Met zoveel grote datalekken in het nieuws de laatste tijd, vraagt u zich misschien af hoe uw gegevens worden beschermd wanneer u online bent. Als je naar een website gaat om boodschappen te doen en je creditcardnummer invult, staat er hopelijk binnen een paar dagen een pakketje aan je deur. Maar vraag je je af hoe online beveiliging werkt op het moment dat je op Bestellen drukt?
De basis van online beveiliging
In de basisvorm wordt online beveiliging - de beveiliging die plaatsvindt tussen een computer en een website - uitgevoerd door een reeks vragen en antwoorden. U typt een webadres in een browser en vervolgens vraagt de browser die site om de authenticiteit ervan te verifiëren. De site reageert met de juiste informatie en nadat beide akkoord zijn gegaan, wordt de site geopend in de webbrowser.
Onder de gestelde vragen en de uitgewisselde informatie zijn gegevens over het type codering dat de browserinformatie, computerinformatie en persoonlijke informatie tussen de browser en de website doorgeeft. Deze vragen en antwoorden worden een handdruk genoemd. Als die handdruk niet plaatsvindt, wordt de website die u probeert te bezoeken als onveilig beschouwd.
HTTP versus
- Open voor iedereen onderweg.
- Makkelijker in te stellen en uit te voeren.
-
Geen beveiliging voor wachtwoorden en ingediende gegevens.
- Volledig versleuteld om informatie te verbergen.
- Vereist extra serverconfiguratie.
- Beschermt verzonden informatie, inclusief wachtwoorden.
Een ding dat je misschien opv alt wanneer je sites op internet bezoekt, is dat sommige een adres hebben dat begint met http, en sommige beginnen met https. HTTP betekent Hypertext Transfer Protocol; het is een protocol of een reeks richtlijnen die veilige communicatie via internet aanduiden.
Sommige sites, met name sites waar u wordt gevraagd om gevoelige of persoonlijk identificeerbare informatie te verstrekken, kunnen https in groen of rood met een streep erdoor weergeven. HTTPS betekent Hypertext Transfer Protocol Secure en groen betekent dat de site een verifieerbaar beveiligingscertificaat heeft. Rood met een streep erdoor betekent dat de site geen beveiligingscertificaat heeft, of dat het certificaat onjuist of verlopen is.
Hier wordt het een beetje verwarrend. HTTP betekent niet dat gegevens die tussen een computer en een website worden uitgewisseld, versleuteld zijn. Het betekent alleen dat de website die communiceert met de browser een actief beveiligingscertificaat heeft. Alleen wanneer een S (zoals in S) is opgenomen, zijn de gegevens die worden overgedragen veilig, en er is een andere technologie in gebruik die die veilige aanduiding maakt mogelijk.
SSL versus TLS
- Oorspronkelijk ontwikkeld in 1995.
- Eerder niveau van webcodering.
- Loopt achter op het snelgroeiende internet.
- Begonnen als de derde versie van SSL.
- Transport Layer Security.
- Vervolg met het verbeteren van de codering die wordt gebruikt in SSL.
- Beveiligingsoplossingen toegevoegd voor nieuwe soorten aanvallen en beveiligingslekken.
SSL was het oorspronkelijke beveiligingsprotocol om ervoor te zorgen dat websites en de gegevens die tussen de sites worden uitgewisseld, veilig waren. Volgens GlobalSign werd SSL in 1995 geïntroduceerd als versie 2.0. De eerste versie (1.0) is nooit in het publieke domein gekomen. Versie 2.0 werd binnen een jaar vervangen door versie 3.0 om kwetsbaarheden in het protocol aan te pakken.
In 1999 werd een andere versie van SSL, genaamd Transport Layer Security (TLS), geïntroduceerd om de snelheid van het gesprek en de beveiliging van de handdruk te verbeteren. TLS is de versie die momenteel in gebruik is, hoewel er omwille van de eenvoud vaak naar wordt verwezen als SSL.
Het SSL-protocol begrijpen
- Verbergt informatie die is ingesteld tussen een computer en een website.
- Beschermt inloggegevens.
- Beveiligt online aankopen.
- Beschermt niet tegen alle bedreigingen.
- Kan u niet beveiligen op sites die geen SSL gebruiken.
- Kan niet verbergen welke websites je bezoekt.
Als je overweegt een handdruk met iemand te delen, betekent dat dat er een tweede partij bij betrokken is. Online beveiliging is vrijwel hetzelfde. Om de handdruk die de veiligheid online garandeert te laten plaatsvinden, moet er een tweede partij bij betrokken zijn. Als HTTPS het protocol is dat de webbrowser gebruikt om te zorgen voor beveiliging, dan is de tweede helft van die handdruk het protocol dat zorgt voor codering.
Encryptie is de technologie die wordt gebruikt om gegevens te verbergen die worden overgedragen tussen twee apparaten op een netwerk. Dit wordt bereikt door herkenbare karakters om te zetten in onherkenbaar gebrabbel dat kan worden teruggebracht naar de oorspronkelijke staat met behulp van een coderingssleutel. Dit werd oorspronkelijk bereikt door een technologie genaamd Secure Socket Layer (SSL)-beveiliging.
SSL was de technologie die alle gegevens die tussen een website en een browser gingen, in wartaal veranderde en vervolgens weer in gegevens. Zo werkt het:
- Je opent een browser en typt het adres van je bank.
- De webbrowser klopt op de deur van de bank en stelt je voor.
- De portier controleert of je bent wie je zegt dat je bent en stemt ermee in je binnen te laten onder een aantal voorwaarden.
- De webbrowser gaat akkoord met deze voorwaarden en u krijgt toegang tot de website van de bank.
Het proces wordt herhaald wanneer u uw gebruikersnaam en wachtwoord invoert, met enkele extra stappen.
- U voert uw gebruikersnaam en wachtwoord in om toegang te krijgen tot uw account.
- Uw webbrowser vertelt de accountmanager van de bank dat u toegang wilt tot uw rekening.
- Ze praten en zijn het erover eens dat als je de juiste inloggegevens kunt verstrekken, je toegang krijgt. Deze inloggegevens moeten echter in een speciale taal worden gepresenteerd.
- De webbrowser en de accountmanager van de bank stemmen in met de taal die zal worden gebruikt.
- De webbrowser zet uw gebruikersnaam en wachtwoord om in die speciale taal en geeft deze door aan de accountmanager van de bank.
- De accountmanager ontvangt de gegevens, decodeert ze en vergelijkt ze met hun gegevens.
- Als uw inloggegevens overeenkomen, krijgt u toegang tot uw account.
Het proces vindt plaats in nanoseconden, dus je merkt niet hoe lang het duurt voordat het gesprek en de handdruk plaatsvinden tussen de webbrowser en de website.
TLS-codering
- Veiligere codering.
- Verbergt gegevens tussen een computer en websites.
- Beter handshake-proces bij het onderhandelen over versleutelde communicatie.
- Geen codering is perfect.
- Beveiligt DNS niet automatisch.
- Niet volledig compatibel met oudere versies.
TLS-codering is geïntroduceerd om de gegevensbeveiliging te verbeteren. Hoewel SSL een goede technologie was, veranderde de beveiliging in een snel tempo, en dat leidde tot de behoefte aan betere, meer actuele beveiliging. TLS is gebouwd op het SSL-raamwerk met verbeteringen aan de algoritmen die het communicatie- en handshakeproces regelen.
Welke TLS-versie is het meest actueel?
Net als bij SSL is de TLS-codering voortdurend verbeterd. De huidige TLS-versie is 1.2, maar TLSv1.3 is opgesteld en sommige bedrijven en browsers hebben de beveiliging korte tijd gebruikt. In de meeste gevallen keren ze terug naar TLSv1.2 omdat versie 1.3 nog steeds wordt geperfectioneerd.
Na voltooiing zal TLSv1.3 tal van beveiligingsverbeteringen met zich meebrengen, waaronder verbeterde ondersteuning voor meer actuele soorten codering. TLSv1.3 zal echter ook de ondersteuning laten vallen voor oudere versies van SSL-protocollen en andere beveiligingstechnologieën die niet langer robuust genoeg zijn om de juiste beveiliging en versleuteling van persoonlijke gegevens te garanderen.