Bagaimana Penjelajahan Web Menjadi Lebih Aman

Iklan

Kekayaan informasi pribadi yang kami bagikan secara online telah tumbuh secara eksponensial sejak tahun 1994, awal dari Protokol Lapisan Soket Aman (SSL).

Internet itu dibanjiri dengan frasa sandi Mengapa Kata Sandi Masih Lebih Baik dari Kata Sandi & Sidik JariIngat ketika kata sandi tidak harus rumit? Kapan PIN mudah diingat? Hari-hari itu berlalu, dan risiko kejahatan dunia maya berarti pemindai sidik jari hampir tidak berguna. Saatnya untuk mulai menggunakan kode sandi ... Baca lebih banyak , rincian kartu kredit, dan data perbankan online 6 Alasan Akal Sehat Mengapa Anda Harus Bank Online Jika Anda Belum [Opini]Bagaimana biasanya Anda melakukan perbankan? Apakah Anda berkendara ke bank Anda? Apakah Anda menunggu dalam antrean panjang, hanya untuk menyetor satu cek? Apakah Anda menerima laporan kertas bulanan? Apakah Anda menyimpannya ... Baca lebih banyak . Kami memiliki sertifikat SSL untuk berterima kasih atas keamanan dan privasi kami. Tapi Anda mungkin pernah mendengar tentang kekurangan baru-baru ini yang telah merusak kepercayaan Anda pada protokol kriptografi.

Untungnya, SSL beradaptasi, ditingkatkan dan diganti untuk memberikan Anda ketenangan pikiran yang lebih baik. Begini caranya.

Apa itu SSL?

Mari kita mulai dengan apa itu SSL Apa itu Sertifikat SSL, dan Apakah Anda Membutuhkannya?Menjelajahi Internet bisa menakutkan ketika informasi pribadi terlibat. Baca lebih banyak .

Sertifikat SSL adalah dokumen otorisasi digital yang dapat diperoleh oleh suatu organisasi atau individu yang menjalankan situs yang berhubungan dengan informasi sensitif. Ini memastikan bahwa data dapat diangkut dengan aman antara server web dan browser, bahwa informasi ini belum dicegat dan sumbernya asli.

Lihat Amazon, misalnya. Lihatlah URL, dan alih-alih alamat HyperText Transfer Protocol (HTTP), Anda seharusnya dialihkan ke HTTPS Apa Itu HTTPS & Cara Mengaktifkan Koneksi Aman Per DefaultMasalah keamanan tersebar luas dan telah mencapai garis depan pikiran kebanyakan orang. Istilah seperti antivirus atau firewall tidak lagi kosakata aneh dan tidak hanya dipahami, tetapi juga digunakan oleh ... Baca lebih banyak - tambahan itu "S" berarti itu adalah tautan yang aman HTTPS Everywhere: Gunakan HTTPS Alih-alih HTTP When Possible Baca lebih banyak , dan Anda aman untuk membayar barang melalui situs. Hotmail, WordPress, dan bahkan Tumblr menggunakan sertifikat SSL.

Ini bagus untuk konsumen (siapa tahu data mereka diperlakukan secara bertanggung jawab), dan bagi penjual (yang tidak hanya mendapat manfaat dari kepercayaan pembeli, tetapi juga mendapat peringkat lebih tinggi oleh Google).

Namun, tidak ada yang sempurna, dan beberapa kekurangan SSL yang terungkap hanya dalam setahun terakhir membuktikan hal itu. Untungnya, penjelajahan web menjadi lebih aman lagi ...

Peningkatan TLS

Anda mungkin telah melihat SSL dan Transport Layer Security (TLS) digunakan secara bergantian, dan meskipun perbedaannya mungkin halus, mereka tetap penting.

Keduanya menggunakan sistem enkripsi data yang sama, dan berunding dengan otoritas sertifikat (CA) sebelum membuat koneksi itu. TLS, bagaimanapun, adalah penerus SSL, jadi masuk akal TLS akan lebih aman. Memang, tiga inkarnasinya - TLS 1.0, 1.1, dan 1.2 - memperbaiki beberapa kerentanan yang ditemukan dalam metode SSL.

TLS 1.3 telah ada sejak 2008, tetapi karena kekurangan pada versi sebelumnya dianggap demikian sangat kecil mereka tidak akan mempengaruhi situasi "dunia nyata", itu diambil sampai baru-baru ini untuk massanya penerapan. Faktanya, kembali pada tahun 2013, nampaknya bahkan Badan Keamanan Nasional (NSA) tidak menargetkan domain yang menjalankan protokol TLS karena sangat sedikit yang menggunakannya. Namun, sekarang, mandat dari Dewan Keamanan PCI telah memaksa setiap situs yang mentransmisikan atau memproses informasi pemegang kartu untuk ditingkatkan.

Terlebih lagi, semua browser utama - Google Chrome, Microsoft Edge, Safari, Firefox, dan Opera - mendukung TLS 1.2 secara default, sehingga tingkat enkripsi dijamin oleh kedua belah pihak. Namun, perhatikan bahwa mandat tersebut tampaknya berlaku hanya untuk perincian pembayaran, bukan informasi masuk.

Enkripsi Di Mana Saja

Memutakhirkan sertifikat hanya berguna jika diadopsi secara luas, dan bukan itu masalahnya. Semua situs e-commerce memerlukan praktik keamanan, dan sebagian besar benar-benar harus memiliki SSL atau TLS. Banyak yang bergantung pada perlindungan pemroses pembayaran pihak ketiga, seperti PayPal (ini tampaknya merupakan celah masuk mandat Dewan Keamanan PCI), tetapi jika suatu situs menerima informasi pribadi, ia harus menggunakan lapisan aman.

Jika koneksi Anda tidak bersifat pribadi, data termasuk alamat email dan kata sandi saat masuk dapat diperoleh oleh peretas. Dan karena kebanyakan orang cenderung gunakan kata sandi yang sama 7 Taktik Paling Umum Digunakan Untuk Meretas Kata SandiKetika Anda mendengar "pelanggaran keamanan," apa yang muncul di benak Anda? Seorang peretas jahat? Beberapa anak yang tinggal di ruang bawah tanah? Kenyataannya adalah, yang dibutuhkan hanyalah kata sandi, dan peretas punya 7 cara untuk mendapatkan milik Anda. Baca lebih banyak di beberapa situs (terlepas dari semua peringatan itu 7 Kesalahan Kata Sandi Yang Mungkin Membuat Anda DiretasKata sandi terburuk tahun 2015 telah dirilis, dan itu cukup mengkhawatirkan. Tetapi mereka menunjukkan bahwa sangat penting untuk memperkuat kata sandi Anda yang lemah, hanya dengan beberapa penyesuaian sederhana. Baca lebih banyak ), itu bisa menjadi informasi penting.

Meskipun demikian, banyak situs tidak mengadopsi protokol SSL karena itu bisa mahal, dan itu bisa rumit. Di situlah program Enkripsi Di mana-mana Symantec masuk.

Perusahaan keamanan Amerika menawarkan layanan freemium, di mana sertifikat diperoleh sepenuhnya gratis, dengan pemutakhiran (seperti pemindaian malware) tersedia dengan biaya. Kemitraan dengan perusahaan hosting menghilangkan kerumitan dari admin situs, sementara pembaruan otomatis merampingkan proses mengatasi kerentanan lebih lanjut.

Ini merupakan upaya untuk mendapatkan 100% penggunaan lapisan keamanan pada tahun 2018, jadi kami berharap ini akan diadopsi oleh sebagian besar situs segera.

Mari Enkripsi

Tapi tunggu! Symantec bukan satu-satunya yang berjuang untuk enkripsi SSL / TLS di seluruh web.

Mari Enkripsi tampaknya menunggangi gelombang kekurangan yang lebih baru; diluncurkan ke publik pada bulan Desember 2015, proyek ini telah memiliki banyak sponsor internasional besar termasuk Google Chrome, Mozilla, Facebook, Shopify, YunPian, dan Akamai. Dijalankan oleh Kelompok Riset Keamanan Internet (ISRG), Mari Encrypt, bulan ini, telah menerbitkan lebih dari 5 juta sertifikat dan memproyeksikan 50% pemuatan halaman HTTPS pada akhir tahun ini.

Mengapa Mari Mengenkripsi terbukti populer? Sederhananya gratis dan otomatis, artinya sangat mudah bagi situs untuk mendapatkan sertifikat dan peningkatan.

Inisiatif ini dimulai dengan pasangan kunci pribadi baru, dan bukti dari pemilik domain ke CA; setelah ini diverifikasi menggunakan protokol Lingkungan Manajemen Sertifikat Otomatis (ACME), perangkat lunak situs dapat masuk pesan manajemen sertifikat dengan kunci untuk memperbarui dan mencabut sertifikat, atau membuat yang baru untuk hal yang sama domain.

Kami baru saja mengeluarkan sertifikat 5 juta kami!

- Let's Encrypt (@letsencrypt) 17 Juni 2016

Mari Encrypt bisa dibilang proyek yang paling dikenal untuk menawarkan sertifikat gratis, dan di antara program-program utama ini, itu tampaknya menjadi penyebab yang dapat dipercaya.

Konvergensi

Namun, Anda mungkin kecewa dengan sertifikat SSL.

Reputasi mereka telah rusak dalam beberapa tahun terakhir: sebagian besar setidaknya mendengar tentang Heartbleed Heartbleed - Apa yang Dapat Anda Lakukan Agar Tetap Aman? Baca lebih banyak , kerentanan dalam pustaka kriptografi open-source, OpenSSL, yang memungkinkan peretas untuk membaca informasi yang tidak dienkripsi. Heartbleed memengaruhi banyak layanan Menggali Hype: Apakah Heartbleed Benar-Benar Membahayakan Seseorang? Baca lebih banyak , tapi itu tadi dua tahun yang lalu Lima Pelanggaran Terhadap Privasi Anda di Tahun 2014 Yang Mungkin Anda LewatkanSejumlah publikasi bersuka ria dalam kehidupan pribadi selebriti pada tahun 2014, setahun di mana sorotan juga bersinar pada masyarakat umum. Bisakah kita belajar sesuatu dari pelanggaran ini? Baca lebih banyak dan perbaikan tersedia. Tapi tahun lalu, ada Superfish Waspadai Pemilik Laptop Lenovo: Perangkat Anda Mungkin Telah Memasang MalwarePabrikan komputer China Lenovo telah mengakui bahwa laptop yang dikirim ke toko-toko dan konsumen pada akhir tahun 2014 telah terinstal malware. Baca lebih banyak , malware yang menjadikan HTTPS diperdebatkan; ini juga, telah ditambal Superfish Belum Tertangkap: Pembajakan SSL DijelaskanMalware Superfish Lenovo menyebabkan kegemparan, tetapi ceritanya belum berakhir. Bahkan jika Anda menghapus adware dari komputer Anda, kerentanan yang sama ada di aplikasi online lainnya. Baca lebih banyak .

Dan itu tidak terbatas pada PC Anda saja: Anda aplikasi smartphone terpengaruh 1.000 Aplikasi iOS Telah Melumpuhkan Bug SSL: Cara Memeriksa apakah Anda TerkenaBug AFNetworking memberi masalah pada pengguna iPhone dan iPad, dengan ribuan aplikasi membawa kerentanan yang menghasilkan Sertifikat SSL tidak diautentikasi dengan benar, berpotensi memfasilitasi pencurian identitas melalui man-in-the-middle serangan. Baca lebih banyak oleh kelemahan SSL juga.

Konvergensi, kemudian, adalah add-on browser yang banyak membingungkan dengan sistem yang menggantikan sertifikat SSL; lebih dari apa pun, itu adalah tahap selanjutnya untuk CA. Pada dasarnya, alih-alih mempercayai satu CA yang menjamin keaslian situs, Konvergensi beralih ke layanan notaris untuk membuktikan keamanan situs.

Anda mengunjungi alamat HTTPS. Ada tiga hasil utama: semua notaris setuju itu aman, dalam hal ini, Anda menggunakan situs ini; tidak semua setuju, tetapi Anda dapat pergi dengan mayoritas atau menolak situs karena Anda tidak mempercayai notaris itu melakukan menjamin untuk itu; atau dalam kasus yang ekstrem, sebagian besar atau semua notaris setuju itu tidak dapat dipercaya. Dengan begitu, tidak ada titik kegagalan tunggal.

Pikirkan seperti ini: ini adalah konvergensi pendapat tentang apakah pengguna dapat mempercayai HTTPS.

Bagaimana Internet Menjadi Lebih Aman?

Mengapa kami masih menyebutnya sebagai Sertifikat SSL? Tentunya mereka harus menjadi Sertifikat TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 Juni 2016

Singkatnya: sertifikat SSL yang mengautentikasi situs sedang ditingkatkan ke TLS, yang paling penting pada domain seperti PayPal yang berhubungan dengan informasi pembayaran. Ini sedang diluncurkan secara masal, dengan tujuan penggunaan 100% HTTPS dalam beberapa tahun mendatang. CA, juga sedang dinilai ulang dan add-on Konvergensi muncul tahap yang solid dalam memverifikasi seberapa dapat dipercaya sebuah situs dengan mengandalkan notaris untuk setuju.

Apakah langkah-langkah ini memberi Anda kepercayaan pada SSL lagi? Apakah kamu merasa aman memasukkan detail pembayaran online? Protokol keamanan apa lagi yang ingin Anda lihat diimplementasikan secara luas?

Kredit gambar: HTTPS (WeTransfer) oleh Christiaan Colen; dan https oleh Sean MacEntee.