Cómo la navegación web se está volviendo aún más segura

Anuncio

La gran cantidad de información personal que compartimos en línea ha crecido exponencialmente desde 1994, el inicio del Protocolo de Capa de Conexión Segura (SSL).

Internet es inundado de frases de contraseña Por qué las frases de contraseña siguen siendo mejores que las contraseñas y huellas digitales¿Recuerdas cuando las contraseñas no tenían que ser complicadas? ¿Cuándo los PIN eran fáciles de recordar? Esos días pasaron, y los riesgos de cibercrimen significan que los escáneres de huellas digitales son casi inútiles. Es hora de comenzar a usar códigos de acceso ... Lee mas , detalles de la tarjeta de crédito y datos bancarios en línea 6 razones de sentido común por las que debe realizar operaciones bancarias en línea si aún no lo está [opinión]¿Cómo sueles hacer tus operaciones bancarias? ¿Conduces a tu banco? ¿Espera en largas filas, solo para depositar un cheque? ¿Recibe estados de cuenta mensuales en papel? ¿Archivas esos ... Lee mas . Tenemos certificados SSL para agradecer nuestra seguridad y privacidad. Pero probablemente haya oído hablar de fallas recientes que han afectado su confianza en el protocolo criptográfico.

Afortunadamente, SSL se está adaptando, actualizando y reemplazando para brindarle una mayor tranquilidad. Así es cómo.

¿Qué es SSL de todos modos?

Empecemos con exactamente lo que es SSL ¿Qué es un certificado SSL y necesita uno?Navegar por Internet puede dar miedo cuando se trata de información personal. Lee mas .

Los certificados SSL son documentos de autorización digital que puede obtener una organización o una persona que administra un sitio que maneja información confidencial. Asegura que los datos puedan transportarse de forma segura entre el servidor web y el navegador, que esta información no haya sido interceptada y que sus fuentes sean genuinas.

Echa un vistazo a Amazon, por ejemplo. Mire la URL y, en lugar de una dirección típica de Protocolo de transferencia de hipertexto (HTTP), debería redirigido a uno HTTPS ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto?Las preocupaciones de seguridad se están extendiendo por todas partes y han llegado a la vanguardia de la mente de la mayoría de todos. Términos como antivirus o firewall ya no son vocabulario extraño y no solo se entienden, sino que también son utilizados por ... Lee mas - ese adicional "S" significa que es un enlace seguro HTTPS en todas partes: use HTTPS en lugar de HTTP cuando sea posible Lee mas , y puede pagar con seguridad los artículos a través del sitio. Hotmail, WordPress e incluso Tumblr usan certificados SSL.

Es excelente para el consumidor (que sabe que sus datos se están tratando de manera responsable) y para el vendedor (que no solo se beneficia de la confianza de los compradores, sino que también obtiene una clasificación más alta por parte de Google).

Sin embargo, nada es infalible, y algunas fallas SSL expuestas en el último año lo atestiguan. Afortunadamente, la navegación web es cada vez más segura ...

Actualizaciones de TLS

Es posible que haya visto que SSL y Transport Layer Security (TLS) se usan indistintamente, y aunque las diferencias son quizás sutiles, siguen siendo notables.

Ambos utilizan el mismo sistema de cifrado de datos y consulta con la autoridad de certificación (CA) antes de realizar esa conexión. Sin embargo, TLS es el sucesor de SSL, por lo que es lógico que TLS sea más seguro. De hecho, sus tres encarnaciones, TLS 1.0, 1.1 y 1.2, resuelven algunas de las vulnerabilidades encontradas en el método SSL.

TLS 1.3 existe desde 2008, pero como los defectos en las versiones anteriores se consideraron así minúsculo, no afectarían situaciones del "mundo real", se tomó hasta hace muy poco por su masa implementación. De hecho, en 2013, parecía que incluso la Agencia de Seguridad Nacional (NSA) no estaba apuntando a dominios que ejecutaban protocolos TLS porque muy pocos lo usaban. Ahora, sin embargo, un mandato del Consejo de Seguridad PCI ha forzado a cualquier sitio que transmite o procesa la información del titular de la tarjeta a actualizarse.

Además, todos los principales navegadores (Google Chrome, Microsoft Edge, Safari, Firefox y Opera) admiten TLS 1.2 de forma predeterminada, por lo que ambas partes aseguran el nivel de cifrado. Sin embargo, tenga en cuenta que el mandato parece aplicarse únicamente a los detalles de pago, no a la información de inicio de sesión.

Cifrado en todas partes

La actualización de certificados solo es útil si se adopta ampliamente, y ese no es el caso. Todos los sitios de comercio electrónico necesitan prácticas de seguridad, y la mayoría realmente debería tener SSL o TLS. Muchos confían en la protección de procesadores de pagos de terceros, como PayPal (esto parece ser un vacío legal en el mandato del PCI Security Council), pero si un sitio acepta información privada, debe usar una capa segura.

Si su conexión no es privada, los piratas informáticos pueden adquirir los datos, incluida la dirección de correo electrónico y la contraseña al iniciar sesión. Y porque la mayoría de las personas tienden a usa las mismas contraseñas Las 7 tácticas más comunes utilizadas para hackear contraseñasCuando escuchas "violación de seguridad", ¿qué te viene a la mente? ¿Un hacker malévolo? ¿Algún chico que vive en el sótano? La realidad es que todo lo que se necesita es una contraseña, y los hackers tienen 7 formas de obtener la suya. Lee mas en múltiples sitios (a pesar de todas las advertencias 7 errores de contraseña que probablemente te piratearánSe han lanzado las peores contraseñas de 2015, y son bastante preocupantes. Pero muestran que es absolutamente crítico fortalecer sus contraseñas débiles, con solo unos pocos ajustes simples. Lee mas ), esa podría ser información vital.

Sin embargo, muchos sitios no adoptan protocolos SSL porque puede ser costoso y puede ser complicado. Ahí es donde entra en juego el programa Symantec Encryption Everywhere.

La firma de seguridad estadounidense ofrece un servicio freemium, mediante el cual el certificado se obtiene de forma totalmente gratuita, con actualizaciones (como análisis de malware) disponibles a un costo. Las asociaciones con empresas de alojamiento eliminan las complejidades de los administradores del sitio, mientras que las actualizaciones automatizadas agilizan el proceso de abordar cualquier vulnerabilidad adicional.

Esto está en un intento por obtener el 100% de uso de la capa de seguridad para 2018, por lo que esperamos que sea adoptado por la mayoría de los sitios muy pronto.

Encriptemos

¡Pero espera! Symantec no es el único que se esfuerza por el cifrado SSL / TLS en toda la web.

Encriptemos parece estar montando la ola de fallas más recientes; lanzado al público en diciembre de 2015, el proyecto ya cuenta con numerosos patrocinadores internacionales importantes, incluidos Google Chrome, Mozilla, Facebook, Shopify, YunPian y Akamai. Dirigido por Internet Security Research Group (ISRG), Let's Encrypt ha emitido, este mes, más de 5 millones de certificados y está proyectando un 50% de carga de páginas HTTPS para fines de este año.

¿Por qué Let's Encrypt está demostrando ser popular? Simplemente como es gratuito y automatizado, lo que significa que es increíblemente fácil para los sitios obtener certificados y actualizaciones.

La iniciativa comienza con un nuevo par de claves privadas y una prueba del propietario del dominio para la CA; una vez que esto se verifica utilizando el protocolo del Entorno de administración de certificados automatizado (ACME), el software del sitio puede firmar mensajes de gestión de certificados con la clave para renovar y revocar certificados, o crear nuevos para el mismo dominio.

¡Acabamos de emitir nuestro certificado número 5 millones!

- Encriptemos (@letsencrypt) 17 de junio de 2016

Digamos que Encrypt es posiblemente el proyecto más conocido para ofrecer certificados gratuitos, y entre estos programas principales, ciertamente parece ser una causa confiable.

Convergencia

Sin embargo, puede desilusionarse con los certificados SSL.

Su reputación ha sido dañada en los últimos años: la mayoría tiene al menos oído hablar de Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas , una vulnerabilidad en la biblioteca de criptografía de código abierto, OpenSSL, que permite a los piratas informáticos leer información no cifrada. Heartbleed afectó muchos servicios Excavando a través de la exageración: ¿Heartbleed realmente ha dañado a alguien? Lee mas , pero eso fue hace dos años Cinco violaciones a su privacidad en 2014 que podría haberse perdidoNumerosas publicaciones se deleitaron en la vida privada de las celebridades en 2014, un año en el que el centro de atención también brilló en el público en general. ¿Podemos aprender algo de estas infracciones? Lee mas y hay una solución disponible. Pero el año pasado hubo Superfish Tenga cuidado con los propietarios de computadoras portátiles Lenovo: su dispositivo puede tener malware preinstaladoEl fabricante chino de computadoras Lenovo ha admitido que las computadoras portátiles enviadas a tiendas y consumidores a fines de 2014 tenían malware preinstalado. Lee mas , malware que hizo que HTTPS fuera discutible; esto también, ha sido parcheado Superfish aún no ha sido capturado: se explica el secuestro de SSLEl malware Superfish de Lenovo causó revuelo, pero la historia no ha terminado. Incluso si eliminó el adware de su computadora, existe la misma vulnerabilidad en otras aplicaciones en línea. Lee mas .

Y tampoco se limita a su PC: su las aplicaciones de teléfonos inteligentes se ven afectadas 1,000 aplicaciones de iOS tienen un error SSL paralizante: cómo verificar si está afectadoEl error de AFNetworking está dando problemas a los usuarios de iPhone y iPad, con miles de aplicaciones con una vulnerabilidad que resulta en Los certificados SSL se autentican correctamente, lo que potencialmente facilita el robo de identidad a través de man-in-the-middle ataques Lee mas por defectos SSL también.

La convergencia, entonces, es un complemento del navegador que muchos confunden con un sistema que reemplaza los certificados SSL; sin embargo, más que nada, es la siguiente etapa para las AC. Esencialmente, en lugar de confiar en una CA que garantiza la autenticidad de un sitio, Convergence recurre a servicios notariales para dar fe de la seguridad del sitio.

Visita una dirección HTTPS. Hay tres resultados principales: todos los notarios acuerdan que es seguro, en cuyo caso, usted usa el sitio; no todos están de acuerdo, pero puedes ir con la mayoría o rechazar el sitio porque no confías en los notarios que hacer responder por ello; o en casos extremos, la mayoría o todos los notarios acuerdan que no se debe confiar. De esa manera, no hay un solo punto de falla.

Piénselo de esta manera: es una convergencia de opiniones sobre si un usuario puede confiar en el HTTPS.

¿Cómo se está volviendo más seguro Internet?

¿Por qué todavía nos referimos a ellos como certificados SSL? ¿Seguramente deberían ser certificados TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 de junio de 2016

En pocas palabras: los certificados SSL que autentican los sitios se están actualizando a TLS, lo más importante en dominios como PayPal que se ocupan de la información de pago. Estos se están implementando en masa, con el objetivo de utilizar el 100% de HTTPS en los próximos años. Las CA también están siendo reevaluadas y el complemento Convergencia parece una etapa sólida para verificar cuán confiable es un sitio al confiar en que los notarios acuerden.

¿Estas medidas te dan fe en SSL nuevamente? Vos si sensación ¿Es seguro ingresar datos de pago en línea? ¿Qué otros protocolos de seguridad le gustaría ver implementados ampliamente?

Créditos de imagen: HTTPS (WeTransfer) por Christiaan Colen; y https por Sean MacEntee.