Uz toliko velikih kršenja podataka u vijestima u posljednje vrijeme, mogli biste se zapitati kako su vaši podaci zaštićeni kada ste na mreži. Kada odete na web stranicu da obavite kupovinu i unesete broj svoje kreditne kartice, nadamo se da će vam za nekoliko dana paket stići na vrata. Ali u tom trenutku prije nego što pritisnete Order, pitate li se kako funkcionira sigurnost na mreži?
Osnove online sigurnosti
U svom osnovnom obliku, online sigurnost - sigurnost koja se odvija između računara i web stranice - se izvodi kroz niz pitanja i odgovora. Unesete web adresu u pretraživač, a zatim pretraživač od te stranice traži da potvrdi njenu autentičnost. Stranica odgovara odgovarajućim informacijama, a nakon što se oboje slože, stranica se otvara u web pretraživaču.
Među postavljenim pitanjima i razmijenjenim informacijama su podaci o vrsti enkripcije koja prosljeđuje informacije pretraživača, informacije o računaru i lične informacije između pretraživača i web stranice. Ova pitanja i odgovori nazivaju se rukovanjem. Ako se to rukovanje ne dogodi, tada se web stranica koju pokušavate posjetiti smatra nesigurnom.
HTTP vs
- Otvoreno za bilo koga da vidi usput.
- Lakše za postavljanje i pokretanje.
- Nema sigurnosti za lozinke i predate podatke.
-
Potpuno šifrirano za skrivanje informacija.
- Zahtijeva dodatnu konfiguraciju servera.
- Štiti prenete informacije, uključujući lozinke.
Jedna stvar koju možete primijetiti kada posjećujete web stranice je da neke imaju adresu koja počinje sa http, a neke počinju sa https. HTTP znači Hypertext Transfer Protocol; to je protokol ili skup smjernica koje određuju sigurnu komunikaciju preko interneta.
Neke web-lokacije, posebno one na kojima se od vas traži da pružite osjetljive ili lične informacije, mogu prikazati https zelenom ili crvenom bojom sa linijom kroz njega. HTTPS znači da je Hypertext Transfer Protocol Secure, a zelena znači da stranica ima sigurnosni certifikat koji se može provjeriti. Crvena sa linijom kroz nju znači da stranica nema sigurnosni certifikat, ili je certifikat netačan ili je istekao.
Ovdje stvari postaju malo zbunjujuće. HTTP ne znači da su podaci koji se prenose između računara i web stranice šifrirani. To samo znači da web lokacija koja komunicira sa pretraživačem ima aktivan sigurnosni certifikat. Samo kada je uključen S (kao u S), podaci koji se prenose su sigurni, a koristi se još jedna tehnologija koja čini tu sigurnu oznaku moguće.
SSL vs. TLS
- Originalno razvijeno 1995.
- Raniji nivo web enkripcije.
- Zaostaje za internetom koji se brzo razvija.
- Počelo kao treća verzija SSL-a.
- Transport Layer Security.
- Nastavljeno poboljšavati enkripciju koja se koristi u SSL-u.
- Dodate sigurnosne ispravke za nove vrste napada i sigurnosnih rupa.
SSL je bio originalni sigurnosni protokol koji je osigurao da su web stranice i podaci koji se prosljeđuju između stranica sigurni. Prema GlobalSign-u, SSL je predstavljen 1995. godine kao verzija 2.0. Prva verzija (1.0) nikada nije dospjela u javno vlasništvo. Verzija 2.0 je zamijenjena verzijom 3.0 u roku od godinu dana kako bi se riješile ranjivosti u protokolu.
Godine 1999. predstavljena je druga verzija SSL-a, nazvana Transport Layer Security (TLS), kako bi se poboljšala brzina razgovora i sigurnost rukovanja. TLS je verzija koja je trenutno u upotrebi, iako se često naziva SSL radi jednostavnosti.
Razumevanje SSL protokola
- Skriva informacije postavljene između računara i web stranice.
- Štiti informacije za prijavu.
- Osigurava online kupovinu.
- Ne štiti od svih prijetnji.
- Ne mogu vas osigurati na web lokacijama koje ne koriste SSL.
- Nije moguće sakriti koje web stranice posjećujete.
Kada razmišljate o rukovanju s nekim, to znači da je uključena i druga strana. Sigurnost na mreži je skoro na isti način. Da bi se rukovanje koje osigurava sigurnost na mreži odigralo, mora biti uključena druga strana. Ako je HTTPS protokol koji web preglednik koristi da osigura sigurnost, onda je druga polovina tog rukovanja protokol koji osigurava enkripciju.
Enkripcija je tehnologija koja se koristi za prikrivanje podataka koji se prenose između dva uređaja na mreži. To se postiže pretvaranjem prepoznatljivih znakova u neprepoznatljivu glupost koja se može vratiti u prvobitno stanje pomoću ključa za šifriranje. Ovo je prvobitno postignuto tehnologijom koja se zove Secure Socket Layer (SSL).
SSL je bila tehnologija koja je sve podatke koji se kreću između web stranice i pretraživača pretvarala u brbljanje, a zatim ponovo u podatke. Evo kako to funkcionira:
- Otvarate pretraživač i upisujete adresu svoje banke.
- Web pretraživač kuca na vrata banke i predstavlja vas.
- Vratar potvrđuje da ste ono za šta kažete da jeste i pristaje da vas pusti unutra pod određenim uslovima.
- Web pretraživač prihvata te uslove i tada vam je dozvoljen pristup web stranici banke.
Proces se ponavlja kada unesete svoje korisničko ime i lozinku, uz neke dodatne korake.
- Unosite svoje korisničko ime i lozinku da pristupite svom računu.
- Vaš web preglednik govori upravitelju računa banke da želite pristup vašem računu.
- Oni razgovaraju i slažu se da, ako možete dati ispravne akreditive, tada će vam biti odobren pristup. Međutim, te akreditive moraju biti predstavljene na posebnom jeziku.
- Web pretraživač i upravitelj računa banke pristaju na jezik koji će se koristiti.
- Web pretraživač pretvara vaše korisničko ime i lozinku u taj poseban jezik i prosljeđuje ga upravitelju računa banke.
- Upravitelj naloga prima podatke, dekodira ih i upoređuje sa svojim zapisima.
- Ako se vaši akreditivi poklapaju, odobrava vam se pristup vašem računu.
Proces se odvija u nanosekundama, tako da ne primjećujete koliko vremena je potrebno da se razgovor i rukovanje odvijaju između web pretraživača i web stranice.
TLS enkripcija
- Sigurnije šifriranje.
- Skriva podatke između računara i web stranica.
- Bolji proces rukovanja prilikom pregovaranja o šifrovanoj komunikaciji.
- Nijedna enkripcija nije savršena.
- Ne osigurava automatski DNS.
- Nije u potpunosti kompatibilno sa starijim verzijama.
TLS enkripcija je uvedena radi poboljšanja sigurnosti podataka. Iako je SSL bio dobra tehnologija, sigurnost se mijenja velikom brzinom, a to je dovelo do potrebe za boljom, ažurnijom sigurnošću. TLS je izgrađen na okviru SSL-a sa poboljšanjima algoritama koji upravljaju komunikacijom i procesom rukovanja.
Koja je TLS verzija najnovija?
Kao i kod SSL-a, TLS enkripcija je nastavila da se poboljšava. Trenutna verzija TLS-a je 1.2, ali je TLSv1.3 izrađen, a neke kompanije i pretraživači su koristili sigurnost u kratkim vremenskim periodima. U većini slučajeva se vraćaju na TLSv1.2 jer se verzija 1.3 još uvijek usavršava.
Kada bude finaliziran, TLSv1.3 će donijeti brojna sigurnosna poboljšanja, uključujući poboljšanu podršku za aktuelnije tipove enkripcije. Međutim, TLSv1.3 će također ukinuti podršku za starije verzije SSL protokola i drugih sigurnosnih tehnologija koje više nisu dovoljno robusne da osiguraju odgovarajuću sigurnost i šifriranje ličnih podataka.