Vzhledem k tomu, že v poslední době se ve zprávách objevilo tolik velkých úniků dat, možná vás zajímá, jak jsou vaše data chráněna, když jste online. Když půjdete na nějakou webovou stránku nakoupit a zadáte číslo své kreditní karty, doufejme, že za pár dní vám balíček dorazí ke dveřím. Ale v tu chvíli, než stisknete Objednat, zajímá vás, jak funguje online zabezpečení?
Základy online zabezpečení
V základní podobě se online zabezpečení – zabezpečení, které probíhá mezi počítačem a webem – provádí prostřednictvím řady otázek a odpovědí. Zadáte webovou adresu do prohlížeče a prohlížeč pak požádá daný web o ověření jeho pravosti. Web odpoví příslušnými informacemi a poté, co oba souhlasí, se web otevře ve webovém prohlížeči.
Mezi položenými otázkami a vyměňovanými informacemi jsou údaje o typu šifrování, které předává informace o prohlížeči, informace o počítači a osobní informace mezi prohlížečem a webem. Tyto otázky a odpovědi se nazývají podání ruky. Pokud se toto podání ruky neuskuteční, pak je web, který se pokoušíte navštívit, považován za nebezpečný.
HTTP vs
- Otevřeno, aby si je mohl po cestě prohlédnout kdokoli.
- Snazší nastavení a spuštění.
- Žádné zabezpečení hesel a odeslaných dat.
-
Plně zašifrováno pro skrytí informací.
- Vyžaduje další konfiguraci serveru.
- Chrání přenášené informace, včetně hesel.
Jedna věc, které si můžete všimnout, když navštívíte stránky na webu, je, že některé mají adresu začínající http a některé začínají https. HTTP znamená Hypertext Transfer Protocol; je to protokol nebo soubor pokynů, které určují zabezpečenou komunikaci přes internet.
Některé weby, zejména weby, kde jste požádáni o poskytnutí citlivých údajů nebo informací umožňujících osobní identifikaci, mohou zobrazovat https buď zeleně, nebo červeně s přeškrtnutým pruhem. HTTPS znamená Hypertext Transfer Protocol Secure a zelená znamená, že web má ověřitelný bezpečnostní certifikát. Červená s přeškrtnutou čarou znamená, že web nemá bezpečnostní certifikát nebo je certifikát nepřesný nebo vypršela platnost.
Tady je situace trochu matoucí. HTTP neznamená, že data přenášená mezi počítačem a webovou stránkou jsou šifrována. Znamená to pouze, že web, který komunikuje s prohlížečem, má aktivní bezpečnostní certifikát. Pouze v případě, že je zahrnut S (jako v S), jsou přenášená data zabezpečena a používá se další technologie, díky které je toto bezpečné označení možné.
SSL vs. TLS
- Původně vyvinuto v roce 1995.
- Dřívější úroveň šifrování webu.
- Zaostával za rychle rostoucím internetem.
- Spuštěno jako třetí verze SSL.
- Transport Layer Security.
- Pokračujeme ve zdokonalování šifrování používaného v SSL.
- Přidány bezpečnostní opravy pro nové typy útoků a bezpečnostních děr.
SSL byl původní bezpečnostní protokol, který měl zajistit bezpečnost webových stránek a dat předávaných mezi stránkami. Podle GlobalSign bylo SSL představeno v roce 1995 jako verze 2.0. První verze (1.0) se nikdy nedostala do veřejné domény. Verze 2.0 byla během jednoho roku nahrazena verzí 3.0, aby se vyřešila zranitelnosti v protokolu.
V roce 1999 byla představena další verze SSL, nazvaná Transport Layer Security (TLS), aby se zlepšila rychlost konverzace a zabezpečení handshake. TLS je verze, která se aktuálně používá, i když se pro jednoduchost často označuje jako SSL.
Porozumění protokolu SSL
- Skryje informace nastavené mezi počítačem a webovou stránkou.
- Chrání přihlašovací údaje.
- Zabezpečuje online nákupy.
- Nechrání před všemi hrozbami.
- Nemohu vás zabezpečit na stránkách, které nepoužívají SSL.
- Nelze skrýt, které webové stránky navštěvujete.
Když uvažujete o sdílení ruky s někým, znamená to, že je do toho zapojena druhá strana. Online zabezpečení je velmi podobné. Aby se handshake, který zajišťuje bezpečnost online, uskutečnil, musí být zapojena druhá strana. Pokud je HTTPS protokol, který webový prohlížeč používá k zajištění bezpečnosti, pak druhá polovina tohoto handshake je protokol, který zajišťuje šifrování.
Šifrování je technologie, která se používá k maskování dat přenášených mezi dvěma zařízeními v síti. Dosahuje se toho přeměnou rozpoznatelných znaků na nerozpoznatelné bláboly, které lze vrátit do původního stavu pomocí šifrovacího klíče. Toho bylo původně dosaženo prostřednictvím technologie nazvané zabezpečení Secure Socket Layer (SSL).
SSL byla technologie, která proměnila veškerá data přesouvající se mezi webovou stránkou a prohlížečem na blábol a pak zase zpět na data. Funguje to takto:
- Otevřete prohlížeč a zadejte adresu své banky.
- Webový prohlížeč zaklepe na dveře banky a představí vás.
- Vrátný ověří, že jste tím, za koho se vydáváte, a souhlasí s tím, že vás za určitých podmínek pustí dovnitř.
- Webový prohlížeč souhlasí s těmito podmínkami a poté máte povolen přístup na webové stránky banky.
Po zadání uživatelského jména a hesla se proces opakuje s několika dalšími kroky.
- Abyste získali přístup ke svému účtu, zadejte své uživatelské jméno a heslo.
- Váš webový prohlížeč sděluje správci účtu banky, že chcete získat přístup ke svému účtu.
- Konverzují a souhlasí s tím, že pokud poskytnete správné přihlašovací údaje, bude vám udělen přístup. Tyto přihlašovací údaje však musí být předloženy ve speciálním jazyce.
- Webový prohlížeč a správce účtu banky souhlasí s jazykem, který bude použit.
- Webový prohlížeč převede vaše uživatelské jméno a heslo do tohoto speciálního jazyka a předá je správci účtu banky.
- Správce účtu přijímá data, dekóduje je a porovnává se svými záznamy.
- Pokud se vaše přihlašovací údaje shodují, máte přístup ke svému účtu.
Proces probíhá v nanosekundách, takže si nevšimnete, jak dlouho trvá konverzace a podání ruky mezi webovým prohlížečem a webovou stránkou.
Šifrování TLS
- Bezpečnější šifrování.
- Skryje data mezi počítačem a webovými stránkami.
- Lepší proces handshake při vyjednávání šifrované komunikace.
- Žádné šifrování není dokonalé.
- Nezabezpečuje automaticky DNS.
- Není plně kompatibilní se staršími verzemi.
Šifrování TLS bylo zavedeno pro zlepšení zabezpečení dat. Přestože SSL byla dobrá technologie, zabezpečení se rychle mění, což vedlo k potřebě lepšího a aktuálnějšího zabezpečení. TLS bylo postaveno na rámci SSL s vylepšeními algoritmů, které řídí komunikaci a proces handshake.
Která verze TLS je nejaktuálnější?
Stejně jako u SSL se šifrování TLS neustále zlepšuje. Aktuální verze TLS je 1.2, ale byl navržen TLSv1.3 a některé společnosti a prohlížeče používají zabezpečení po krátkou dobu. Ve většině případů se vrátí k TLSv1.2, protože verze 1.3 se stále zdokonaluje.
Po dokončení přinese TLSv1.3 četná vylepšení zabezpečení, včetně vylepšené podpory pro aktuálnější typy šifrování. TLSv1.3 však také ukončí podporu starších verzí protokolů SSL a dalších bezpečnostních technologií, které již nejsou dostatečně robustní, aby zajistily správné zabezpečení a šifrování osobních údajů.
