Всегда с ССЛ в интернете - Always On SSL

https://adgrafics.net/docs/other/OTA_Always-On-SSL-White-Paper.pdf OTA_Always-On-SSL-White-Paper.pdf

https://adgrafics.net/docs/other/OTA_Always-On-SSL_2_23.pdf RSAC 2012 Panel - Always On SSL_2_23.pdf

Доверие и уверенность потребителей - основа, на которой был построен Интернет. Основным элементом этой уверенности является защита, предоставляемая сертификатами SSL от доверенных центров сертификации.

SSL / TLS (также называемый HTTPS) обеспечивает аутентификацию идентификатора веб-сайта и сервера, а также шифрование данных в пути. Сегодня, по оценкам, более 4,5 миллионов сайтов используют сертификаты SSL, выданные органами сертификации, для защиты веб-сайтов, которые собирают конфиденциальную информацию, такую ​​как логины и номера кредитных карт.

Многие организации используют протокол SSL / TLS для шифрования процесса аутентификации, когда пользователи регистрируются на веб-сайте, но не шифруют последующие страницы во время сеанса пользователя. К сожалению, это прерывистое использование защиты SSL не является адекватной безопасностью, учитывая сегодняшние возникающие онлайн-угрозы.

С появлением Web 2.0 и социальных сетей люди проводят больше времени в Интернете и регистрируются, и они общаются гораздо больше, чем просто номера своих кредитных карт. Сегодня киберпреступники нацелены на потребителей, используя метод атаки, называемый боковым удалением, который использует потребители, посещающие незашифрованные веб-страницы HTTP после того, как они вошли в сайт. Sidejacking позволяет хакерам перехватывать файлы cookie (обычно используемые для сохранения пользовательской информации, такой как имя пользователя, пароль и данные сеанса), когда они передаются без защиты SSL-шифрования.

Есть несколько программных инструментов, написанных для поддержки действий по перекрестным связям, но ни один из них не является более позорным, чем Firesheep. Расширение веб-браузера Firefox, разработанное Эриком Батлером и выпущенное в октябре 2010 года, Firesheep позволяет хакерам без навыков программирования легко захватывать имена пользователей, пароли, историю просмотров и другую личную информацию от ничего не подозревающих пользователей.

Online Trust Alliance (OTA) призывает сообщества безопасности, бизнеса и интерактивных рекламных кампаний использовать Always On SSL (AOSSL), использовать SSL / TLS на всем веб-сайте для защиты пользователей с постоянной безопасностью, от прибытия до входа в систему , Always On SSL - это проверенная практическая мера безопасности, которая должна быть реализована на всех сайтах, где пользователи делятся или просматривают конфиденциальную информацию.

Always On SSL поддерживается как лучшая практика ведущих игроков отрасли, включая Google, Microsoft, PayPal, Facebook и Twitter. Изучите их рассказы в белом документе OTA. Защитите свой сайт с помощью Always On SSL и ресурсов ниже.

OTA рекомендует всем веб-сайтам рассматривать возможность использования Always On SSL. Все мы должны работать вместе над внедрением передовой практики обеспечения безопасности в Интернете для защиты потребителей от вреда.

Несомненно, владельцы контента и издатели обязаны поощрять доверие и уверенность во время использования Интернета, применяя лучшие практики безопасности. Если клиент считает, что их данные и личность безопасны и защищены, они более склонны продолжать свои онлайн-транзакции. Отраслевые передовые методы защиты веб-сайтов должны быть нейтральными по отношению к поставщикам, простыми в реализации и доступными на глобальном уровне. Веб-сайты должны предпринять все разумные шаги для внедрения лучших практик в безопасном проектировании и внедрении, и это включает использование Always-On SSL на всем веб-сайте.

2 больших мифа про "Всегда с ССЛ"

1. SSL является дорогостоящим.. Некоторые организации не внедряли Always-On SSL из-за недоразумений в отношении увеличения операционных издержек на сети и затрат. На веб-сайте большого объема разумное предположение заключалось в том, что для дополнительного вычисления добавления шифрования / дешифрования потребуются новые инвестиции в оборудование. Исследователи из Google провели обширные исследования вычислительной нагрузки, связанной с Always-On SSL, и определили, что для их большого объема сайта нет необходимости в дополнительном оборудовании для реализации в своей ИТ-экосистеме. Рекомендуется, чтобы организации рассмотрели возможность тестирования производительности Always-On SSL на своем собственном веб-сервере, чтобы увидеть возможные последствия для производительности в их уникальной среде.
2. Латентность сети Always-On SSL будет представлять собой неизбежное снижение производительности. Использование Always-On SSL повлечет за собой некоторую задержку в сети из-за дополнительной сложности в рукопожатии SSL / TLS. Это, конечно, сложнее на больших расстояниях или в областях, где пропускная способность сети ограничена, а также на сайтах, где пользователи инициируют очень короткие сеансы SSL / TLS. Снижение производительности может управляться в большинстве мест с надлежащим планированием, и есть новые инициативы, включая SPDY от Google, которые помогут повысить производительность в скорости протокола. Анализ безопасности для конечных пользователей был завершен крупными социальными сетями, такими как Twitter и Facebook, и они выбрали в пользу безопасности. Существует много способов оптимизации опыта SSL.

Что защищает "Всегда с SSL"?

Многие веб-сайты дают своим пользователям ложное представление о безопасности, используя протокол HTTPS для передачи информации для входа по зашифрованному SSL, но затем перешагните соединение с HTTP после настройки сеанса. Это может защитить пароль пользователя, но идентификатор сеанса в файле cookie передается в текстовом виде, когда клиентский браузер выполняет новые запросы в домене. Это оставляет уязвимым клиентом атаки на захват сеанса.

Хакеры создали инструменты, такие как «Ferret», «Hamster», «CookieMonster» и «Firesheep» для захвата HTTP-сессий. Кроме того, если сайт использует HTTPS повсюду, но не отмечает, что cookie сеанса является безопасным, когда пользователь вводит частичные URL-адреса, их куки-файлы могут быть открыты во время первого запроса до того, как сайт перенаправит их на HTTPS. Если сайт использует протокол ALWAYS-ON SSL, пользователь защищен во время просмотра.

Как осуществить "Always-On SSL"

Все построенные сегодня сайты должны использовать HTTPS по умолчанию и всегда перенаправлять запросы HTTP-соединения непосредственно на HTTPS, особенно для веб-форм. Хотя проектирование Always-On SSL на веб-сайте с самого начала в качестве части безопасных технологий разработки будет дешевле и проще, чем адаптировать его после производства, разница в этом не очень велика. Вот контрольный список шагов для включения Always-On SSL:

1. Установите сертификат SSL / TLS из авторитетного центра сертификации.
2. Настройте свой веб-сервер для обеспечения минимальной силы ключа сеанса 128 бит. Например, если вы используете веб-серверы на базе OpenSSL, используйте команду Require expr для проверки SSL_CIPHER_USEKEYSIZE .
3. Убедитесь, что вы установили полную цепочку сертификатов, от конечного объекта до промежуточного до корневого (при необходимости).
4. Отключите доступ через порт 80 во время тестирования.
5. Установите флаг безопасности для всех файлов сеанса.
6. Проверяйте все свои страницы (если возможно, с помощью автоматических средств) для незащищенных подключений к сайту.
7. Избегайте смешанного содержимого на своей странице и выполните ручное тестирование, чтобы найти все остальные места, где доступ к контенту осуществляется через порт 80.
8. Когда все обращения к порту 80 были закрыты, вы можете повторно открыть порт 80 и всегда перенаправлять его на порт 443.

Подробнее о теме смешанного контента

Opera, IE, Firefox и Safari создают предупреждения о смешанном содержании, когда разработчики используют гиперссылки из небезопасных источников или третьих лиц. Некоторые блоки полностью блокируют контент. Это означает, что если вы обслуживаете изображения из небезопасного каталога или ресурса HTTP, веб-браузеры уже рассказывают миру о вашей небезопасной практике, предоставляя пользователю предупреждение («Эта веб-страница содержит контент, который не будет доставлен с использованием безопасного HTTPS «). Это больше, чем просто раздражение - это небезопасная практика кодирования, которая ненадолго проигнорировалась из-за удобства и выходит на передний план, чтобы ее можно было решать с помощью последних обновлений браузера.

Как избежать блокировки вашей страницы / контента / приложения? Убедитесь, что ваша страница не вызывает какого-либо небезопасного контента через HTTP или порт 80. Один из способов избежать смешивания безопасного и небезопасного контента - использовать относительные ссылки. Будьте предупреждены, что относительные ссылки могут быть использованы с помощью спама в поисковых системах или 302 атаки на угон, поэтому будьте очень внимательны к потребностям и рискам при принятии решения о том, где и когда их использовать.

Крупные игроки отрасли, такие как Twitter, Facebook и Microsoft outlook.com и live.com, а также некоторые магазины приложений, выступают и внедряют Always-On SSL в качестве лучших практик, помогающих защитить безопасность пользователей. Многие финансовые организации сделали то же самое, расширяя практику поставщиков, которые справляются со всеми аспектами онлайн-банкинга.

Протокол SSL / TLS предлагает больше возможностей, чем просто предоставление шифрования передачи. Его главным преимуществом является то, что он предоставляет третьим сторонам возможность аутентифицировать соединения с вашим сайтом через Интернет. Пользователь, который может подключиться к вашему сайту и получать информацию через SSL / TLS, будет иметь большую уверенность и уверенность в том, что информация получена от вас. Точка Always-On SSL заключается в том, что, как только пользователь сможет создать аутентифицированное соединение с вашей точкой присутствия через https, он или она не должны возвращаться за пределы этой зоны защиты. Когда контент передается через HTTPS, это связано с тем, что вы ожидаете обеспечить уровень безопасности - и ваши пользователи также ожидают их. Когда вы приветствуете посетителя, нет смысла, чтобы они возвращались на улицу, чтобы стучать. Это лишь одна из нескольких иллюстраций, которые я хотел бы представить, где должна поддерживаться повышенная защита посетителя, и, надеюсь, эти примеры иллюстрируют, почему Always-On SSL является предпочтительным методом обеспечения безопасности веб-посещения.

Возьмите первого посетителя, который приходит на ваш сайт и начинает просматривать. Они могут захотеть просмотреть вашу политику конфиденциальности или условия использования, чтобы узнать, будете ли вы безопасно общаться с ними и защищать их конфиденциальность. Прежде всего, пользователи сегодня хотят знать, могут ли они доверять вам свою информацию, и, во-вторых, защитите ли вы их от других злонамеренными намерениями? Когда они перемещаются по вашему сайту, они не хотят перенаправляться на небезопасный контент, что произойдет, как только вы начнете указывать их на ресурсы HTTP - в основном вы разрушаете защищенный канал, который вы установили в первую очередь с помощью HTTPS.

Даже если вы не реализуете Always-On SSL, вы должны, по крайней мере, начать предлагать HTTPS везде на своем сайте, где пользователь может посетить. Как только пользователь установит https-сеанс с вашей домашней страницы, не отскакивайте их назад и вперед между http и https - конечно, не во время регистрации, и никогда для страниц входа. Во время того, что должно быть безопасным процессом регистрации, вы не хотите, чтобы новый пользователь нажимал на гиперссылку для вашего «Соглашения об условиях обслуживания» только для чтения ее из небезопасного соединения. Возвращающиеся посетители могут просматривать некоторые ваши веб-страницы перед входом в систему, но это не означает, что SSL / TLS предназначен только для https://login.yoursite.com - https - это не только то, когда пользователи хотят нажимать на внутренней учетной записи. В качестве общих правил используйте безопасные файлы cookie и силу https. Если пользователь пытается получить страницу с «http:», перенаправьте их обратно через https.

Знайте и контролируйте свою инфраструктуру сервера. Компании довольно часто связывают различные поставщики услуг с контентом для обследований удовлетворенности клиентов, поставщиков корзины покупок, человеческих ресурсов, корпоративных коммуникаций, а также для поставщиков и поставщиков. Крупные предприятия могут иметь ссылки на другие внутренние отделы или корпоративные филиалы. Always-On SSL требует, чтобы эти перекрестные ссылки были https. Как было отмечено в предыдущем сообщении в блоге по этой теме, но которое стоит повторить здесь - избегайте смешанного контента, проверяя содержимое вашего сайта на экземпляры http и просматривая свой код, чтобы убедиться, что он не вызывает какого-либо небезопасного контента через HTTP или порт 80. Графика и изображения должны быть доставлены также через порт 443. В противном случае браузеры, такие как Firefox и Internet Explorer, заблокируют ваш сайт от рендеринга, или ссылки будут отображаться сломанными, «не обнаружено». 404 сообщения об ошибках будут найдены на вашем сайте и другие предупреждения, например «Это соединение не полностью безопасно потому что он содержит незашифрованные элементы, такие как изображения ", уменьшит доверие посетителей.

Аналогичным образом убедитесь, что установленный сертификат охватывает весь контент с ваших серверов. Если контент распространяется по нескольким серверам или даже нескольким доменам, получите унифицированный сертификат связи / мульти-SAN, содержащий все полные доменные имена (FQDN) этих серверов. Например, если у вас есть набор виртуальных серверов (secure.login.net, content.mysite.com и images.mysite.com), с которыми должен взаимодействовать посетитель сайта, тогда ваш сертификат сервера должен содержать все три этих FQDN. В противном случае посетители сайта получат сообщение об ошибке, связанное с отключением безопасного соединения. Наконец, если вы используете размещенное решение, тесно сотрудничайте с вашим провайдером, чтобы обеспечить доставку всех ваших веб-страниц через SSL; сконфигурируйте свои онлайн-пространства как «https» (например, в WordPress, в разделе «Общие настройки») «https» в начале URL-адреса вашего сайта); и убедитесь, что ваш хостинг-провайдер имеет технические знания для поддержки Always-On SSL и может гарантировать, что все ваши веб-сайты имеют соответствующие сертификаты SSL.

10 причин чтобы вы использовали HTTPS

1. Защитите конфиденциальность своих пользователей
2. Рейтинг в поисковых системах (SEO)
3. Защитите свой бренд
4. Браузеры помечают HTTP как незащищенный
5. HTTP 2
   
6. ServiceWorker и мощные функции
   
7. Защитите свой доход
8. Лучшая аналитика: HTTPS-ссылки
9. Совместимость API iOS 9 + / Android 5+
10. Включение третьей стороны