Amb tantes violacions de dades importants a les notícies recentment, potser us preguntareu com es protegeixen les vostres dades quan esteu en línia. Quan entres a un lloc web per fer unes compres i introdueixes el teu número de targeta de crèdit, amb sort, en pocs dies, arriba un paquet a la teva porta. Però en aquell moment abans de prémer Comanda, et preguntes com funciona la seguretat en línia?
Els conceptes bàsics de la seguretat en línia
En la seva forma bàsica, la seguretat en línia, la seguretat que té lloc entre un ordinador i un lloc web, es realitza mitjançant una sèrie de preguntes i respostes. Escriu una adreça web en un navegador i, a continuació, el navegador demana a aquest lloc que en verifiqui l'autenticitat. El lloc respon amb la informació adequada i, després que tots dos estiguin d'acord, el lloc s'obre al navegador web.
Entre les preguntes que es fan i la informació intercanviada hi ha dades sobre el tipus de xifratge que passa la informació del navegador, la informació de l'ordinador i la informació personal entre el navegador i el lloc web. Aquestes preguntes i respostes s'anomenen encaixada de mans. Si aquesta encaixada de mans no es produeix, el lloc web que intenteu visitar es considera que no és segur.
HTTP vs
-
Obert perquè tothom ho vegi al llarg del camí.
- Més fàcil de configurar i executar.
- No hi ha seguretat per a les contrasenyes i les dades enviades.
- Totalment encriptat per amagar la informació.
- Requereix una configuració addicional del servidor.
- Protegeix la informació transmesa, incloses les contrasenyes.
Una cosa que podeu notar quan visiteu llocs web és que alguns tenen una adreça que comença per http i d' altres comencen per https. HTTP significa Protocol de transferència d'hipertext; és un protocol o un conjunt de directrius que designen una comunicació segura a Internet.
Alguns llocs, especialment els llocs on se us demana que proporcioneu informació confidencial o d'identificació personal, poden mostrar https en verd o en vermell amb una línia. HTTPS significa Hypertext Transfer Protocol Secure i el verd significa que el lloc té un certificat de seguretat verificable. Vermell amb una línia a través d'ell significa que el lloc no té un certificat de seguretat o que el certificat és inexacte o ha caducat.
Aquí és on les coses es tornen una mica confuses. HTTP no vol dir que les dades transferides entre un ordinador i un lloc web estiguin xifrades. Només vol dir que el lloc web que es comunica amb el navegador té un certificat de seguretat actiu. Només quan s'inclou un S (com a S) les dades que es transfereixen són segures i hi ha una altra tecnologia en ús que fa que aquesta designació segura possible.
SSL vs. TLS
- Desenvolupat originalment el 1995.
- Nivell anterior d'encriptació web.
- Va endarrerit amb l'Internet en ràpid creixement.
- Va començar com la tercera versió de SSL.
- Seguretat de la capa de transport.
- S'ha continuat millorant el xifratge utilitzat a SSL.
- S'han afegit correccions de seguretat per a nous tipus d'atacs i forats de seguretat.
SSL era el protocol de seguretat original per garantir que els llocs web i les dades que es passaven entre els llocs fossin segurs. Segons GlobalSign, SSL es va introduir el 1995 com a versió 2.0. La primera versió (1.0) mai va passar a ser de domini públic. La versió 2.0 es va substituir per la versió 3.0 en un any per solucionar les vulnerabilitats del protocol.
L'any 1999, es va introduir una altra versió de SSL, anomenada Transport Layer Security (TLS), per millorar la velocitat de la conversa i la seguretat de la connexió de mans. TLS és la versió que s'utilitza actualment, tot i que sovint s'anomena SSL per simplicitat.
Comprendre el protocol SSL
- Amaga la informació establerta entre un ordinador i un lloc web.
- Protegeix la informació d'inici de sessió.
- Asegura les compres en línia.
- No protegeix contra totes les amenaces.
- No us puc protegir als llocs que no utilitzen SSL.
- No es poden amagar els llocs web que visiteu.
Quan penseu a compartir una encaixada de mans amb algú, això vol dir que hi ha una segona part implicada. La seguretat en línia és molt semblant. Perquè l'encaixada de mans que garanteixi la seguretat en línia es produeixi, cal que hi hagi una segona part implicada. Si HTTPS és el protocol que utilitza el navegador web per garantir la seguretat, la segona meitat d'aquesta encaixada de mans és el protocol que garanteix l'encriptació.
El xifratge és la tecnologia que s'utilitza per dissimular les dades que es transfereixen entre dos dispositius d'una xarxa. S'aconsegueix convertint els caràcters reconeixibles en una broma irreconeixible que es pot tornar al seu estat original mitjançant una clau de xifratge. Això es va aconseguir originalment mitjançant una tecnologia anomenada seguretat Secure Socket Layer (SSL).
SSL va ser la tecnologia que va convertir qualsevol dada que es mogués entre un lloc web i un navegador en un galimat i després de nou en dades. Així és com funciona:
- Obriu un navegador i escriviu l'adreça del vostre banc.
- El navegador web truca a la porta del banc i et presenta.
- El porter verifica que sou qui dieu que sou i accepta deixar-vos entrar sota un conjunt de condicions.
- El navegador web accepta aquestes condicions i, aleshores, podeu accedir al lloc web del banc.
El procés es repeteix quan introduïu el vostre nom d'usuari i contrasenya, amb alguns passos addicionals.
- Introduïu el vostre nom d'usuari i contrasenya per accedir al vostre compte.
- El vostre navegador web indica al gestor de comptes del banc que voleu accedir al vostre compte.
- Conversen i accepten que si podeu proporcionar les credencials correctes, se us concedirà accés. Tanmateix, aquestes credencials s'han de presentar en un idioma especial.
- El navegador web i el gestor de comptes del banc accepten l'idioma que s'utilitzarà.
- El navegador web converteix el vostre nom d'usuari i contrasenya en aquest idioma especial i els passa al gestor de comptes del banc.
- El gestor del compte rep les dades, les descodifica i les compara amb els seus registres.
- Si les vostres credencials coincideixen, se us concedeix accés al vostre compte.
El procés té lloc en nanosegons, de manera que no us adoneu del temps que triga a tenir lloc la conversa i l'encaix de mans entre el navegador web i el lloc web.
Encriptació TLS
- Encriptació més segura.
- Amaga les dades entre un ordinador i els llocs web.
- Millor procés d'encaix de mans quan es negocia una comunicació encriptada.
- Cap xifratge és perfecte.
- No assegura automàticament el DNS.
- No és totalment compatible amb versions anteriors.
S'ha introduït el xifratge TLS per millorar la seguretat de les dades. Tot i que SSL era una bona tecnologia, la seguretat canvia a un ritme ràpid i això va provocar la necessitat d'una seguretat millor i més actualitzada. TLS es va crear en el marc de SSL amb millores als algorismes que regeixen el procés de comunicacions i d'enllaç.
Quina versió de TLS és la més actual?
Com passa amb SSL, l'encriptació TLS ha continuat millorant. La versió actual de TLS és la 1.2, però s'ha redactat TLSv1.3 i algunes empreses i navegadors han utilitzat la seguretat durant períodes curts de temps. En la majoria dels casos, tornen a TLSv1.2 perquè la versió 1.3 encara s'està perfeccionant.
Quan finalitzi, TLSv1.3 aportarà nombroses millores de seguretat, inclosa la millora de la compatibilitat amb els tipus d'encriptació més actuals. Tanmateix, TLSv1.3 també deixarà de suportar les versions anteriors dels protocols SSL i altres tecnologies de seguretat que ja no són prou robustes per garantir la seguretat i el xifratge adequats de les dades personals.