Glede na to, da je v zadnjem času v novicah veliko večjih vdorov podatkov, se boste morda vprašali, kako so vaši podatki zaščiteni, ko ste na spletu. Ko obiščete spletno mesto, da bi opravili nakupe, in vnesete številko svoje kreditne kartice, upajmo, da čez nekaj dni na vaša vrata prispe paket. Toda v tistem trenutku, preden pritisnete Naroči, se sprašujete, kako deluje spletna varnost?
Osnove spletne varnosti
V svoji osnovni obliki se spletna varnost – varnost, ki poteka med računalnikom in spletnim mestom – izvaja z nizom vprašanj in odgovorov. V brskalnik vtipkate spletni naslov, nato pa brskalnik od tega mesta zahteva, da preveri njegovo pristnost. Spletno mesto odgovori z ustreznimi informacijami in ko se oba strinjata, se spletno mesto odpre v spletnem brskalniku.
Med zastavljenimi vprašanji in izmenjanimi informacijami so podatki o vrsti šifriranja, ki posreduje podatke brskalnika, podatke o računalniku in osebne podatke med brskalnikom in spletnim mestom. Ta vprašanja in odgovori se imenujejo rokovanje. Če do rokovanja ne pride, se spletno mesto, ki ga poskušate obiskati, šteje za nevarno.
HTTP proti
- Odprto za vsakogar, ki si ga lahko ogleda na poti.
- Lažja nastavitev in zagon.
- Ni varnosti za gesla in poslane podatke.
-
Popolnoma šifrirano za skrivanje informacij.
- Potrebna je dodatna konfiguracija strežnika.
- Ščiti poslane podatke, vključno z gesli.
Ena stvar, ki jo lahko opazite, ko obiščete spletna mesta, je, da se nekateri naslovi začnejo s http, nekateri pa s https. HTTP pomeni protokol za prenos hiperteksta; to je protokol ali nabor smernic, ki določajo varno komunikacijo prek interneta.
Nekatera spletna mesta, zlasti spletna mesta, na katerih morate posredovati občutljive podatke ali podatke, ki omogočajo osebno identifikacijo, lahko prikazujejo https v zeleni ali rdeči barvi s črto skozi to. HTTPS pomeni Hypertext Transfer Protocol Secure, zelena pa pomeni, da ima spletno mesto preverljivo varnostno potrdilo. Rdeča s črto skozi njo pomeni, da spletno mesto nima varnostnega certifikata ali pa je potrdilo netočno ali poteklo.
Tukaj postanejo stvari nekoliko zmedene. HTTP ne pomeni, da so podatki, ki se prenašajo med računalnikom in spletnim mestom, šifrirani. To samo pomeni, da ima spletno mesto, ki komunicira z brskalnikom, aktivno varnostno potrdilo. Podatki, ki se prenesejo, so varni le, če je vključen S (kot v S), poleg tega je v uporabi druga tehnologija, ki naredi to varno oznako možno.
SSL proti TLS
- Prvotno razvit leta 1995.
- Prejšnja stopnja spletnega šifriranja.
- Zaostal za hitro rastočim internetom.
- Začetek kot tretja različica SSL.
- Varnost transportnega sloja.
- Še naprej izboljšujemo šifriranje, uporabljeno v SSL.
- Dodani varnostni popravki za nove vrste napadov in varnostne luknje.
SSL je bil prvotni varnostni protokol, ki zagotavlja, da so spletna mesta in podatki, ki se prenašajo med spletnimi mesti, varni. Glede na GlobalSign je bil SSL predstavljen leta 1995 kot različica 2.0. Prva različica (1.0) nikoli ni prišla v javno domeno. Različico 2.0 je v enem letu nadomestila različica 3.0, da bi odpravila ranljivosti v protokolu.
Leta 1999 je bila uvedena druga različica SSL, imenovana Transport Layer Security (TLS), za izboljšanje hitrosti pogovora in varnosti rokovanja. TLS je različica, ki je trenutno v uporabi, čeprav se zaradi enostavnosti pogosto imenuje SSL.
Razumevanje protokola SSL
- Skrije informacije, nastavljene med računalnikom in spletnim mestom.
- Ščiti podatke za prijavo.
- Zavaruje spletne nakupe.
- Ne ščiti pred vsemi grožnjami.
- Ne morem vas zaščititi na spletnih mestih, ki ne uporabljajo SSL.
- Ni mogoče skriti, katera spletna mesta obiščete.
Ko razmišljate o rokovanju z nekom, to pomeni, da je vpletena še druga oseba. Spletna varnost je približno enaka. Za rokovanje, ki zagotavlja varnost na spletu, mora biti vključena druga oseba. Če je HTTPS protokol, ki ga spletni brskalnik uporablja za zagotavljanje varnosti, potem je druga polovica tega rokovanja protokol, ki zagotavlja šifriranje.
Šifriranje je tehnologija, ki se uporablja za prikrivanje podatkov, ki se prenašajo med dvema napravama v omrežju. Doseže se tako, da se prepoznavni znaki spremenijo v neprepoznavno blebetanje, ki ga je mogoče vrniti v prvotno stanje s šifrirnim ključem. To je bilo prvotno doseženo s tehnologijo, imenovano varnost SSL (Secure Socket Layer).
SSL je bila tehnologija, ki je vse podatke, ki se premikajo med spletnim mestom in brskalnikom, spremenila v bedarije in nato spet nazaj v podatke. Takole deluje:
- Odprete brskalnik in vnesete naslov svoje banke.
- Spletni brskalnik potrka na vrata banke in vas predstavi.
- Vratar preveri, ali ste to, za kar se predstavljate, in se strinja, da vas spusti noter pod določenimi pogoji.
- Spletni brskalnik se strinja s temi pogoji, nato pa vam je dovoljen dostop do spletnega mesta banke.
Postopek se ponovi, ko vnesete uporabniško ime in geslo, z nekaj dodatnimi koraki.
- Vnesete svoje uporabniško ime in geslo za dostop do svojega računa.
- Vaš spletni brskalnik sporoči skrbniku bančnega računa, da želite dostop do svojega računa.
- Pogovarjata se in strinjata, da vam bo odobren dostop, če lahko posredujete pravilne poverilnice. Vendar morajo biti te poverilnice predstavljene v posebnem jeziku.
- Spletni brskalnik in skrbnik bančnega računa se strinjata z jezikom, ki bo uporabljen.
- Spletni brskalnik pretvori vaše uporabniško ime in geslo v ta poseben jezik in ju posreduje skrbniku bančnega računa.
- Upravitelj računa prejme podatke, jih dekodira in primerja s svojimi zapisi.
- Če se vaše poverilnice ujemajo, vam je odobren dostop do vašega računa.
Postopek poteka v nanosekundah, tako da ne opazite časa, ki je potreben za pogovor in rokovanje med spletnim brskalnikom in spletnim mestom.
šifriranje TLS
- Bolj varno šifriranje.
- Skrije podatke med računalnikom in spletnimi mesti.
- Boljši postopek rokovanja pri dogovarjanju o šifrirani komunikaciji.
- Nobeno šifriranje ni popolno.
- Ne ščiti samodejno DNS.
- Ni popolnoma združljivo s starejšimi različicami.
Šifriranje TLS je bilo uvedeno za izboljšanje varnosti podatkov. Medtem ko je bil SSL dobra tehnologija, se varnost hitro spreminja, kar je povzročilo potrebo po boljši in posodobljeni varnosti. TLS je bil zgrajen na ogrodju SSL z izboljšavami algoritmov, ki upravljajo proces komunikacije in rokovanja.
Katera različica TLS je najnovejša?
Tako kot pri SSL se tudi šifriranje TLS še naprej izboljšuje. Trenutna različica TLS je 1.2, vendar je TLSv1.3 pripravljen, nekatera podjetja in brskalniki pa so varnost uporabljali kratek čas. V večini primerov se vrnejo na TLSv1.2, ker se različica 1.3 še izpopolnjuje.
Ko bo dokončan, bo TLSv1.3 prinesel številne varnostne izboljšave, vključno z izboljšano podporo za sodobnejše vrste šifriranja. Vendar bo TLSv1.3 prav tako opustil podporo za starejše različice protokolov SSL in druge varnostne tehnologije, ki niso več dovolj robustne, da bi zagotovile ustrezno varnost in šifriranje osebnih podatkov.