Vzhledem k tomu, že v nedávné době došlo k tak velkému úniku dat, vás může zajímat, jak jsou vaše data chráněna, když jste online. Když půjdete na web, nakoupíte a zadáte číslo své kreditní karty, doufejme, že za pár dní dorazí balíček k vašim dveřím. Ale v tu chvíli, než stisknete Objednat, přemýšlíte, jak funguje online zabezpečení?
Základy zabezpečení online
Ve své základní podobě je online zabezpečení – zabezpečení, které probíhá mezi počítačem a webem – prováděno prostřednictvím řady otázek a odpovědí. Do prohlížeče zadáte webovou adresu a poté prohlížeč požádá tento web o ověření jeho pravosti. Stránka odpoví příslušnými informacemi a poté, co se oba dohodnou, se stránka otevře ve webovém prohlížeči. Mezi položenými otázkami a vyměňovanými informacemi jsou údaje o typu šifrování, které přenáší informace o prohlížeči, informace o počítači a osobní informace mezi prohlížečem a webem. Těmto otázkám a odpovědím se říká podání ruky. Pokud k podání ruky nedojde, bude web, který se pokoušíte navštívit, považován za nebezpečný.
HTTP vs. HTTPS
HTTP
- Otevřete, aby je mohl kdokoli po cestě vidět.
- Jednodušší nastavení a spuštění.
- Žádné zabezpečení hesel a odeslaných dat.
HTTPS
- Plně šifrované pro skrytí informací.
- Vyžaduje další konfiguraci serveru.
- Chrání přenášené informace včetně hesel.
Jedna věc, které si můžete všimnout při návštěvě webů na webu, je, že některé mají adresu, která začíná na http, a někteří začínají na https. HTTP znamená Hypertext Transfer Protocol; je to protokol nebo soubor pokynů, které označují zabezpečenou komunikaci přes internet. Některé weby, zejména weby, kde jste požádáni o poskytnutí citlivých nebo osobně identifikujících informací, se mohou zobrazit https buď zeleně, nebo červeně s čárou. HTTPS znamená zabezpečený protokol Hypertext Transfer Protocol a zelený znamená, že web má ověřitelný bezpečnostní certifikát. Červená čára znamená, že web nemá bezpečnostní certifikát nebo je certifikát nepřesný nebo jeho platnost vypršela. Tady je situace trochu matoucí. HTTP neznamená šifrování dat přenášených mezi počítačem a webem. Znamená to pouze, že web, který komunikuje s prohlížečem, má aktivní bezpečnostní certifikát. Pouze když S (jako v HTTPS) jsou zahrnuta data, která jsou bezpečně přenesena, a používá se další technologie, která toto bezpečné označení umožňuje.
SSL vs. TLS
SSL
- Původně vyvinut v roce 1995.
- Dřívější úroveň šifrování webu.
- Zaostal za rychle rostoucím internetem.
TLS
- Spuštěno jako třetí verze SSL.
- Zabezpečení transportní vrstvy.
- Pokračování ve zlepšování šifrování používaného v SSL.
- Přidány opravy zabezpečení pro nové typy útoků a bezpečnostních děr.
SSL byl původní bezpečnostní protokol, který zajišťoval bezpečnost webových stránek a dat mezi nimi přenášených. Podle GlobalSign byl SSL zaveden v roce 1995 jako verze 2.0. První verze (1.0) se nikdy nedostala do veřejné domény. Verze 2.0 byla do jednoho roku nahrazena verzí 3.0, aby se vyřešily chyby zabezpečení v protokolu. V roce 1999 byla zavedena další verze SSL s názvem TLS (Transport Layer Security), která má zlepšit rychlost konverzace a zabezpečení potřesení rukou. TLS je verze, která se aktuálně používá, i když je kvůli jednoduchosti často označována jako SSL.
Pochopení protokolu SSL
Výhody
- Skryje sadu informací mezi počítačem a webem.
- Chrání přihlašovací údaje.
- Zabezpečuje online nákupy.
Nevýhody
- Nechrání před všemi hrozbami.
- Nelze vás zabezpečit na webech, které nepoužívají SSL.
- Nelze skrýt, které webové stránky navštěvujete.
Pokud zvažujete sdílení ruky s někým, znamená to, že je zapojena druhá strana. Online zabezpečení je velmi podobné. Aby došlo k podání ruky, které zajišťuje zabezpečení online, musí být zapojena druhá strana. Pokud je HTTPS protokol, který webový prohlížeč používá k zajištění bezpečnosti, pak druhá polovina tohoto handshake je protokol, který zajišťuje šifrování. Šifrování je technologie, která slouží k maskování dat přenášených mezi dvěma zařízeními v síti. Toho je dosaženo změnou rozpoznatelných znaků na nerozpoznatelné bláboly, které lze vrátit do původního stavu pomocí šifrovacího klíče. Toho bylo původně dosaženo pomocí technologie s názvem Zabezpečení SSL (Secure Socket Layer). SSL byla technologie, která přeměnila veškerá data pohybující se mezi webovou stránkou a prohlížečem na blábol a poté zpět na data. Funguje to takto:
- Otevřete prohlížeč a zadejte adresu své banky.
- Webový prohlížeč klepe na dveře banky a představí vás.
- Vrátný ověří, že jste tím, kým o sobě říkáte, a souhlasí, že vás za stanovených podmínek pustí dovnitř.
- Webový prohlížeč s těmito podmínkami souhlasí a poté máte přístup na webové stránky banky.
Proces se opakuje, když zadáte své uživatelské jméno a heslo, s několika dalšími kroky.
- Zadáním svého uživatelského jména a hesla získáte přístup k vašemu účtu.
- Váš webový prohlížeč sděluje správci účtu banky, že byste chtěli získat přístup ke svému účtu.
- Konverzují a souhlasí, že pokud můžete poskytnout správná pověření, pak vám bude udělen přístup. Tato pověření je však třeba předložit ve speciálním jazyce.
- Webový prohlížeč a správce účtu banky souhlasí s používaným jazykem.
- Webový prohlížeč převede vaše uživatelské jméno a heslo do tohoto speciálního jazyka a předá jej správci účtu banky.
- Správce účtu data přijme, dekóduje a porovná s jejich záznamy.
- Pokud se vaše přihlašovací údaje shodují, máte přístup ke svému účtu.
Proces probíhá v nanosekundách, takže si nevšimnete, jak dlouho trvá konverzace a podání ruky mezi webovým prohlížečem a webem.
Šifrování TLS
Výhody
- Bezpečnější šifrování.
- Skrývá data mezi počítačem a webovými stránkami.
- Lepší proces handshake při vyjednávání šifrované komunikace.
Nevýhody
- Žádné šifrování není dokonalé.
- Nezabezpečuje automaticky DNS.
- Není plně kompatibilní se staršími verzemi.
Za účelem zlepšení zabezpečení dat bylo zavedeno šifrování TLS. Zatímco SSL byla dobrá technologie, zabezpečení se rychle měnilo, a to vedlo k potřebě lepšího a aktuálnějšího zabezpečení. TLS byl postaven na rámci SSL s vylepšeními algoritmů, které řídí proces komunikace a handshake.
Která verze TLS je nejaktuálnější?
Stejně jako u SSL se šifrování TLS stále zlepšuje. Aktuální verze TLS je 1.2, ale TLSv1.3 byl navržen a některé společnosti a prohlížeče používaly zabezpečení po krátkou dobu. Ve většině případů se vrátí k TLSv1.2, protože verze 1.3 se stále zdokonaluje. Po dokončení TLSv1.3 přinese řadu vylepšení zabezpečení, včetně vylepšené podpory pro aktuálnější typy šifrování. TLSv1.3 však také zruší podporu starších verzí protokolů SSL a dalších bezpečnostních technologií, které již nejsou dostatečně robustní, aby zajistily řádné zabezpečení a šifrování osobních údajů.