Če imate v preteklih časih toliko hudih podatkov o kršitvah podatkov, se morda sprašujete, kako so vaši podatki zaščiteni, ko ste na spletu. Veš, greš na spletno stran za nakupovanje, vnesi svojo številko kreditne kartice in upajmo, da čez nekaj dni dobi paket na tvoja vrata. Toda v tem trenutku, preden kliknete Naročilo, ali se sploh sprašujete, kako deluje varnost na spletu?
Osnove spletne varnosti
V njeni najosnovnejši obliki je spletno varnost - to je varnost, ki poteka med računalnikom in spletnim mestom, ki ga obiskujete - se izvaja z vrsto vprašanj in odgovorov. V brskalnik vnesete spletni naslov, nato vaš spletni brskalnik zahteva, da spletno mesto preveri njegovo pristnost, spletno mesto odgovori z ustreznimi informacijami in ob oboje se strinja, se spletno mesto odpre v vašem spletnem brskalniku.
Med postavljenimi vprašanji in informacijami, ki se izmenjujejo, so podatki o vrsti šifriranja, ki se uporablja za posredovanje podatkov o brskalniku, računalniških podatkih in osebnih podatkih med brskalnikom in spletnim mestom. Ta vprašanja in odgovori se imenujejo a rokovanje. Če se to rokovanje ne izvede, se bo spletna stran, ki jo poskušate obiskati, štela za nevarno.
HTTP v primerjavi s HTTPS
Ena stvar, ki jo boste morda opazili, ko obiščete spletna mesta v spletu, je, da imajo nekateri naslov, ki se začne http in nekateri se začnejo https. HTTP pomeni Protokol za prenos hiperteksta; je protokol ali niz smernic, ki označujejo varno komunikacijo prek interneta. Morda celo opazite, da se lahko prikažejo nekatera spletna mesta, zlasti spletna mesta, na katerih ste pozvani, da predložijo občutljive ali osebne podatke https bodisi v zeleni ali rdeči barvi s črto skozi to. HTTPS pomeni protokol prenosa za hipertekst Secure in zeleno pomeni, da ima spletno mesto preverljivo varnostno potrdilo. Rdeča z linijo skozi to pomeni, da stran nima varnostnega potrdila ali je potrdilo netočno ali poteklo.
Tukaj je nekaj stvari zmedeno. HTTP ne pomeni, da so podatki, preneseni med računalnikom in spletnim mestom, šifrirani. Samo spletno mesto, ki komunicira z vašim brskalnikom, ima aktivno varnostno potrdilo. Šele koS (kot pri HTTPS), so podatki, ki se prenesejo varno, in obstaja druga tehnologija, ki jo uporablja varno oznaka možna.
Razumevanje protokola SSL
Ko razmišljate o skupni rabi rokovanja z nekom, to pomeni, da je vključena druga stranka. Spletna varnost je na enak način enaka. Za rokovanje, ki zagotavlja varnost na spletu, mora biti vključena druga stranka. Če je HTTPS protokol, ki ga spletni brskalnik uporablja za zagotovitev varnosti, potem je druga polovica tega rokovanja protokol, ki zagotavlja šifriranje.
Šifriranje je tehnologija, ki se uporablja za prikrivanje podatkov, ki se prenašajo med dvema napravama v omrežju. To je doseženo tako, da prepoznavne znake spremenimo v neprepoznavno gibičko, ki se lahko vrne v prvotno stanje z uporabo šifrirni ključ. To je bilo prvotno doseženo s tehnologijo Secure Socket Layer (SSL).
V bistvu je bila SSL tehnologija, ki je spremenila vse podatke, ki se gibljejo med spletnim mestom in brskalnikom, in se znova vračajo v podatke. Evo, kako deluje:
- Odprete svoj brskalnik in vnesite naslov za svojo banko.
- Vaš spletni brskalnik potrka na vrata banke in vas uvaja.
- Vrvnik preveri, da ste vi, kdo ste rekli, in se nato strinjate, da vas pustite pod določenimi pogoji.
- Vaš spletni brskalnik se strinja s temi pogoji, nato pa imate dovoljenje za dostop do spletne strani banke.
Postopek se ponovi, ko vnesete svoje uporabniško ime in geslo, z nekaj dodatnimi koraki.
- Za dostop do vašega računa vpišete svoje uporabniško ime in geslo.
- Vaši spletni brskalniki sporočajo upravitelju računa banke, da želite dostopati do svojega računa.
- Pogovarjajo in se strinjajo, da če lahko zagotovite pravilne poverilnice, vam bo omogočil dostop. Vendar je treba te poverilnice predstaviti s posebnim jezikom.
- Spletni brskalnik in upravitelj računa banke se strinjata z jezikom, ki se bo uporabljal.
- Spletni brskalnik pretvori vaše uporabniško ime in geslo v ta poseben jezik in ga pošlje v upravitelja računa banke.
- Upravitelj računa prejme podatke, jo dekodira in primerja z njihovimi zapisi.
- Če se vaše poverilnice ujemajo, boste imeli dostop do svojega računa.
Postopek poteka v nanosekundah, tako da ne opazite časa, ki je potreben za celoten pogovor in rokovanje med spletnim brskalnikom in spletnim mestom.
SSL vs TLS
SSL je bil prvotni varnostni protokol, ki je bil uporabljen za zagotovitev, da so spletna mesta in podatki, posredovani med njimi, varni. Po podatkih podjetja GlobalSign je bil SSL uveden leta 1995 kot različica 2.0. Prva različica (1.0) se nikoli ni našla v javni domeni. Različica 2.0 je bila v roku enega leta nadomeščena z različico 3.0 za obravnavo ranljivosti v protokolu. Leta 1999 je bila uvedena še ena različica SSL-ja, imenovane Transport Layer Security (TLS), ki je izboljšala hitrost pogovora in varnosti rokovanja. TLS je različica, ki je trenutno v uporabi, čeprav se zaradi enostavnosti pogosto še vedno imenuje SSL.
Šifriranje TLS
Šifriranje TLS je bilo uvedeno za izboljšanje varnosti podatkov.Čeprav je bila SSL dobra tehnologija, se je varnost hitro spremenila, kar je privedlo do potrebe po boljši in bolj posodobljeni varnosti. TLS je bil zgrajen na podlagi SSL s pomembnimi izboljšavami algoritmov, ki urejajo komunikacijo in proces rokovanja.
Katera različica TLS je najbolj aktualna?
Kot pri SSL se še naprej izboljšuje šifriranje TLS. Trenutna različica TLS je 1,2, TLSv1.3 pa je bil pripravljen in nekatera podjetja in brskalniki so uporabljali varnost za kratka obdobja. V večini primerov se vrnejo nazaj na TLSv1.2, ker je različica 1.3 še vedno izpopolnjena.
Ko bo dokončana, bo TLSv1.3 prinesel številne varnostne izboljšave, vključno z izboljšano podporo za bolj aktualne vrste šifriranja. Toda TLSv1.3 bo spustil podporo tudi za starejše različice SSL protokolov in drugih varnostnih tehnologij, ki niso več robustne, da bi zagotovili pravilno varnost in šifriranje vaših osebnih podatkov.