Page d'accueil Sécurité Comment la navigation sur le Web devient encore plus sécurisée

Comment la navigation sur le Web devient encore plus sécurisée

  • Owen Little
  • 0
  • 1797
  • 106
Publicité

La richesse des informations personnelles que nous partageons en ligne a augmenté de manière exponentielle depuis 1994, année de la création du protocole SSL (Secure Sockets Layer)..

Pourquoi les mots de passe sont-ils toujours meilleurs que les mots de passe et les empreintes digitales? Pourquoi les mots de passe sont-ils encore meilleurs que les mots de passe et les empreintes digitales? Rappelez-vous que les mots de passe n'ont pas à être compliqués? Quand les NIP étaient-ils faciles à retenir? Ces temps sont révolus et les risques de cybercriminalité font que les scanners d'empreintes digitales sont quasiment inutiles. Il est temps de commencer à utiliser les codes d'authentification…, les détails de carte de crédit et les données bancaires en ligne. 6 raisons de bon sens pour lesquelles vous devriez effectuer des opérations de banque en ligne si vous n'êtes pas déjà 6 Opinion] Comment faites-vous habituellement vos opérations bancaires? Vous rendez-vous à votre banque? Attendez-vous dans de longues files, juste pour déposer un chèque? Recevez-vous des relevés mensuels sur papier? Avez-vous classer ceux-ci…. Nous avons des certificats SSL à remercier pour notre sécurité et notre confidentialité. Mais vous avez probablement entendu parler de failles récentes qui ont entamé votre confiance dans le protocole cryptographique.

Heureusement, SSL s’adapte, est mis à niveau et remplacé pour vous donner une plus grande tranquillité d’esprit. Voici comment.

Qu'est-ce que le SSL quand même??

Commençons avec ce qu'est exactement le protocole SSL Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. .

Les certificats SSL sont des documents d'autorisation numériques pouvant être obtenus par une organisation ou une personne exécutant un site traitant des informations sensibles. Cela garantit que les données peuvent être transportées en toute sécurité entre le serveur Web et le navigateur, que ces informations n'ont pas été interceptées et que leurs sources sont authentiques..

Découvrez Amazon, par exemple. Regardez l'URL et au lieu d'une adresse HTTP typique, vous devriez être redirigé vers une adresse HTTPS. Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défaut? Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défaut? se répandent loin et ont atteint la pointe de l'esprit de la plupart des gens. Les termes tels que antivirus ou pare-feu ne sont plus un vocabulaire étrange et ne sont pas seulement compris, mais aussi utilisés par… “S” signifie que c'est un lien sécurisé HTTPS Everywhere: utilisez HTTPS au lieu de HTTP lorsque possible HTTPS Everywhere: utilisez HTTPS au lieu de HTTP lorsque cela est possible, et vous pouvez payer en toute sécurité pour des éléments via le site. Hotmail, WordPress et même Tumblr utilisent des certificats SSL.

C'est formidable pour le consommateur (qui sait que ses données sont traitées de manière responsable) et pour le vendeur (qui bénéficie non seulement de la confiance des acheteurs, mais qui est également mieux classé par Google)..

Cependant, rien n’est infaillible, et quelques failles SSL exposées au cours de la dernière année seulement en témoignent. Heureusement, la navigation sur le Web redevient sécurisée…

Mises à niveau TLS

Vous avez peut-être vu SSL et TLS (Transport Layer Security) être utilisés de façon interchangeable, et même si les différences sont peut-être subtiles, elles restent remarquables.

Les deux utilisent le même système de cryptage des données et de communication avec l'autorité de certification avant d'établir la connexion. TLS, cependant, est le successeur de SSL. Il est donc logique que TLS soit plus sûr. En effet, ses trois incarnations - TLS 1.0, 1.1 et 1.2 - corrigent certaines des vulnérabilités trouvées dans la méthode SSL.

TLS 1.3 existe depuis 2008, mais comme les défauts des versions précédentes étaient considérés comme minuscules, ils n'auraient aucune incidence sur “monde réel” situations, il a pris jusqu'à très récemment pour sa mise en œuvre de masse. En fait, en 2013, il est apparu que même la National Security Agency (NSA) ne ciblait pas les domaines exécutant des protocoles TLS, car très peu d’entre eux l’utilisaient réellement. Maintenant, cependant, un mandat du Conseil de sécurité PCI a obligé tout site qui transmet ou traite des informations de titulaire de carte à la mise à niveau..

De plus, tous les principaux navigateurs - Google Chrome, Microsoft Edge, Safari, Firefox et Opera - supportent TLS 1.2 par défaut, de sorte que le niveau de cryptage est assuré par les deux parties. Notez cependant que le mandat semble s’appliquer uniquement aux détails du paiement et non aux informations de connexion..

Cryptage Partout

La mise à niveau des certificats n'est utile que si elle est largement adoptée, et ce n'est pas le cas. Tous les sites de commerce électronique ont besoin de pratiques de sécurité et la majorité d'entre eux devraient réellement utiliser SSL ou TLS. Beaucoup comptent sur la protection des tiers processeurs de paiement, comme PayPal (cela semble être une faille dans le mandat du Conseil de sécurité PCI), mais si un site accepte les informations privées, il doit utiliser une couche sécurisée..

Si votre connexion n'est pas privée, les données, y compris l'adresse e-mail et le mot de passe lors de la connexion, peuvent être acquises par des pirates. Et parce que la plupart des gens ont tendance à utiliser les mêmes mots de passe. Les 7 tactiques les plus courantes utilisées pour pirater les mots de passe Les 7 tactiques les plus courantes utilisées pour pirater les mots de passe Lorsque vous entendez une "atteinte à la sécurité", qu'est-ce qui vous vient à l'esprit? Un pirate malveillant? Un enfant du sous-sol? En réalité, tout ce dont vous avez besoin est d’un mot de passe et les pirates informatiques ont 7 moyens d’obtenir le vôtre. sur plusieurs sites (malgré tous les avertissements 7 erreurs de mot de passe risquant de vous faire pirater 7 erreurs de mot de passe susceptible de vous piratage Les pires mots de passe de 2015 ont été publiés et ils sont assez préoccupants. Mais ils montrent qu'il est absolument essentiel de renforcer vos mots de passe faibles, avec juste quelques ajustements simples.), cela pourrait être une information vitale.

Néanmoins, de nombreux sites n'adoptent pas les protocoles SSL car cela peut être coûteux et compliqué. C'est là qu'intervient le programme Encryption Everywhere de Symantec.

La société de sécurité américaine propose un service freemium, selon lequel le certificat est obtenu entièrement gratuitement, avec des mises à niveau (telles que des analyses de logiciels malveillants) disponibles moyennant un coût. Les partenariats avec des sociétés d'hébergement simplifient la tâche des administrateurs de site, tandis que les mises à jour automatiques rationalisent le processus de gestion des vulnérabilités supplémentaires..

Ceci dans le but d'obtenir 100% d'utilisation de la couche de sécurité d'ici 2018, nous nous attendons donc à ce qu'il soit adopté par la majorité des sites très bientôt.

Cryptons

Mais attendez! Symantec n'est pas le seul à vouloir le cryptage SSL / TLS sur le Web.

Let's Encrypt semble surfer sur la vague de failles plus récentes; Lancé au public en décembre 2015, le projet compte déjà de nombreux sponsors internationaux, notamment Google Chrome, Mozilla, Facebook, Shopify, YunPian et Akamai. Dirigé par le groupe de recherche sur la sécurité Internet (ISRG), Let's Encrypt a, ce mois-ci, émis plus de 5 millions de certificats et prévoit 50% de chargement de page HTTPS d'ici la fin de l'année..

Pourquoi Let's Encrypt est-il si populaire? Simplement comme c'est gratuit et automatisé, il est incroyablement facile pour les sites d'obtenir des certificats et des mises à niveau.

L'initiative commence par une nouvelle paire de clés privées et une preuve du propriétaire du domaine par l'autorité de certification; une fois que cela est vérifié à l'aide du protocole ACME (Automated Certificate Management Environment), le logiciel de site peut signer les messages de gestion de certificats avec la clé afin de renouveler et de révoquer des certificats, ou en créer de nouveaux pour le même domaine..

Nous venons de délivrer notre 5 millionième certificat!

- Let's Encrypt (@letsencrypt) 17 juin 2016

Let's Encrypt est sans doute le projet le plus connu pour offrir des certificats gratuits, et entre ces programmes majeurs, cela semble certainement être une cause de confiance..

Convergence

Vous pouvez être déçu par les certificats SSL, cependant.

Leur réputation a été endommagée au cours des dernières années: la plupart ont au moins entendu parler de Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? , une vulnérabilité de la bibliothèque de cryptographie à source ouverte, OpenSSL, qui permet aux pirates de lire des informations non chiffrées. Heartbleed a affecté de nombreux services. Fouiller dans le battage médiatique: Heartbleed a-t-il réellement fait du mal à quelqu'un? Creuser dans le battage médiatique: Heartbleed a-t-il réellement fait du mal à quelqu'un? , mais c'était il y a deux ans Cinq atteintes à votre vie privée en 2014 que vous auriez peut-être manquées Cinq atteintes à votre vie privée en 2014 et d'autres aussi nombreuses De nombreuses publications se sont émerveillées de la vie privée des célébrités en 2014, une année sous le feu des projecteurs brillait sur le grand public. Pouvons-nous apprendre quelque chose de ces violations? et un correctif est disponible. Mais l'année dernière, les propriétaires d'ordinateurs portables Lenovo étaient Superfish Attention: votre appareil peut avoir préinstallé des logiciels malveillants Lenovo! Avertissement: votre appareil peut avoir préinstallé des logiciels malveillants Le fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs à la fin de 2014 étaient protégés par des logiciels malveillants. , malware qui rend HTTPS inutile; Superfish n'a pas encore été capturé: piratage SSL expliqué Superfish n'a pas encore été capturé: piratage SSL expliqué Le programme malveillant Superfish de Lenovo a fait sensation, mais l'histoire n'est pas terminée. Même si vous avez supprimé le logiciel de publicité de votre ordinateur, la même vulnérabilité existe dans les autres applications en ligne.. .

Et il n'est pas confiné à votre PC non plus: vos applications pour smartphone sont affectées. 1 000 applications iOS ont un bogue SSL handicapant: comment vérifier si vous êtes concernés 1 000 applications iOS ont un bogue SSL invalidant: comment vérifier si vous êtes concerné Le bogue AFNetworking est donner des problèmes aux utilisateurs d'iPhone et d'iPad, avec des milliers d'applications comportant une vulnérabilité entraînant une authentification correcte des certificats SSL, ce qui pourrait potentiellement faciliter l'usurpation d'identité par le biais d'attaques de type «man-in-the-middle». par les failles SSL aussi.

La convergence est donc un complément du navigateur que beaucoup confondent avec un système qui remplace les certificats SSL; plus que tout, c’est la prochaine étape pour les CA. Au lieu de faire confiance à une autorité de certification garantissant l'authenticité d'un site, Convergence se tourne vers les services de notaire pour attester de la sécurité du site..

Vous visitez une adresse HTTPS. Il y a trois résultats principaux: tous les notaires sont d'accord pour dire que c'est sûr, dans ce cas, vous utilisez le site; pas tous d'accord, mais vous pouvez aller avec la majorité ou rejeter le site parce que vous ne faites pas confiance aux notaires qui faire en témoigner; ou dans des cas extrêmes, la plupart ou tous les notaires s'accordent pour dire qu'il ne faut pas s'y fier. De cette façon, il n'y a pas de point d'échec unique.

Pensez-y de cette façon: c'est une convergence d'opinions sur le point de savoir si un utilisateur peut faire confiance au protocole HTTPS..

Comment Internet devient-il un moyen de sécurisation??

Pourquoi les appelons-nous encore certificats SSL? Ils devraient sûrement être des certificats TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 juin 2016

En un mot: les certificats SSL qui authentifient les sites sont en cours de mise à niveau vers TLS, principalement sur des domaines tels que PayPal qui traitent des informations de paiement. Ceux-ci sont en cours de déploiement en masse, avec l’objectif d’une utilisation 100% HTTPS dans les prochaines années. Les autorités de certification sont également en cours de réévaluation et le module complémentaire de convergence apparaît comme une étape solide dans la vérification de la fiabilité d'un site en s'appuyant sur les notaires pour s'entendre..

Est-ce que ces mesures vous redonnent confiance en SSL? Le faites vous ressentir Comment saisir en ligne les détails de paiement? Quels autres protocoles de sécurité souhaiteriez-vous voir mis en œuvre à grande échelle??

Crédits image: HTTPS (WeTransfer) de Christiaan Colen; et https de Sean MacEntee.




Personne n'a encore commenté ce post.

Unfriend, non suivi, contrairement au zen de la chronologie sans encombrement
Des médias sociaux
Trouver la meilleure visionneuse Web Instagram Vos options comparées
Des médias sociaux
Facebook veut être le site d’information du futur et c’est affreux
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.