Seguridad

Cómo la navegación web se está volviendo aún más segura

La gran cantidad de información personal que compartimos en línea ha crecido exponencialmente desde 1994, el inicio del protocolo Secure Sockets Layer (SSL).

Internet está repleto de frases de contraseña ¿Por qué las frases de contraseña son aún mejores que las contraseñas y las huellas digitales? ¿Por qué las frases de contraseña aún son mejores que las contraseñas y las huellas digitales? ¿Recuerda cuando las contraseñas no tenían que ser complicadas? ¿Cuándo los PIN fueron fáciles de recordar? Esos días ya pasaron, y los riesgos de ciberdelito significan que los escáneres de huellas dactilares son casi inútiles. Es hora de comenzar a usar códigos de acceso ... Lea más, detalles de tarjetas de crédito y datos bancarios en línea 6 Razones de sentido común por las que debería realizar transacciones bancarias en línea si ya no está [Opinión] 6 Razones de sentido común por las que debería realizar transacciones bancarias en línea si no las tiene Ya [Opinión] ¿Cómo hace habitualmente sus operaciones bancarias? ¿Conduces a tu banco? ¿Esperas en largas filas, solo para depositar un cheque? ¿Recibe los estados de cuenta mensuales en papel? ¿Usted archiva esos ... Leer más. Tenemos certificados SSL para agradecer nuestra seguridad y privacidad. Pero es probable que haya oído hablar de fallas recientes que han mermado su confianza en el protocolo criptográfico..

Afortunadamente, SSL se está adaptando, actualizando y reemplazando para brindarle una mayor tranquilidad. Así es cómo.

¿Qué es SSL de todos modos??

Comencemos con exactamente qué es SSL ¿Qué es un certificado SSL, y ¿Necesita uno? ¿Qué es un certificado SSL y lo necesita? Navegar por Internet puede ser aterrador cuando se trata de información personal. Lee mas .

Los certificados SSL son documentos de autorización digital que pueden ser obtenidos por una organización o persona que ejecuta un sitio que trata información confidencial. Asegura que los datos puedan ser transportados de manera segura entre el servidor web y el navegador, que esta información no haya sido interceptada y que sus fuentes sean genuinas.

Echa un vistazo a Amazon, por ejemplo. Mire la URL, y en lugar de una dirección típica del Protocolo de transferencia de hipertexto (HTTP), debe ser redirigido a uno HTTPS. ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? ¿Qué es HTTPS y cómo habilitar conexiones seguras por preocupaciones de seguridad predeterminadas? se están extendiendo por todas partes y han llegado a la vanguardia de la mente de todos. Términos como antivirus o firewall ya no son un vocabulario extraño y no solo se entienden, sino que también se usan en ... Leer más: eso adicional “S” significa que es un enlace seguro HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible Lea más, y es seguro pagar por los artículos a través del sitio. Hotmail, WordPress e incluso Tumblr utilizan certificados SSL.

Es genial para el consumidor (quién sabe que sus datos se tratan de manera responsable) y para el vendedor (que no solo se beneficia de la confianza de los compradores, sino que también obtiene una clasificación más alta por parte de Google)..

Sin embargo, nada es infalible, y algunas fallas SSL expuestas en tan solo el año pasado lo atestiguan. Afortunadamente, la navegación web es cada vez más segura ...

Actualizaciones TLS

Es posible que haya visto que SSL y la Seguridad de la capa de transporte (TLS) se usan indistintamente, y aunque las diferencias son quizás sutiles, siguen siendo notables..

Ambos utilizan el mismo sistema de cifrado de datos y se consultan con la autoridad de certificación (CA) antes de establecer esa conexión. TLS, sin embargo, es el sucesor de SSL, por lo que es lógico que TLS sea más seguro. De hecho, sus tres encarnaciones, TLS 1.0, 1.1 y 1.2, eliminan algunas de las vulnerabilidades encontradas en el método SSL.

TLS 1.3 ha existido desde 2008, pero como las fallas en las versiones anteriores se consideraron tan minúsculas, no afectaron “mundo real” Situaciones, se toma hasta hace muy poco para su implementación masiva. De hecho, en 2013, parecía que incluso la Agencia Nacional de Seguridad (NSA) no estaba apuntando a dominios que ejecutaban protocolos TLS porque muy pocos lo usaban. Ahora, sin embargo, un mandato del Consejo de Seguridad de PCI ha obligado a cualquier sitio que transmita o procese la información del titular de la tarjeta para actualizar.

Además, todos los principales navegadores (Google Chrome, Microsoft Edge, Safari, Firefox y Opera) son compatibles con TLS 1.2 de manera predeterminada, por lo que ambas partes garantizan el nivel de cifrado. Sin embargo, tenga en cuenta que el mandato parece aplicarse únicamente a los detalles de pago, no a la información de inicio de sesión.

Cifrado en todas partes

Actualizar certificados solo es útil si se adopta ampliamente, y ese no es el caso. Todos los sitios de comercio electrónico necesitan prácticas de seguridad, y la mayoría debería tener SSL o TLS. Muchos confían en la protección de los procesadores de pago de terceros, como PayPal (esto parece ser una laguna en el mandato del Consejo de Seguridad de PCI), pero si un sitio acepta información privada, debe usar una capa segura.

Si su conexión no es privada, los piratas informáticos pueden adquirir datos como la dirección de correo electrónico y la contraseña al iniciar sesión. Y porque la mayoría de las personas tienden a usar las mismas contraseñas. Las 7 tácticas más comunes que se usan para hackear las contraseñas. Las 7 tácticas más comunes que se usan para hackear las contraseñas. Cuando escucha una "violación de seguridad", ¿qué viene a la mente? ¿Un hacker malévolo? ¿Algún niño del sótano? La realidad es que todo lo que se necesita es una contraseña, y los hackers tienen 7 formas de obtener la suya. Lea más en múltiples sitios (a pesar de todas las advertencias, 7 errores de contraseña que probablemente lo harán hackeado 7 errores de contraseña que probablemente lo hackeen) Las peores contraseñas de 2015 se han lanzado, y son bastante preocupantes. Pero demuestran que es absolutamente fundamental para fortalecer sus contraseñas débiles, con unos pocos ajustes simples. Leer más), que podría ser información vital.

No obstante, muchos sitios no adoptan los protocolos SSL porque pueden ser costosos y complicados. Ahí es donde el programa de cifrado en todas partes de Symantec entra en juego.

La firma de seguridad estadounidense ofrece un servicio gratuito, por el cual el certificado se obtiene de forma totalmente gratuita, con actualizaciones (como análisis de malware) disponibles a un costo. Las asociaciones con empresas de hospedaje eliminan las complejidades de los administradores del sitio, mientras que las actualizaciones automatizadas agilizan el proceso de abordar cualquier vulnerabilidad adicional.

Esto está en un intento por obtener un uso de la capa de seguridad del 100% para 2018, por lo que esperamos que sea adoptado por la mayoría de los sitios muy pronto.

Vamos a cifrar

¡Pero espera! Symantec no es el único que se esfuerza por el cifrado SSL / TLS en toda la web.

Let's Encrypt parece estar montando la ola de fallas más recientes; lanzado al público en diciembre de 2015, el proyecto ya cuenta con numerosos patrocinadores internacionales importantes, como Google Chrome, Mozilla, Facebook, Shopify, YunPian y Akamai. Dirigido por el Grupo de Investigación de Seguridad de Internet (ISRG), Let's Encrypt ha emitido más de 5 millones de certificados en este mes y proyecta un 50% de carga de páginas HTTPS para fines de este año.

¿Por qué Let's Encrypt está demostrando ser popular? Simplemente, ya que es gratuito y automatizado, lo que significa que es increíblemente fácil para los sitios obtener certificados y actualizaciones.

La iniciativa comienza con un nuevo par de claves privadas y una prueba del propietario del dominio ante la CA; Una vez que esto se verifica mediante el protocolo del Entorno de gestión automatizada de certificados (ACME), el software del sitio puede firmar los mensajes de administración de certificados con la clave para renovar y revocar certificados, o crear otros nuevos para el mismo dominio.

Acabamos de emitir nuestro certificado número 5 millones.!

- Let's Encrypt (@letsencrypt) 17 de junio de 2016

Sin duda, Let's Encrypt es el proyecto más conocido para ofrecer certificados gratuitos, y entre estos programas principales, ciertamente parece ser una causa confiable..

Convergencia

Sin embargo, podría estar desilusionado con los certificados SSL..

Su reputación ha sido dañada en los últimos años: la mayoría al menos han oído hablar de Heartbleed Heartbleed: ¿Qué puedes hacer para mantenerte seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Leer más, una vulnerabilidad en la biblioteca de criptografía de código abierto, OpenSSL, que permite a los piratas informáticos leer información no encriptada. Heartbleed afectó a muchos servicios Excavando a través de Hype: ¿Heartbleed ha perjudicado realmente a alguien? Excavando a través del Hype: ¿Ha perjudicado Heartbleed a alguien? Lea más, pero eso fue hace dos años Five Breaches to Your Privacy en 2014, que puede haber perdido Five Breaches for Your Privacy en 2014, que puede que haya perdido Numerosas publicaciones se deleitaron con la vida privada de las celebridades en 2014, un año en el que El centro de atención también brilló en el público en general. ¿Podemos aprender algo de estas brechas? Leer más y una solución está disponible. Pero luego, el año pasado, hubo propietarios de computadoras portátiles Superfish Lenovo Cuidado: su dispositivo puede tener malware preinstalado. Propietarios de computadoras portátiles Lenovo. Cuidado: su dispositivo puede tener preinstalado Malware. Leer más, el malware que hace que el HTTPS sea discutible; Esto, también, ha sido parcheado. Superfish no ha sido capturado todavía: SSL El secuestro explicado Superfish no ha sido atrapado todavía: El secuestro SSL explicado El malware Superfish de Lenovo causó un gran revuelo, pero la historia no ha terminado. Incluso si eliminó el adware de su computadora, existe la misma vulnerabilidad en otras aplicaciones en línea. Lee mas .

Y tampoco se limita a su PC: las aplicaciones de su teléfono inteligente se ven afectadas. 1.000 aplicaciones de iOS tienen un error de SSL paralizante: cómo verificar si están afectadas. 1.000 aplicaciones de iOS tienen un error de SSL paralizante: cómo verificar si están afectados. El error de AFNetworking es dando problemas a los usuarios de iPhone y iPad, con miles de aplicaciones que llevan una vulnerabilidad que hace que los certificados SSL se autentiquen correctamente, lo que posiblemente facilita el robo de identidad a través de ataques de intermediarios. Leer más por defectos de SSL también.

La convergencia, entonces, es un complemento del navegador que muchos confunden con un sistema que reemplaza los certificados SSL; Sin embargo, más que nada, es la siguiente etapa para las AC. Esencialmente, en lugar de confiar en una CA que avala la autenticidad de un sitio, Convergence recurre a los servicios notariales para dar fe de la seguridad del sitio.

Usted visita una dirección HTTPS. Hay tres resultados principales: todos los notarios están de acuerdo en que es seguro, en cuyo caso, usted usa el sitio; no todos coinciden, pero puede ir con la mayoría o rechazar el sitio porque no confía en los notarios que hacer responder por ello o en casos extremos, la mayoría o todos los notarios están de acuerdo en que no se puede confiar. De esa manera, no hay un punto único de falla..

Piénselo de esta manera: es una convergencia de opiniones sobre si un usuario puede confiar en el HTTPS.

¿Cómo se está convirtiendo Internet en un asegurador??

¿Por qué todavía nos referimos a ellos como certificados SSL? Seguramente deberían ser certificados TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 de junio de 2016

En pocas palabras: los certificados SSL que autentican los sitios se están actualizando a TLS, sobre todo en dominios como PayPal que tratan con información de pago. Estos están siendo desplegados en masa, con el objetivo de utilizar el 100% de HTTPS en los próximos años. También se están reevaluando las AC y el complemento de Convergencia parece ser una etapa sólida para verificar qué tan confiable es un sitio al confiar en los notarios para que acepten.

¿Estas medidas te dan fe en SSL nuevamente? Vos si sensación ¿Entrada segura de detalles de pago en línea? ¿Qué otros protocolos de seguridad le gustaría ver implementados ampliamente??

Créditos de la imagen: HTTPS (WeTransfer) de Christiaan Colen; y https por Sean MacEntee.

Explorar más sobre: cifrado, SSL.

« Cómo vemos las películas [infografía] Cómo los sitios web graban secretamente su actividad con los scripts de Session Replay »