الإعلانات

نمت ثروة المعلومات الشخصية التي نشاركها عبر الإنترنت بشكل كبير منذ عام 1994 ، منذ بداية بروتوكول طبقة المقابس الآمنة (SSL).

الإنترنت غارقة في عبارات المرور لماذا لا تزال عبارات المرور أفضل من كلمات المرور وبصمات الأصابعهل تتذكر عندما لا يلزم أن تكون كلمات المرور معقدة؟ متى كانت أرقام PIN سهلة التذكر؟ لقد ولت تلك الأيام ، ومخاطر الجرائم الإلكترونية تعني أن ماسحات بصمات الأصابع ليست مجدية. حان الوقت لبدء استخدام رموز المرور ... اقرأ أكثر وتفاصيل بطاقة الائتمان البيانات المصرفية عبر الإنترنت 6 أسباب منطقية شائعة لماذا يجب عليك استخدام الإنترنت عبر الإنترنت إذا لم تكن بالفعل [رأي]كيف تقوم عادة بعملك المصرفي؟ هل تقود سيارتك إلى البنك الخاص بك؟ هل تنتظر في طوابير طويلة فقط لإيداع شيك واحد؟ هل تتلقى كشوف ورقية شهرية؟ هل تودع هؤلاء ... اقرأ أكثر . لدينا شهادات SSL نشكرها على أماننا وخصوصيتنا. ولكن ربما سمعت عن العيوب الأخيرة التي أثرت على ثقتك ببروتوكول التشفير.

لحسن الحظ ، تتكيف طبقة المقابس الآمنة ، ويتم ترقيتها واستبدالها لتمنحك راحة بال أفضل. إليك الطريقة.

ما هو SSL على أي حال؟

دعنا نبدء ب

instagram viewer
بالضبط ما هو SSL ما هي شهادة SSL ، وهل تحتاجها؟قد يكون تصفح الإنترنت أمرًا مخيفًا عند تضمين معلومات شخصية. اقرأ أكثر .

شهادات SSL هي وثائق ترخيص رقمية يمكن الحصول عليها من قبل مؤسسة أو فرد يقوم بتشغيل موقع يتعامل مع معلومات حساسة. يضمن أن البيانات يمكن نقلها بأمان بين خادم الويب والمتصفح ، وأن هذه المعلومات لم يتم اعتراضها ومصادرها أصلية.

تحقق من أمازون ، على سبيل المثال. انظر إلى عنوان URL ، وبدلاً من عنوان بروتوكول HyperText Transfer Protocol (HTTP) ، يجب أن تكون كذلك أعيد توجيهها إلى واحد HTTPS ما هو HTTPS وكيفية تمكين الاتصالات الآمنة لكل افتراضيتنتشر المخاوف الأمنية على نطاق واسع ، وقد وصلت إلى طليعة عقول الجميع. لم تعد مصطلحات مثل مكافحة الفيروسات أو جدار الحماية عبارة عن مفردات غريبة ولم يتم فهمها فحسب ، بل يتم استخدامها أيضًا من قبل ... اقرأ أكثر - هذا إضافي "S" يعني أنه رابط آمن HTTPS في كل مكان: استخدم HTTPS بدلاً من HTTP عند الإمكان اقرأ أكثر ، وأنت آمن للدفع مقابل العناصر عبر الموقع. يستخدم Hotmail و WordPress وحتى Tumblr شهادات SSL.

إنه أمر رائع بالنسبة للمستهلك (الذي يعرف أن بياناته يتم التعامل معها بمسؤولية) ، وللبائع (الذي لا يستفيد من ثقة المشترين فحسب ، بل يحصل أيضًا على مرتبة أعلى من Google).

ومع ذلك ، لا يوجد شيء معصوم ، وتشهد على ذلك بعض عيوب طبقة المقابس الآمنة خلال العام الماضي فقط. لحسن الحظ ، أصبح تصفح الويب أكثر أمانًا مرة أخرى ...

ترقيات TLS

ربما كنت قد شاهدت استخدام طبقة المقابس الآمنة (SSL) وأمن طبقة النقل (TLS) بشكل متبادل ، وعلى الرغم من أن الاختلافات ربما تكون دقيقة ، إلا أنها تظل جديرة بالملاحظة.

17976028193_ca46369a35_z

كلاهما يستخدم نفس نظام تشفير البيانات ، ويتشاوران مع المرجع المصدق (CA) قبل إجراء هذا الاتصال. TLS ، على الرغم من ذلك ، هو خليفة SSL ، لذلك فمن المنطقي أن TLS سيكون مؤمنًا. في الواقع ، تجسيداتها الثلاثة - TLS 1.0 و 1.1 و 1.2 - تكشف بعض نقاط الضعف الموجودة في طريقة SSL.

لقد كان TLS 1.3 موجودًا منذ عام 2008 ، ولكن نظرًا لعيوب الإصدارات السابقة ضئيلة لن تؤثر على مواقف "العالم الحقيقي" ، يتم أخذها حتى وقت قريب جدًا لكتلتها التنفيذ. في الحقيقة، مرة أخرى في عام 2013، يبدو أنه حتى وكالة الأمن القومي (NSA) لم تكن تستهدف المجالات التي تشغل بروتوكولات TLS لأن القليل منها استخدمها بالفعل. الآن ، على الرغم من ذلك ، أجبر تفويض من مجلس أمن PCI أي موقع ينقل أو يعالج معلومات حامل البطاقة إلى الترقية.

علاوة على ذلك ، تدعم جميع المتصفحات الرئيسية - Google Chrome و Microsoft Edge و Safari و Firefox و Opera - TLS 1.2 بشكل افتراضي ، بحيث يضمن كلا الطرفين مستوى التشفير. لاحظ ، مع ذلك ، أن التفويض يبدو أنه ينطبق فقط على تفاصيل الدفع ، وليس معلومات تسجيل الدخول.

التشفير في كل مكان

لا تكون ترقية الشهادات مفيدة إلا إذا تم اعتمادها على نطاق واسع ، وهذا ليس هو الحال. تحتاج جميع مواقع التجارة الإلكترونية إلى ممارسات أمنية ، ويجب أن يكون لدى الأغلبية SSL أو TLS. يعتمد الكثير على حماية معالجات الدفع التابعة لجهات خارجية ، مثل PayPal (يبدو أن هذه ثغرة في تفويض مجلس أمن PCI) ، ولكن إذا قبل موقع ما معلومات خاصة ، فيجب أن يستخدم طبقة آمنة.

التشفير في كل مكان

إذا لم يكن اتصالك خاصًا ، فيمكن للمتسللين الحصول على البيانات التي تتضمن عنوان البريد الإلكتروني وكلمة المرور عند تسجيل الدخول. ولأن معظم الناس يميلون إلى ذلك استخدم نفس كلمات المرور 7 التكتيكات الأكثر شيوعا المستخدمة لاختراق كلمات المرورعندما تسمع "خرق أمني" ، ما الذي يتبادر إلى الذهن؟ هاكر خبيث؟ بعض الأطفال الذين يعيشون في القبو؟ الحقيقة هي أن كل ما هو مطلوب هو كلمة مرور ، ولدى المتسللين 7 طرق للحصول على كلمة المرور الخاصة بك. اقرأ أكثر على مواقع متعددة (على الرغم من كل التحذيرات 7 أخطاء في كلمة المرور ستؤدي إلى اختراقك على الأرجحتم إصدار أسوأ كلمات المرور لعام 2015 ، وهي مقلقة للغاية. لكنهم يظهرون أنه من الضروري للغاية تعزيز كلمات المرور الضعيفة ، مع بعض التعديلات البسيطة. اقرأ أكثر ) ، يمكن أن تكون معلومات حيوية.

ومع ذلك ، لا تعتمد العديد من المواقع بروتوكولات طبقة المقابس الآمنة لأنها يمكن أن تكون مكلفة ويمكن أن تكون معقدة. هذا هو المكان الذي يأتي فيه برنامج التشفير في كل مكان من Symantec.

تقدم شركة الأمن الأمريكية خدمة مجانية ، حيث يتم الحصول على الشهادة مجانًا تمامًا ، مع توفر ترقيات (مثل عمليات فحص البرامج الضارة) بتكلفة. إن الشراكات مع الشركات المستضيفة تزيل التعقيدات عن أيدي مسؤولي الموقع ، بينما تعمل التحديثات التلقائية على تبسيط عملية معالجة أي نقاط ضعف أخرى.

هذا في محاولة لاستخدام طبقة الأمان بنسبة 100 ٪ بحلول عام 2018 ، لذلك نتوقع أن يتم اعتمادها من قبل غالبية المواقع قريبًا جدًا.

دعونا تشفير

لكن انتظر! سيمانتيك ليست الوحيدة التي تسعى إلى تشفير SSL / TLS على مستوى الويب.

يتيح تشفير

لنبدأ في تشفير موجة من العيوب الأخيرة ؛ تم إطلاق المشروع للجمهور في ديسمبر 2015 ، ويضم المشروع بالفعل العديد من الرعاة الدوليين الرئيسيين بما في ذلك Google Chrome و Mozilla و Facebook و Shopify و YunPian و Akamai. تديرها مجموعة أبحاث أمان الإنترنت (ISRG) ، أصدرت Let’s Encrypt هذا الشهر أكثر من 5 ملايين شهادة وتتوقع تحميل 50٪ من صفحات HTTPS بحلول نهاية هذا العام.

لماذا يثبت تشفيرنا شعبيته؟ ببساطة لأنها مجانية ومؤتمتة ، مما يعني أنه من السهل للغاية بالنسبة للمواقع الحصول على الشهادات والترقيات.

تبدأ المبادرة بزوج مفاتيح خاص جديد ، وإثبات لمالك المجال إلى المرجع المصدق (CA) ؛ بمجرد التحقق من ذلك باستخدام بروتوكول بيئة إدارة الشهادات المؤتمتة (ACME) ، يمكن لبرنامج الموقع التوقيع رسائل إدارة الشهادة مع المفتاح من أجل تجديد الشهادات وإبطالها ، أو إنشاء شهادات جديدة لها نطاق.

أصدرنا للتو شهادة 5 ملايين!

- دعونا تشفير (letsencrypt) 17 يونيو 2016

يمكن القول إن Let Encrypt هو أفضل مشروع معروف لتقديم شهادات مجانية ، وبين هذه البرامج الرئيسية ، يبدو بالتأكيد أنه قضية جديرة بالثقة.

التقارب

قد تشعر بخيبة أمل من شهادات SSL.

لقد تضررت سمعتهم في السنوات الأخيرة: معظمهم على الأقل سمعت عن Heartbleed Heartbleed - ما الذي يمكنك القيام به للبقاء في أمان؟ اقرأ أكثر ، ثغرة في مكتبة التشفير مفتوحة المصدر ، OpenSSL ، والتي تسمح للمتسللين بقراءة المعلومات غير المشفرة. أثرت Heartbleed على الكثير من الخدمات الحفر من خلال الضجيج: هل ضربات القلب تضررت بالفعل أي شخص؟ اقرأ أكثر ، لكن ذلك كان منذ عامين خمسة انتهاكات لخصوصيتك في عام 2014 قد فاتكتم نشر العديد من المنشورات في الحياة الخاصة للمشاهير في عام 2014 ، وهو العام الذي سلط فيه الضوء على الجمهور أيضًا. هل يمكننا تعلم أي شيء من هذه الخروقات؟ اقرأ أكثر والإصلاح متاح. ولكن في العام الماضي ، كان هناك Superfish حذار أصحاب أجهزة الكمبيوتر المحمول من Lenovo: ربما يكون جهازك مثبتًا مسبقًا على البرامج الضارةاعترفت شركة لينوفو الصينية لتصنيع الكمبيوتر أن أجهزة الكمبيوتر المحمولة التي يتم شحنها إلى المتاجر والمستهلكين في أواخر عام 2014 تم تثبيتها مسبقًا بالبرامج الضارة. اقرأ أكثر ، والبرمجيات الخبيثة التي جعلت من HTTPS moot ؛ هذا ايضا، تم تصحيحه لم يتم القبض على Superfish حتى الآن: شرح اختطاف SSLتسبب برنامج Superfish الضار من لينوفو في إثارة ، لكن القصة لم تنته بعد. حتى إذا قمت بإزالة البرامج الإعلانية من جهاز الكمبيوتر الخاص بك ، فإن نفس الثغرة موجودة في التطبيقات الأخرى عبر الإنترنت. اقرأ أكثر .

15944989872_b958dc5552_z

ولا يقتصر على جهاز الكمبيوتر الخاص بك أيضًا: تتأثر تطبيقات الهواتف الذكية يحتوي 1000 تطبيق iOS على خطأ SSL معطل: كيفية التحقق مما إذا كنت متأثرًاخلل AFNetworking يسبب مشاكل لمستخدمي iPhone و iPad ، مع وجود آلاف التطبيقات التي تحمل ثغرات أمنية شهادات SSL من المصادقة بشكل صحيح ، مما يسهل سرقة الهوية من خلال رجل في الوسط الهجمات. اقرأ أكثر بواسطة عيوب SSL أيضًا.

التقارب ، إذن ، وظيفة إضافية للمتصفح يخلطها الكثيرون مع نظام يحل محل شهادات SSL ؛ أكثر من أي شيء ، على الرغم من أنها المرحلة التالية للمراجع المصدقة. بشكل أساسي ، بدلاً من الثقة في ضمان CA واحد لأصالة الموقع ، يتحول التقارب إلى خدمات كاتب العدل لإثبات أمان الموقع.

تقوم بزيارة عنوان HTTPS. هناك ثلاث نتائج رئيسية: يوافق جميع كتاب العدل على أنه آمن ، وفي هذه الحالة ، تستخدم الموقع ؛ لا يتفق الجميع ، ولكن يمكنك الذهاب مع الأغلبية أو رفض الموقع لأنك لا تثق في كتاب العدل فعل يشهدوا عليه ؛ أو في الحالات القصوى ، يتفق معظم كتاب العدل أو جميعهم على أنه لا يمكن الوثوق بهم. بهذه الطريقة ، ليس هناك نقطة واحدة للفشل.

فكر في الأمر بهذه الطريقة: إنه تقارب في الآراء حول ما إذا كان يمكن للمستخدم أن يثق في HTTPS.

كيف تصبح شبكة الإنترنت آمنة؟

لماذا ما زلنا نشير إليها على أنها شهادات SSL؟ بالتأكيد يجب أن تكون شهادات TLS؟ #ssl#tls#MostBrowsersDontDoSSLAnymore

- كريس بونت (@ chrispont) 7 يونيو 2016

باختصار: تتم ترقية شهادات SSL التي تصادق المواقع إلى TLS ، والأهم من ذلك على نطاقات مثل PayPal التي تتعامل مع معلومات الدفع. يتم طرح هذه بشكل جماعيبهدف استخدام HTTPS بنسبة 100٪ في السنوات القليلة القادمة. تتم أيضًا إعادة تقييم مراجع التصديق وتبدو الوظيفة الإضافية للتقارب مرحلة صلبة في التحقق من مدى موثوقية الموقع من خلال الاعتماد على كتاب العدل للموافقة.

هل تمنحك هذه الإجراءات الثقة في SSL مرة أخرى؟ هل يشعر إدخال تفاصيل الدفع بأمان عبر الإنترنت؟ ما هي بروتوكولات الأمان الأخرى التي ترغب في أن يتم تنفيذها على نطاق واسع؟

حقوق الصورة: HTTPS (WeTransfer) بقلم كريستيان كولين; و https بواسطة شون MacEntee.

عندما لا يشاهد التلفاز ، ويقرأ الكتب "n" Marvel comics ، ويستمع إلى The Killers ، ويستحوذ على أفكار السيناريو ، يتظاهر فيليب بيتس بأنه كاتب مستقل. يستمتع بجمع كل شيء.