Pagina principal Seguridad Cómo la navegación web se está volviendo aún más segura

Cómo la navegación web se está volviendo aún más segura

  • Owen Little
  • 0
  • 1396
  • 135
Anuncio

La gran cantidad de información personal que compartimos en línea ha crecido exponencialmente desde 1994, el inicio del Protocolo de Capa de Conexión Segura (SSL).

Internet está inundado de frases de contraseña ¿Por qué las frases de contraseña son aún mejores que las contraseñas y las huellas digitales? ¿Por qué las frases de contraseña son aún mejores que las contraseñas y las huellas digitales? ¿Recuerdas cuando las contraseñas no tenían que ser complicadas? ¿Cuándo los PIN eran fáciles de recordar? Esos días pasaron, y los riesgos de cibercrimen significan que los escáneres de huellas digitales son casi inútiles. Es hora de comenzar a usar códigos de acceso ..., detalles de la tarjeta de crédito y datos bancarios en línea 6 Razones de sentido común por las que debe realizar operaciones bancarias en línea si aún no lo está [Opinión] 6 Razones de sentido común por qué debe realizar operaciones bancarias en línea si aún no lo está [ Opinión] ¿Cómo sueles hacer tus operaciones bancarias? ¿Conduces a tu banco? ¿Espera en largas filas, solo para depositar un cheque? ¿Recibe estados de cuenta mensuales en papel? ¿Archivas esos ...? Tenemos certificados SSL para agradecer nuestra seguridad y privacidad. Pero probablemente haya oído hablar de fallas recientes que han afectado su confianza en el protocolo criptográfico.

Afortunadamente, SSL se está adaptando, actualizando y reemplazando para brindarle una mayor tranquilidad. Así es cómo.

¿Qué es SSL de todos modos??

Comencemos con exactamente qué es SSL ¿Qué es un certificado SSL y necesita uno? ¿Qué es un certificado SSL y necesita uno? Navegar por Internet puede dar miedo cuando se trata de información personal. .

Los certificados SSL son documentos de autorización digital que puede obtener una organización o una persona que administra un sitio que maneja información confidencial. Asegura que los datos se puedan transportar de forma segura entre el servidor web y el navegador, que esta información no haya sido interceptada y que sus fuentes sean genuinas.

Echa un vistazo a Amazon, por ejemplo. Mire la URL y, en lugar de una dirección típica de Protocolo de transferencia de hipertexto (HTTP), debe ser redirigido a una HTTPS. ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? se están extendiendo por todas partes y han llegado a la vanguardia de la mente de casi todos. Términos como antivirus o cortafuegos ya no son vocabulario extraño y no solo se entienden, sino que también son utilizados por ... “S” significa que es un enlace seguro HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible, y está seguro de pagar los artículos a través del sitio. Hotmail, WordPress e incluso Tumblr usan certificados SSL.

Es excelente para el consumidor (que sabe que sus datos se están tratando de manera responsable) y para el vendedor (que no solo se beneficia de la confianza de los compradores, sino que también obtiene una clasificación más alta por parte de Google).

Sin embargo, nada es infalible, y algunas fallas SSL expuestas en el último año lo atestiguan. Afortunadamente, la navegación web es cada vez más segura ...

Actualizaciones de TLS

Es posible que haya visto que SSL y Transport Layer Security (TLS) se usan indistintamente, y aunque las diferencias son quizás sutiles, siguen siendo notables.

Ambos usan el mismo sistema de encriptación de datos y consulta con la autoridad de certificación (CA) antes de hacer esa conexión. Sin embargo, TLS es el sucesor de SSL, por lo que es lógico que TLS sea más seguro. De hecho, sus tres encarnaciones - TLS 1.0, 1.1 y 1.2 - resuelven algunas de las vulnerabilidades encontradas en el método SSL.

TLS 1.3 ha existido desde 2008, pero como las fallas en las versiones anteriores se consideraban tan minúsculas que no afectarían “mundo real” situaciones, se tomó hasta hace muy poco para su implementación masiva. De hecho, en 2013, parecía que incluso la Agencia de Seguridad Nacional (NSA) no estaba apuntando a dominios que ejecutaban protocolos TLS porque muy pocos lo usaban. Ahora, sin embargo, un mandato del Consejo de Seguridad PCI ha forzado a cualquier sitio que transmite o procesa información del titular de la tarjeta a actualizar.

Además, todos los principales navegadores (Google Chrome, Microsoft Edge, Safari, Firefox y Opera) admiten TLS 1.2 de forma predeterminada, por lo que ambas partes aseguran el nivel de cifrado. Sin embargo, tenga en cuenta que el mandato parece aplicarse únicamente a los detalles de pago, no a la información de inicio de sesión.

Cifrado en todas partes

La actualización de certificados solo es útil si se adopta ampliamente, y ese no es el caso. Todos los sitios de comercio electrónico necesitan prácticas de seguridad, y la mayoría realmente debería tener SSL o TLS. Muchos confían en la protección de procesadores de pagos de terceros, como PayPal (esto parece ser un vacío en el mandato del Consejo de Seguridad PCI), pero si un sitio acepta información privada, debería usar una capa segura.

Si su conexión no es privada, los piratas informáticos pueden obtener datos que incluyen dirección de correo electrónico y contraseña al iniciar sesión. Y debido a que la mayoría de las personas tienden a usar las mismas contraseñas. Las 7 tácticas más comunes utilizadas para hackear contraseñas. Las 7 tácticas más comunes utilizadas para hackear contraseñas. Cuando escuchas "violación de seguridad", ¿qué se te ocurre? ¿Un hacker malévolo? ¿Algún chico que vive en el sótano? La realidad es que todo lo que se necesita es una contraseña, y los hackers tienen 7 formas de obtener la suya. en varios sitios (a pesar de todas las advertencias 7 errores de contraseña que probablemente te hackearán) 7 errores de contraseña que probablemente te hackearán Las peores contraseñas de 2015 se han lanzado, y son bastante preocupantes. Pero demuestran que es absolutamente crítico fortalezca sus contraseñas débiles, con solo algunos ajustes simples.), que podría ser información vital.

Sin embargo, muchos sitios no adoptan protocolos SSL porque puede ser costoso y puede ser complicado. Ahí es donde entra el programa Symantec Encryption Everywhere.

La empresa de seguridad estadounidense está ofreciendo un servicio freemium, mediante el cual el certificado se obtiene de forma totalmente gratuita, con actualizaciones (como análisis de malware) disponibles a un costo. Las asociaciones con empresas de alojamiento eliminan las complejidades de los administradores del sitio, mientras que las actualizaciones automatizadas agilizan el proceso de abordar cualquier vulnerabilidad adicional..

Esto está en un intento por obtener el 100% de uso de la capa de seguridad para 2018, por lo que esperamos que sea adoptado por la mayoría de los sitios muy pronto..

Encriptemos

¡Pero espera! Symantec no es el único que se esfuerza por el cifrado SSL / TLS en toda la web.

Let's Encrypt parece estar montando la ola de fallas más recientes; lanzado al público en diciembre de 2015, el proyecto ya cuenta con numerosos patrocinadores internacionales importantes, incluidos Google Chrome, Mozilla, Facebook, Shopify, YunPian y Akamai. Dirigido por Internet Security Research Group (ISRG), Let's Encrypt ha emitido, de este mes, más de 5 millones de certificados y está proyectando un 50% de carga de páginas HTTPS para fines de este año..

¿Por qué Let's Encrypt está demostrando ser popular? Simplemente como es gratuito y automatizado, lo que significa que es increíblemente fácil para los sitios obtener certificados y actualizaciones.

La iniciativa comienza con un nuevo par de claves privadas y una prueba del propietario del dominio para la CA; una vez que esto se verifica utilizando el protocolo del Entorno de administración de certificados automatizado (ACME), el software del sitio puede firmar mensajes de administración de certificados con la clave para renovar y revocar certificados, o crear nuevos para el mismo dominio.

Acabamos de emitir nuestro certificado número 5 millones!

- Encriptemos (@letsencrypt) 17 de junio de 2016

Let's Encrypt es posiblemente el proyecto más conocido para ofrecer certificados gratuitos, y entre estos programas principales, ciertamente parece ser una causa confiable.

Convergencia

Sin embargo, puede desilusionarse con los certificados SSL..

Su reputación se ha dañado en los últimos años: la mayoría al menos ha oído hablar de Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo? , una vulnerabilidad en la biblioteca de criptografía de código abierto, OpenSSL, que permite a los piratas informáticos leer información no cifrada. Heartbleed afectó muchos servicios Excavando a través del bombo: ¿Heartbleed realmente ha dañado a alguien? Excavando a través del bombo: ¿Ha perjudicado realmente a Heartbleed a alguien? , pero eso fue hace dos años Cinco brechas a su privacidad en 2014 que podría haberse perdido Cinco brechas a su privacidad en 2014 que podría haberse perdido Numerosas publicaciones se deleitaron en la vida privada de las celebridades en 2014, un año en el que también se destacó brilló en el público en general. ¿Podemos aprender algo de estas infracciones? y hay una solución disponible. Pero luego, el año pasado, hubo propietarios de portátiles Superfish de Lenovo. Cuidado: su dispositivo puede haber preinstalado malware. Propietarios de portátiles de Lenovo. Cuidado: su dispositivo puede haber preinstalado malware. , malware que hizo que HTTPS fuera discutible; esto también ha sido parcheado. Superfish aún no ha sido atrapado: Explicación del secuestro SSL. Superfish aún no ha sido atrapado: Explicación del secuestro SSL. El malware Superfish de Lenovo causó revuelo, pero la historia no ha terminado. Incluso si eliminó el adware de su computadora, existe la misma vulnerabilidad en otras aplicaciones en línea. .

Y tampoco se limita a su PC: las aplicaciones de su teléfono inteligente se ven afectadas. 1,000 aplicaciones de iOS tienen un error SSL invalidante: cómo verificar si está afectado 1,000 aplicaciones de iOS tienen un error SSL invalidante: cómo verificar si está afectado El error AFNetworking es dando problemas a los usuarios de iPhone y iPad, con miles de aplicaciones que tienen una vulnerabilidad que resulta en la autenticación correcta de los certificados SSL, lo que facilita el robo de identidad a través de ataques de intermediarios. por defectos SSL también.

La convergencia, entonces, es un complemento del navegador que muchos confunden con un sistema que reemplaza los certificados SSL; Sin embargo, más que nada, es la siguiente etapa para las AC. Esencialmente, en lugar de confiar en una CA que garantiza la autenticidad de un sitio, Convergence recurre a servicios notariales para dar fe de la seguridad del sitio..

Visita una dirección HTTPS. Hay tres resultados principales: todos los notarios están de acuerdo en que es seguro, en cuyo caso, usa el sitio; no todos están de acuerdo, pero puedes ir con la mayoría o rechazar el sitio porque no confías en los notarios que hacer responder por ello; o en casos extremos, la mayoría o todos los notarios acuerdan que no se puede confiar. De esa manera, no hay un solo punto de falla.

Piénselo de esta manera: es una convergencia de opiniones sobre si un usuario puede confiar en el HTTPS.

¿Cómo se está volviendo más seguro Internet??

¿Por qué todavía nos referimos a ellos como certificados SSL? ¿Seguramente deberían ser certificados TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 de junio de 2016

En pocas palabras: los certificados SSL que autentican los sitios se están actualizando a TLS, lo más importante en dominios como PayPal que se ocupan de la información de pago. Estos se están implementando en masa, con el objetivo de utilizar el 100% de HTTPS en los próximos años. Las CA también están siendo reevaluadas y el complemento Convergencia parece una etapa sólida para verificar cuán confiable es un sitio al confiar en que los notarios acuerden.

¿Estas medidas te dan fe en SSL nuevamente? Vos si sensación ¿Es seguro ingresar los detalles de pago en línea? ¿Qué protocolos de seguridad adicionales le gustaría ver implementados ampliamente?

Créditos de imagen: HTTPS (WeTransfer) por Christiaan Colen; y https por Sean MacEntee.




Nadie ha comentado sobre este artículo todavía.

5 tipos de cifrado comunes y por qué no debes hacer los tuyos
Tecnología explicada
¿Es la pantalla del iPhone X realmente la mejor de todas las pantallas de teléfonos inteligentes?
Tecnología explicada
¿Cómo funcionan las unidades de estado sólido?
Tecnología explicada
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.