Bei so vielen großen Datenschutzverletzungen in letzter Zeit fragen Sie sich vielleicht, wie Ihre Daten geschützt sind, wenn Sie online sind. Wenn Sie auf eine Website gehen, um einzukaufen und Ihre Kreditkartennummer eingeben, kommt hoffentlich in ein paar Tagen ein Paket bei Ihnen an. Aber fragen Sie sich in diesem Moment, bevor Sie auf Bestellen klicken, wie die Online-Sicherheit funktioniert?
Die Grundlagen der Online-Sicherheit
In seiner Grundform wird die Online-Sicherheit – die Sicherheit, die zwischen einem Computer und einer Website stattfindet – durch eine Reihe von Fragen und Antworten durchgeführt. Sie geben eine Webadresse in einen Browser ein, und der Browser fordert diese Website auf, ihre Authentizität zu überprüfen. Die Site antwortet mit den entsprechenden Informationen, und nachdem beide zugestimmt haben, wird die Site im Webbrowser geöffnet.
Unter den gestellten Fragen und den ausgetauschten Informationen sind Daten über die Art der Verschlüsselung, die die Browserinformationen, Computerinformationen und persönlichen Informationen zwischen dem Browser und der Website überträgt. Diese Fragen und Antworten werden Handschlag genannt. Wenn dieser Handshake nicht stattfindet, gilt die Website, die Sie besuchen möchten, als unsicher.
HTTP vs
- Offen für jedermann unterwegs.
- Einfacher einzurichten und auszuführen.
- Keine Sicherheit für Passwörter und übermittelte Daten.
- Vollständig verschlüsselt, um Informationen zu verbergen.
- Erfordert zusätzliche Serverkonfiguration.
- Schützt übertragene Informationen, einschließlich Passwörter.
Eine Sache, die Ihnen beim Besuch von Websites auffallen wird, ist, dass einige eine Adresse haben, die mit http beginnt, und andere mit https. HTTP bedeutet Hypertext Transfer Protocol; Es ist ein Protokoll oder eine Reihe von Richtlinien, die eine sichere Kommunikation über das Internet festlegen.
Einige Websites, insbesondere Websites, auf denen Sie aufgefordert werden, vertrauliche oder persönlich identifizierende Informationen anzugeben, können https entweder in Grün oder in Rot mit einer durchgehenden Linie anzeigen. HTTPS bedeutet Hypertext Transfer Protocol Secure, und grün bedeutet, dass die Website über ein überprüfbares Sicherheitszertifikat verfügt. Rot mit einem Strich bedeutet, dass die Website kein Sicherheitszertifikat hat oder das Zertifikat ungenau oder abgelaufen ist.
Hier wird es etwas verwirrend. HTTP bedeutet nicht, dass Daten, die zwischen einem Computer und einer Website übertragen werden, verschlüsselt sind. Es bedeutet nur, dass die Website, die mit dem Browser kommuniziert, über ein aktives Sicherheitszertifikat verfügt. Nur wenn ein S (wie in S) enth alten ist, sind die übertragenen Daten sicher, und es wird eine andere Technologie verwendet, die diese sichere Bezeichnung macht möglich.
SSL vs. TLS
- Ursprünglich 1995 entwickelt.
- Frühere Stufe der Webverschlüsselung.
- Hat hinter dem schnell wachsenden Internet zurückgeblieben.
- Als dritte Version von SSL gestartet.
- Transport Layer Security.
- Weitere Verbesserung der in SSL verwendeten Verschlüsselung.
- Sicherheitskorrekturen für neue Arten von Angriffen und Sicherheitslücken hinzugefügt.
SSL war das ursprüngliche Sicherheitsprotokoll, um sicherzustellen, dass Websites und die zwischen den Websites ausgetauschten Daten sicher sind. Laut GlobalSign wurde SSL 1995 als Version 2.0 eingeführt. Die erste Version (1.0) hat es nie in die Public Domain geschafft. Version 2.0 wurde innerhalb eines Jahres durch Version 3.0 ersetzt, um Schwachstellen im Protokoll zu beheben.
Im Jahr 1999 wurde eine andere Version von SSL namens Transport Layer Security (TLS) eingeführt, um die Geschwindigkeit der Konversation und die Sicherheit des Handshakes zu verbessern. TLS ist die Version, die derzeit verwendet wird, obwohl sie der Einfachheit halber oft als SSL bezeichnet wird.
Das SSL-Protokoll verstehen
- Verbirgt Informationen zwischen einem Computer und einer Website.
- Schützt Anmeldeinformationen.
- Sichert Online-Einkäufe.
- Schützt nicht vor allen Bedrohungen.
- Kann Sie nicht auf Websites schützen, die kein SSL verwenden.
- Die von Ihnen besuchten Websites können nicht ausgeblendet werden.
Wenn Sie erwägen, sich mit jemandem die Hand zu geben, bedeutet das, dass eine zweite Partei beteiligt ist. Online-Sicherheit ist ähnlich. Damit der Handshake, der die Sicherheit im Internet gewährleistet, stattfinden kann, muss eine zweite Partei beteiligt sein. Wenn HTTPS das Protokoll ist, das der Webbrowser verwendet, um die Sicherheit zu gewährleisten, dann ist die zweite Hälfte dieses Handshakes das Protokoll, das die Verschlüsselung gewährleistet.
Verschlüsselung ist die Technologie, die verwendet wird, um Daten zu verschleiern, die zwischen zwei Geräten in einem Netzwerk übertragen werden. Es wird erreicht, indem erkennbare Zeichen in nicht erkennbares Kauderwelsch umgewandelt werden, das mit einem Verschlüsselungsschlüssel in seinen ursprünglichen Zustand zurückversetzt werden kann. Dies wurde ursprünglich durch eine Technologie namens Secure Socket Layer (SSL)-Sicherheit erreicht.
SSL war die Technologie, die alle Daten, die zwischen einer Website und einem Browser verschoben wurden, in Kauderwelsch und dann wieder in Daten verwandelte. So funktioniert es:
- Du öffnest einen Browser und gibst die Adresse deiner Bank ein.
- Der Webbrowser klopft an die Tür der Bank und stellt Sie vor.
- Der Türsteher bestätigt, dass Sie der sind, für den Sie sich ausgeben, und willigt ein, Sie unter bestimmten Bedingungen einzulassen.
- Der Webbrowser stimmt diesen Bedingungen zu und Sie dürfen dann auf die Website der Bank zugreifen.
Der Vorgang wiederholt sich, wenn Sie Ihren Benutzernamen und Ihr Passwort eingeben, mit einigen zusätzlichen Schritten.
- Sie geben Ihren Benutzernamen und Ihr Passwort ein, um Zugriff auf Ihr Konto zu erh alten.
- Ihr Webbrowser teilt dem Kundenbetreuer der Bank mit, dass Sie auf Ihr Konto zugreifen möchten.
- Sie unterh alten sich und stimmen zu, dass Sie Zugriff erh alten, wenn Sie die richtigen Anmeldeinformationen angeben können. Diese Anmeldeinformationen müssen jedoch in einer speziellen Sprache vorgelegt werden.
- Der Webbrowser und der Account Manager der Bank einigen sich auf die verwendete Sprache.
- Der Webbrowser konvertiert Ihren Benutzernamen und Ihr Passwort in diese spezielle Sprache und leitet sie an den Kundenbetreuer der Bank weiter.
- Der Account Manager empfängt die Daten, entschlüsselt sie und vergleicht sie mit ihren Aufzeichnungen.
- Wenn Ihre Anmeldeinformationen übereinstimmen, erh alten Sie Zugriff auf Ihr Konto.
Der Vorgang findet in Nanosekunden statt, sodass Sie die Zeit nicht bemerken, die für die Konversation und den Handshake zwischen dem Webbrowser und der Website benötigt wird.
TLS-Verschlüsselung
- Sicherere Verschlüsselung.
- Versteckt Daten zwischen einem Computer und Websites.
- Besseres Handshake-Verfahren beim Aushandeln verschlüsselter Kommunikation.
- Keine Verschlüsselung ist perfekt.
- DNS wird nicht automatisch gesichert.
- Nicht vollständig kompatibel mit älteren Versionen.
TLS-Verschlüsselung wurde eingeführt, um die Datensicherheit zu verbessern. Obwohl SSL eine gute Technologie war, ändert sich die Sicherheit schnell, und das führte zu einem Bedarf an besserer, aktuellerer Sicherheit. TLS wurde auf dem SSL-Framework aufgebaut, wobei die Algorithmen, die den Kommunikations- und Handshake-Prozess steuern, verbessert wurden.
Welche TLS-Version ist die aktuellste?
Wie bei SSL hat sich auch die TLS-Verschlüsselung weiter verbessert. Die aktuelle TLS-Version ist 1.2, aber TLSv1.3 wurde entworfen, und einige Unternehmen und Browser haben die Sicherheit für kurze Zeit verwendet. In den meisten Fällen kehren sie zu TLSv1.2 zurück, weil Version 1.3 immer noch perfektioniert wird.
Nach der Fertigstellung wird TLSv1.3 zahlreiche Sicherheitsverbesserungen bringen, einschließlich einer verbesserten Unterstützung für aktuellere Verschlüsselungsarten. TLSv1.3 wird jedoch auch die Unterstützung für ältere Versionen von SSL-Protokollen und anderen Sicherheitstechnologien einstellen, die nicht mehr robust genug sind, um die angemessene Sicherheit und Verschlüsselung persönlicher Daten zu gewährleisten.