачи гипертекста; это протокол или набор рекомендаций, определяющих безопасную связь через Интернет.
Некоторые сайты, особенно сайты, на которых вас просят предоставить конфиденциальную или личную информацию, могут отображать https либо зеленым, либо красным цветом с перечеркнутой линией. HTTPS означает безопасный протокол передачи гипертекста, а зеленый означает, что сайт имеет проверяемый сертификат безопасности. Красный с перечеркнутой чертой означает, что у сайта нет сертификата безопасности, либо сертификат неточен, либо срок его действия истек.
Здесь все становится немного запутанным. HTTP не означает, что данные, передаваемые между компьютером и веб-сайтом, зашифрованы. Это означает, что веб-сайт, который взаимодействует с браузером, имеет активный сертификат безопасности. Только когда включен S (как в S), данные передаются в защищенном виде, и используется другая технология, которая делает это безопасным обозначение возможно.
SSL против TLS
- Первоначально разработан в 1995 году.
- Более ранний уровень веб-шифрования.
- Отстал от быстрорастущего интернета.
- Началась как третья версия SSL.
- Безопасность транспортного уровня.
- Продолжено улучшение шифрования, используемого в SSL.
- Добавлены исправления безопасности для новых типов атак и дыр в безопасности.
SSL был исходным протоколом безопасности для обеспечения безопасности веб-сайтов и данных, передаваемых между сайтами. Согласно GlobalSign, SSL был представлен в 1995 году как версия 2.0. Первая версия (1.0) так и не стала общедоступной. Версия 2.0 была заменена версией 3.0 в течение года для устранения уязвимостей в протоколе.
В 1999 году была представлена еще одна версия SSL, называемая Transport Layer Security (TLS), для повышения скорости обмена данными и безопасности рукопожатия. Версия TLS используется в настоящее время, хотя для простоты ее часто называют SSL.
Понимание протокола SSL
- Скрывает информацию, установленную между компьютером и веб-сайтом.
- Защищает данные для входа.
- Защищает онлайн-покупки.
- Не защищает от всех угроз.
- Невозможно защитить вас на сайтах, не использующих SSL.
- Невозможно скрыть, какие веб-сайты вы посещаете.
Когда вы решаете поделиться с кем-то рукопожатием, это означает, что в этом участвует вторая сторона. Онлайн-безопасность во многом такая же. Для рукопожатия, обеспечивающего безопасность в сети, должна быть задействована вторая сторона. Если HTTPS - это протокол, который веб-браузер использует для обеспечения безопасности, то вторая половина этого рукопожатия - это протокол, обеспечивающий шифрование.
Шифрование - это технология, которая используется для маскировки данных, передаваемых между двумя устройствами в сети. Это достигается путем превращения узнаваемых символов в неузнаваемую тарабарщину, которую можно вернуть в исходное состояние с помощью ключа шифрования. Первоначально это было достигнуто с помощью технологии безопасности Secure Socket Layer (SSL).
SSL была технологией, которая превращала любые данные, перемещающиеся между веб-сайтом и браузером, в тарабарщину, а затем снова в данные. Вот как это работает:
- Вы открываете браузер и вводите адрес своего банка.
- Веб-браузер стучится в дверь банка и представляет вас.
- Швейцар проверяет, что вы действительно тот, за кого себя выдаете, и соглашается впустить вас при соблюдении ряда условий.
- Веб-браузер соглашается с этими условиями, после чего вы получаете доступ к веб-сайту банка.
Процесс повторяется, когда вы вводите свое имя пользователя и пароль, с некоторыми дополнительными шагами.
- Вы вводите свое имя пользователя и пароль, чтобы получить доступ к своей учетной записи.
- Ваш веб-браузер сообщает менеджеру по работе с клиентами банка, что вы хотите получить доступ к своей учетной записи.
- Они беседуют и соглашаются, что если вы предоставите правильные учетные данные, вам будет предоставлен доступ. Однако эти учетные данные должны быть представлены с использованием специального языка.
- Веб-браузер и менеджер по работе с клиентами банка соглашаются с языком, который будет использоваться.
- Веб-браузер преобразует ваше имя пользователя и пароль на этот специальный язык и передает их менеджеру по работе с клиентами банка.
- Аккаунт-менеджер получает данные, расшифровывает их и сравнивает со своими записями.
- Если ваши учетные данные совпадают, вы получаете доступ к своей учетной записи.
Процесс происходит за наносекунды, поэтому вы не замечаете, сколько времени требуется для разговора и рукопожатия между веб-браузером и веб-сайтом.
Шифрование TLS
- Более безопасное шифрование.
- Скрывает данные между компьютером и веб-сайтами.
- Улучшенный процесс рукопожатия при согласовании зашифрованной связи.
- Нет идеального шифрования.
- Не обеспечивает автоматическую защиту DNS.
- Не полностью совместим со старыми версиями.
Шифрование TLS было введено для повышения безопасности данных. Хотя SSL была хорошей технологией, безопасность менялась с большой скоростью, и это привело к необходимости более качественной и современной системы безопасности. TLS был построен на базе SSL с улучшенными алгоритмами, управляющими обменом данными и процессом рукопожатия.
Какая версия TLS самая последняя?
Как и в случае с SSL, шифрование TLS продолжает улучшаться. Текущая версия TLS - 1.2, но был разработан TLSv1.3, и некоторые компании и браузеры использовали безопасность в течение коротких периодов времени. В большинстве случаев они возвращаются к TLSv1.2, поскольку версия 1.3 все еще совершенствуется.
После окончательной доработки TLSv1.3 принесет многочисленные улучшения безопасности, включая улучшенную поддержку более современных типов шифрования. Однако TLSv1.3 также прекратит поддержку более старых версий протоколов SSL и других технологий безопасности, которые уже недостаточно надежны для обеспечения надлежащей безопасности и шифрования личных данных.
