Chứng chỉ SSL/TLS năm 2018, sự phát triển vượt bậc

Năm 2018 đánh dấu sự phát triển mạnh mẽ của chứng chỉ SSL đến từ cả phía phát triển trình duyệt lẫn nhà phát triển website.

Ngành công nghiệp SSL đã chứng kiến ​​rất nhiều thay đổi, đặc biệt là trong năm vừa qua. Năm 2018 đã sắp qua đi, chúng tôi muốn nhân cơ hội này để tóm tắt lại những sự kiện nổi bật về SSL, tình trạng hiện tại của thị trường và một số dự đoán về năm 2019.

SSL phát triển nhưng nhàm chán

 

UI trình duyệt phát triển. Thông báo “Not secure” được áp dụng. GDPR có hiệu lực. Comodo CA đổi tên thành Sectigo. Năm 2018 đã chứng kiến ​​nhiều hành động liên quan đến SSL.

HTTPS đang đạt được lực kéo

 

Không còn nghi ngờ gì nữa, web ngày càng được mã hóa nhiều hơn. Nhiều bài báo xác nhận rằng sự thúc đẩy mã hóa của trình duyệt đang trở thành hiện thực. Trong Bản tóm tắt xu hướng tháng 11 của mình, Chiến lược gia đe dọa của DigiCert, Jeff Barto đã chia sẻ rằng hơn 80% tải trang trong Chrome và 70% trong Android hiện đang được truyền qua giao thức HTTPS. Mặc dù điều đó rất ấn tượng, nhưng vẫn còn nhiều điều cần phải thực hiện, theo bài đăng trên blog gần đây của chúng tôi , khoảng 21% các trang web 100K hàng đầu thế giới vẫn không sử dụng kết nối được mã hóa.

Thị trường SSL tiếp tục phát triển

Báo cáo tháng 6 năm 2018 của Netcraft xác nhận sự tăng trưởng đáng kể trong chứng chỉ SSL. Cụ thể, tổng số chứng chỉ tăng hơn 13,2 triệu hoặc 68% so với năm trước kể từ tháng 6 năm 2017. Và, trong khi 80% mức tăng trưởng này là các Domain Validation (DV), Extended Validation (EV) tăng 21,1%.

Nguồn: Báo cáo Netcraft tháng 6 năm 2018

Vì vậy, trong khi DV vẫn chiếm lĩnh thị phần, thì cũng có một nơi nhất định cho chứng chỉ cao cấp. Đặc biệt là khi bạn nhìn vào chia sẻ lưu lượng theo loại chứng chỉ.

Nguồn: Comscore và Netcraft

Tỷ lệ phần trăm thậm chí còn nhiều hơn khi bạn nhìn vào các giao dịch thương mại điện tử.

Nguồn: Comscore và Netcraft

Xem nhanh năm 2019

Dự báo chủ yếu là tích cực cho SSL khi chúng ta hướng tới năm 2019. Hãy xem những gì một số chuyên gia trong ngành dự đoán.

Theo Dự đoán năm 2019 của Hội đồng Bảo an CA:

  • Hơn 90% lưu lượng truy cập của thế giới sẽ được bảo mật qua SSL / TLS vào cuối năm 2019
  • TLS 1.3 sẽ tăng hơn 30% vào cuối năm 2019
  • Lừa đảo (đặc biệt là lừa đảo được mã hóa) sẽ tiếp tục tăng vọt

Và, đây là những gì Nhà chiến lược đe dọa của DigiCert, Jeff Barto dự đoán

  • Năm 2019 sẽ là năm chúng ta sẽ thức dậy và yêu cầu được biết rằng người mà chúng ta kết nối là một công ty hợp pháp
  • Các chỉ số tin cậy không nhất quán đưa ra cả thách thức và cơ hội để xác định lại những gì họ có thể làm và có nghĩa, và tạo ra những thách thức mới
  • Đây sẽ là năm mọi người bị bệnh và mệt mỏi vì vi phạm, thúc đẩy họ kiểm soát và thực hiện các bước để bảo vệ danh tính của họ

 

SSL không đi đâu hết

 

Các báo cáo ngành hỗ trợ quan điểm của chúng tôi rằng SSL sẽ tiếp tục là một yếu tố chính ngày càng quan trọng trong ngân sách bảo mật của mọi tổ chức. Nghiên cứu ưu tiên bảo mật IDG 2018 ủng hộ quan điểm cho rằng các công ty đang hướng tới một lập trường chủ động hơn, với 74% số người được hỏi báo cáo rằng các thực tiễn và tuân thủ tốt nhất là yếu tố chính thúc đẩy chi tiêu bảo mật của họ. Và, thị trường SSL nói chung được dự đoán sẽ tăng trưởng gần gấp đôi tốc độ hosting web hoặc đăng ký tên miền.

 

Cuộc hội thoại SSL cần nhiều hơn cách mã hóa

Thay đổi giao diện người dùng trình duyệt chắc chắn đã có tác động rất lớn đến tăng trưởng thị trường SSL. Nhưng đó không phải là điều duy nhất thúc đẩy nhu cầu về chứng chỉ SSL ngày càng tăng. Dưới đây là một vài yếu tố khác mà các công ty cần xem xét như nhau khi cân nhắc xem họ có nên bảo vệ dữ liệu, khách hàng và danh tiếng của họ với SSL và loại chứng chỉ nào sẽ chọn hay không.

Lừa đảo trực tuyến Theo báo cáo PhishLabs quý 3 năm 2018, gần một nửa (49%) trang web lừa đảo đang lừa khách truy cập tin rằng họ an toàn bằng cách bật HTTPS với chứng chỉ DV. Đây là một cách lợi dụng sự thiếu hiểu biết của người tiêu dùng khá cơ bản.

Tuân thủ PCI Tuân thủ theo tiêu chuẩn PCIPCI là một điều xấu cần thiết khi điều hành một doanh nghiệp chấp nhận thẻ tín dụng và chứng chỉ SSL đóng vai trò quan trọng trong việc đáp ứng các yêu cầu này. Dưới đây là một số vấn đề liên quan đến SSL có thể gây ra lỗi thất bại khi quét tuân thủ PCI nếu chúng không được giải quyết:

  • Sử dụng chứng chỉ SSL đã hết hạn
  • Sử dụng chứng chỉ SSL không công khai trong các khu vực sai
  • Sử dụng mã hóa thấp hơn 256 bit
  • Sử dụng giao thức TLS lỗi thời

Việc không thực hiện kiểm toán tuân thủ PCI có thể dẫn đến việc bị phạt hàng tháng trong hàng chục, hàng trăm nghìn, khả năng đình chỉ khả năng xử lý thanh toán thẻ của công ty, cộng với việc họ dễ bị tấn công mạng hơn.

GDPR Các quy định mới này có hiệu lực vào ngày 25 tháng 5 năm nay và Gartner dự đoán hơn 50% các công ty bị ảnh hưởng vẫn sẽ không tuân thủ đầy đủ vào cuối năm 2018. Các hình phạt vi phạm sẽ ở mức 20 triệu euro hoặc 4% doanh thu hàng năm, cao hơn là. Chỉ cần đặt điều này vào viễn cảnh, điều này sẽ tương đương với 7 tỷ đô la cho Amazon, hơn hai năm lợi nhuận. Ngoài ra, có thể có các khoản phạt bổ sung dựa trên loại vi phạm, dữ liệu bị lộ, thông báo, khắc phục và phản hồi. Và, điều này không bao gồm thiệt hại không thể khắc phục đối với danh tiếng hoặc chi phí liên quan đến bảo hiểm, phí pháp lý và các khu định cư. Ngoài chính quy định và các khoản phạt có thể có, có những cân nhắc khác, bao gồm các công ty có đối tác muốn tuân thủ GDPR và yêu cầu họ tuân theo. Cuối cùng nhưng không kém phần quan trọng, có sự tin tưởng và mong đợi của khách hàng cũ đối với các công ty đối xử với thông tin của họ bằng găng tay trẻ em. Và, một số yêu cầu trong GDPR 99 điều chỉ có thể được thực hiện bằng chứng chỉ SSL.

Một lưu ý cuối cùng về việc tuân thủ. Trên thực tế, các công ty đang thực hiện nghiêm túc và ủng hộ nó bằng ngân sách theo Nghiên cứu ưu tiên bảo mật IDG 2018 cho biết 69% các công ty thấy tuân thủ bắt buộc chi tiêu.

Vi phạm dữ liệu Tối đa một ngày không trôi qua mà không có báo cáo về vi phạm dữ liệu lớn. Adidas (hai triệu hồ sơ bị xâm phạm), Facebook (lên tới hai tỷ tài khoản bị loại bỏ) danh sách tiếp tục. Và, nó không chỉ là các thương hiệu lớn. Theo Báo cáo Đe dọa Toàn cầu 2018, 71% các công ty báo cáo phải chịu ít nhất một lần vi phạm dữ liệu.

Gemalto’s Breach Level Index theo dõi hoạt động và báo cáo sáu tháng đầu năm 2018 đã thấy 945 báo cáo vi phạm dữ liệu liên quan đến 4,5 tỷ hồ sơ. Đó là 291 hồ sơ bị đánh cắp hoặc bị lộ mỗi giây. Và, chỉ có 1% được mã hóa. Trên thực tế, Báo cáo Điều tra Vi phạm Dữ liệu của Verizon trích dẫn thiếu mã hóa và bảo mật khi xử lý thông tin bí mật trong số các nguyên nhân vi phạm phổ biến hàng đầu. Nếu bạn bị vi phạm, ít nhất bạn có muốn chắc chắn rằng dữ liệu về công ty và khách hàng của bạn không thể bị giải mã bởi những kẻ độc ác không?

Các công ty cần đảm bảo rằng họ đã thực hiện mã hóa thực tiễn tốt nhất để bảo vệ dữ liệu khi nghỉ ngơi (khi nó ở trên máy chủ) và trong quá trình vận chuyển (trong khi nó đang trên đường đến / từ người dùng). Chứng chỉ SSL là tiêu chuẩn xác thực và mã hóa thực tế để bảo vệ dữ liệu quá cảnh trong hơn 30 năm. Nói một cách đơn giản, không có chứng chỉ SSL sẽ làm tăng nguy cơ vi phạm dữ liệu.

Tấn công Man-in-the-Middle Phát hiện các cuộc tấn công MITM khá là khó khăn, vì vậy phòng ngừa là chìa khóa. Và, một lần nữa, cách thực sự duy nhất để ngăn chặn cuộc tấn công MITM là mã hóa SSL / TLS và HTTPS. Hãy để tôi nói lại rằng, nó sẽ không nhất thiết phải dừng cuộc tấn công, nhưng nó làm cho dữ liệu bị chặn trở nên vô dụng và do đó, an toàn.

Tương lai SSL có vẻ tươi sáng

Chắc chắn không thiếu những luận điểm xoay quanh lý do tại sao mọi tổ chức đều cần chứng chỉ SSL / TLS. Hy vọng rằng chúng tôi đã cung cấp cho bạn một số thông tin chi tiết để giúp bạn biến năm 2019 thành năm bạn đặt SSL vào vị trí nổi bật.

bình luận

Leave a Comment