Com tantas grandes violações de dados nas notícias recentemente, você pode se perguntar como seus dados são protegidos quando você está online. Quando você acessa um site para fazer algumas compras e digita o número do seu cartão de crédito, esperamos que, em alguns dias, um pacote chegue à sua porta. Mas naquele momento antes de pressionar Ordem, você se pergunta como funciona a segurança online?
Noções básicas de segurança online
Em sua forma básica, a segurança online - a segurança que ocorre entre um computador e um site - é realizada por meio de uma série de perguntas e respostas. Você digita um endereço da Web em um navegador e, em seguida, o navegador solicita que o site verifique sua autenticidade. O site responde com as informações apropriadas e, após ambos concordarem, o site é aberto no navegador da web.
Entre as perguntas feitas e as informações trocadas estão os dados sobre o tipo de criptografia que passa as informações do navegador, informações do computador e informações pessoais entre o navegador e o site. Essas perguntas e respostas são chamadas de aperto de mão. Se esse aperto de mão não ocorrer, o site que você está tentando visitar é considerado inseguro.
HTTP vs
- Aberto para qualquer um ver ao longo do caminho.
- Mais fácil de configurar e executar.
-
Sem segurança para senhas e dados enviados.
- Totalmente criptografado para ocultar informações.
- Requer configuração de servidor adicional.
- Protege informações transmitidas, incluindo senhas.
Uma coisa que você pode notar ao visitar sites na web é que alguns têm um endereço que começa com http e alguns começam com https. HTTP significa Protocolo de Transferência de Hipertexto; é um protocolo ou conjunto de diretrizes que designam a comunicação segura pela Internet.
Alguns sites, especialmente sites onde você é solicitado a fornecer informações confidenciais ou de identificação pessoal, podem exibir https em verde ou vermelho com uma linha. HTTPS significa Hypertext Transfer Protocol Secure, e verde significa que o site tem um certificado de segurança verificável. Vermelho com uma linha significa que o site não tem um certificado de segurança, ou o certificado é impreciso ou expirou.
Aqui é onde as coisas ficam um pouco confusas. HTTP não significa que os dados transferidos entre um computador e um site sejam criptografados. Significa apenas que o site que está se comunicando com o navegador possui um certificado de segurança ativo. Somente quando um S (como em S) é incluído, os dados transferidos são seguros, e há outra tecnologia em uso que torna essa designação segura possível.
SSL vs. TLS
- Originalmente desenvolvido em 1995.
- Nível anterior de criptografia da web.
- Atrasado em relação à internet em rápido crescimento.
- Iniciou como a terceira versão do SSL.
- Segurança da Camada de Transporte.
- Continuamos a melhorar a criptografia usada no SSL.
- Correções de segurança adicionadas para novos tipos de ataques e falhas de segurança.
SSL era o protocolo de segurança original para garantir que os sites e os dados transmitidos entre os sites fossem seguros. De acordo com a GlobalSign, o SSL foi introduzido em 1995 como versão 2.0. A primeira versão (1.0) nunca chegou ao domínio público. A versão 2.0 foi substituída pela versão 3.0 em um ano para solucionar vulnerabilidades no protocolo.
Em 1999, outra versão do SSL, chamada Transport Layer Security (TLS), foi introduzida para melhorar a velocidade da conversa e a segurança do handshake. TLS é a versão que está atualmente em uso, embora seja muitas vezes referida como SSL para simplificar.
Compreendendo o protocolo SSL
- Oculta o conjunto de informações entre um computador e um site.
- Protege informações de login.
- Protege compras online.
- Não protege contra todas as ameaças.
- Não é possível proteger você em sites que não usam SSL.
- Não é possível ocultar quais sites você visita.
Quando você considera compartilhar um aperto de mão com alguém, isso significa que há uma segunda parte envolvida. A segurança online é muito parecida. Para que o handshake que garante a segurança online ocorra, deve haver uma segunda parte envolvida. Se HTTPS é o protocolo que o navegador da Web usa para garantir a segurança, a segunda metade desse handshake é o protocolo que garante a criptografia.
Criptografia é a tecnologia usada para disfarçar dados que são transferidos entre dois dispositivos em uma rede. Isso é feito transformando caracteres reconhecíveis em rabiscos irreconhecíveis que podem ser retornados ao seu estado original usando uma chave de criptografia. Isso foi feito originalmente por meio de uma tecnologia chamada segurança Secure Socket Layer (SSL).
SSL foi a tecnologia que transformou qualquer dado que se movia entre um site e um navegador em rabiscos e depois de volta em dados novamente. Veja como funciona:
- Você abre um navegador e digita o endereço do seu banco.
- O navegador bate na porta do banco e apresenta você.
- O porteiro verifica se você é quem diz ser e concorda em deixá-lo entrar sob certas condições.
- O navegador da web concorda com essas condições e, em seguida, você pode acessar o site do banco.
O processo se repete quando você insere seu nome de usuário e senha, com algumas etapas adicionais.
- Você digita seu nome de usuário e senha para ter acesso à sua conta.
- Seu navegador da web informa ao gerente de contas do banco que você gostaria de acessar sua conta.
- Eles conversam e concordam que, se você fornecer as credenciais corretas, terá acesso. No entanto, essas credenciais precisam ser apresentadas usando um idioma especial.
- O navegador da web e o gerente de conta do banco concordam com o idioma que será usado.
- O navegador da web converte seu nome de usuário e senha para esse idioma especial e o passa para o gerente de contas do banco.
- O gerente de contas recebe os dados, decodifica e compara com seus registros.
- Se suas credenciais corresponderem, você terá acesso à sua conta.
O processo ocorre em nanossegundos, então você não percebe o tempo que leva para a conversa e o handshake ocorrer entre o navegador e o site.
Criptografia TLS
- Criptografia mais segura.
- Oculta dados entre um computador e sites.
- Melhor processo de handshake ao negociar comunicação criptografada.
- Nenhuma criptografia é perfeita.
- Não protege o DNS automaticamente.
- Não totalmente compatível com versões mais antigas.
A criptografia TLS foi introduzida para melhorar a segurança dos dados. Embora o SSL fosse uma boa tecnologia, a segurança muda rapidamente, e isso levou à necessidade de uma segurança melhor e mais atualizada. O TLS foi desenvolvido na estrutura do SSL com melhorias nos algoritmos que controlam as comunicações e o processo de handshake.
Qual versão do TLS é a mais atual?
Assim como com SSL, a criptografia TLS continuou a melhorar. A versão atual do TLS é 1.2, mas o TLSv1.3 foi elaborado e algumas empresas e navegadores usaram a segurança por curtos períodos de tempo. Na maioria dos casos, eles revertem para TLSv1.2 porque a versão 1.3 ainda está sendo aperfeiçoada.
Quando finalizado, o TLSv1.3 trará várias melhorias de segurança, incluindo suporte aprimorado para tipos mais atuais de criptografia. No entanto, o TLSv1.3 também eliminará o suporte para versões mais antigas de protocolos SSL e outras tecnologias de segurança que não são mais robustas o suficiente para garantir a segurança e a criptografia adequadas de dados pessoais.