Med så många stora dataintrång i nyheterna den senaste tiden, kanske du undrar hur din data skyddas när du är online. När du går till en webbplats för att handla och anger ditt kreditkortsnummer kommer förhoppningsvis ett paket till din dörr inom några dagar. Men i det ögonblicket innan du trycker på Beställ, undrar du hur onlinesäkerhet fungerar?
Grunderna i onlinesäkerhet
I sin grundläggande form utförs onlinesäkerhet - den säkerhet som sker mellan en dator och en webbplats - genom en serie frågor och svar. Du skriver in en webbadress i en webbläsare och sedan ber webbläsaren den webbplatsen att verifiera dess äkthet. Webbplatsen svarar med lämplig information, och efter att båda kommit överens, öppnas webbplatsen i webbläsaren.
Bland de frågor som ställs och informationen som utbyts är data om vilken typ av kryptering som skickar webbläsarinformation, datorinformation och personlig information mellan webbläsaren och webbplatsen. Dessa frågor och svar kallas ett handslag. Om det handslaget inte sker anses webbplatsen du försöker besöka vara osäker.
HTTP vs
- Öppet för alla att se längs vägen.
- Lättare att installera och köra.
- Ingen säkerhet för lösenord och inlämnad data.
-
Fullt krypterad för att dölja information.
- Kräver ytterligare serverkonfiguration.
- Skyddar överförd information, inklusive lösenord.
En sak du kanske lägger märke till när du besöker webbplatser på webben är att vissa har en adress som börjar med http och andra börjar med https. HTTP betyder Hypertext Transfer Protocol; det är ett protokoll eller en uppsättning riktlinjer som anger säker kommunikation över internet.
Vissa webbplatser, särskilt webbplatser där du ombeds att tillhandahålla känslig eller personligt identifierande information, kan visa https antingen i grönt eller i rött med en linje genom den. HTTPS betyder Hypertext Transfer Protocol Secure, och grönt betyder att webbplatsen har ett verifierbart säkerhetscertifikat. Rött med en linje igenom betyder att webbplatsen inte har något säkerhetscertifikat, eller att certifikatet är felaktigt eller har löpt ut.
Här blir det lite förvirrande. HTTP betyder inte att data som överförs mellan en dator och en webbplats är krypterad. Det betyder bara att webbplatsen som kommunicerar med webbläsaren har ett aktivt säkerhetscertifikat. Endast när ett S (som i S) ingår är data som överförs säker, och det finns en annan teknik som används som gör den säkra beteckningen möjligt.
SSL vs. TLS
- Ursprungligen utvecklad 1995.
- Tidigare nivå av webbkryptering.
- Laggade efter det snabbt växande internet.
- Började som den tredje versionen av SSL.
- Transport Layer Security.
- Fortsatte att förbättra krypteringen som används i SSL.
- Läggade till säkerhetskorrigeringar för nya typer av attacker och säkerhetshål.
SSL var det ursprungliga säkerhetsprotokollet för att säkerställa att webbplatser och data som skickas mellan webbplatserna var säkra. Enligt GlobalSign introducerades SSL 1995 som version 2.0. Den första versionen (1.0) blev aldrig allmän egendom. Version 2.0 ersattes av version 3.0 inom ett år för att åtgärda sårbarheter i protokollet.
1999 introducerades en annan version av SSL, kallad Transport Layer Security (TLS), för att förbättra samtalshastigheten och säkerheten för handskakningen. TLS är den version som för närvarande används, även om den ofta kallas SSL för enkelhetens skull.
Förstå SSL-protokollet
- Döljer information mellan en dator och en webbplats.
- Skyddar inloggningsinformation.
- Säkrar onlineköp.
- Skyddar inte mot alla hot.
- Kan inte säkra dig på webbplatser som inte använder SSL.
- Det går inte att dölja vilka webbplatser du besöker.
När du överväger att dela ett handslag med någon betyder det att det finns en andra part inblandad. Onlinesäkerhet är ungefär på samma sätt. För att handslaget som säkerställer säkerhet online ska kunna ske måste det finnas en andra part inblandad. Om HTTPS är det protokoll som webbläsaren använder för att säkerställa att det finns säkerhet, är den andra hälften av handskakningen protokollet som säkerställer kryptering.
Kryptering är tekniken som används för att dölja data som överförs mellan två enheter i ett nätverk. Det åstadkoms genom att förvandla igenkännbara tecken till oigenkännligt skratt som kan återställas till sitt ursprungliga tillstånd med hjälp av en krypteringsnyckel. Detta åstadkoms ursprungligen genom en teknik som kallas Secure Socket Layer (SSL)-säkerhet.
SSL var tekniken som förvandlade all data som rörde sig mellan en webbplats och en webbläsare till skratt och sedan tillbaka till data igen. Så här fungerar det:
- Du öppnar en webbläsare och anger adressen till din bank.
- Webbläsaren knackar på bankens dörr och presenterar dig.
- Dörrvakten verifierar att du är den du säger att du är och samtycker till att släppa in dig under en uppsättning villkor.
- Webbläsaren godkänner dessa villkor och sedan får du tillgång till bankens webbplats.
Processen upprepas när du anger ditt användarnamn och lösenord, med några ytterligare steg.
- Du anger ditt användarnamn och lösenord för att få tillgång till ditt konto.
- Din webbläsare talar om för bankens kontoansvariga att du vill ha tillgång till ditt konto.
- De pratar och är överens om att om du kan tillhandahålla rätt referenser så kommer du att få åtkomst. Dessa inloggningsuppgifter måste dock presenteras på ett speciellt språk.
- Webbläsaren och bankens kontoansvariga godkänner vilket språk som ska användas.
- Webbläsaren konverterar ditt användarnamn och lösenord till det speciella språket och skickar det till bankens kontoansvariga.
- Kontoansvarig tar emot data, avkodar den och jämför den med sina register.
- Om dina referenser stämmer överens får du tillgång till ditt konto.
Processen sker på nanosekunder, så du märker inte hur lång tid det tar för samtalet och handslaget att äga rum mellan webbläsaren och webbplatsen.
TLS-kryptering
- Säker kryptering.
- Döljer data mellan en dator och webbplatser.
- Bättre handskakningsprocess vid förhandlingar om krypterad kommunikation.
- Ingen kryptering är perfekt.
- Säker inte automatiskt DNS.
- Inte helt kompatibel med äldre versioner.
TLS-kryptering introducerades för att förbättra datasäkerheten. Även om SSL var en bra teknik, förändras säkerheten i snabb takt, och det ledde till behovet av bättre och mer uppdaterad säkerhet. TLS byggdes på ramverket för SSL med förbättringar av algoritmerna som styr kommunikations- och handskakningsprocessen.
Vilken TLS-version är mest aktuell?
Som med SSL har TLS-kryptering fortsatt att förbättras. Den nuvarande TLS-versionen är 1.2, men TLSv1.3 har utarbetats och vissa företag och webbläsare har använt säkerheten under korta perioder. I de flesta fall återgår de till TLSv1.2 eftersom version 1.3 fortfarande håller på att fulländas.
När det är klart kommer TLSv1.3 att medföra många säkerhetsförbättringar, inklusive förbättrat stöd för mer aktuella typer av kryptering. TLSv1.3 kommer dock också att ta bort stödet för äldre versioner av SSL-protokoll och annan säkerhetsteknik som inte längre är tillräckligt robust för att säkerställa korrekt säkerhet och kryptering av personuppgifter.