Fra og med januar 2017 skal det bli mye enklere å se om du surfer sikkert på nettet. I første rekke hvis du bruker Googles nettleser, Chrome.

I en interessant artikkel nylig publisert av Wired, går det frem hvordan deres sikkerhets-team ble oppmerksom på at dagens merking av utrygge nettsider ikke bare er gammel og utdatert: Den kan være direkte villedende.

Faktisk «fordervet».

 

Populære sider vil bli flagget

Åpner du for eksempel en nettside med utrygg kryptering eller et utdatert sikkerhetssertifikat i dag, vil de fleste nettlesere vise et symbol som skal gjøre deg obs på dette. Ofte en hengelås som er streket over i rødt.

Det er absolutt ikke gitt at alle ser dette symbolet, eller forstår hva det betyr.

Enda verre: Besøker du en side som ikke er kryptert i det hele tatt, får du ingen advarsler overhodet. Det gjelder selv om nettstedet ber om innlogging med passord, eller til og med kredittkortdetaljer.

Det er slike ikke-krypterte nettsider Google nå vil legge press på. Hensikten er at de skal komme seg over på en godkjent, kryptert HTTPS-tilkobling.* Hvis ikke, vil de bli tydelig flagget med en signalrød varseltrekant til venstre i adressefeltet, sammen med ordene «Not secure». Også det skrevet i rødt.

blog-image-2

Nærmere bestemt vil dette gjelde sider som godtar innlogging med brukernavn og passord, og/eller kjøp med kredittkort, men som samtidig ikke er på HTTPS.

Eller på sikt, alle sider som ikke er på HTTPS.

Det gjelder dermed mange av verdens mest populære og mest besøkte sider.

– Folk sier vi ikke kan få halve internett til å se skummelt ut, slik at folk blir redd for det. Men for oss handler dette om å være ærlige med brukerne. Uten HTTPS kan ingen brukere eller webtjenester ha noen forventning om at ikke hva som helst på siden kan ha vært tuklet med eller overhørt. Og det er helt sprøtt, sier Parisa Tabriz til Wired.

Hun er sikkerhetsansvarlig i Chrome. Det vil si: Hun leder gruppen på fire kvinnelige white hat-hackere (altså lovlydige, «snille» hackere) som kaller seg Department of Chromeland Security.

* Se faktaboks nederst for en forklaring av HTTPS.

 

Tydelig merking

Til venstre for adressefeltet i Chrome er det allerede et symbol som antyder sikkerheten på tilkoblingen. En grønn hengelås betyr at du er på HTTPS med et godkjent sikkerhetssertifikat. Du kan klikke på hengelåsen for å se sertifikatet og mer informasjon.

Fra øverst til nederst: En godkjent HTTPS-kryptering, en ikke-kryptert side, og en feilaktig/utrygg HTTPS-tilkobling.
Fra øverst til nederst: En godkjent HTTPS-kryptering, en ikke-kryptert side, og en feilaktig/utrygg HTTPS-tilkobling, slik det ser ut i Chrome i dag.

En sirkel med en «i» (for info) viser at du ikke er på HTTPS, og du frarådes dermed å legge igjen passord eller kredittkortdetaljer her.

En rød trekant, åpenbart, er en advarsel: Den viser at du er på en HTTPS-tilkobling med mangelfull eller utrygg kryptering. Du oppfordres til ikke å legge igjen noe personlig informasjon, eller helst å unngå hele nettsiden.

Det er mange av sidene som i dag har «info»-symbolet, som fra januar av vil bli flagget med en rød trekant. Og uansett kategori, skal betydningen av symbolet staves ut: Det står enten Secure, eller Not secure.

Enkelt og greit.

 

Allerede mest trafikk på HTTPS

HTTPS har eksistert i over 20 år, og spesielt de siste par årene er det mange som har lagt om. Men det er ikke gjort uten videre.

Spesielt for nettsteder som inneholder mye innhold fra tredjeparter, er det en utfordring å få et godkjent sikkerhetssertifikat. Det gjelder for eksempel nettaviser, som viser annonser og video.

– En vanlig HTTP-tilkobling krever mindre ressurser enn en HTTPS-tilkobling. Den vanlige tilkoblingen behøver ikke utveksle sertifikat, og webserveren og mottager-maskinen, med nettleseren, behøver ikke bruke tid og kraft på å kryptere og dekryptere informasjonen som utveksles.

Det forklarer Tor Michal Kinn, seniorkonsulent i Noroff Education.

Tor Michal Kinn.
Tor Michal Kinn.

Mange av de mest populære, norske nettsidene, som vg.no og Yr.no, er i dag ikke på HTTPS. Men det trenger de ikke nødvendigvis heller, ifølge Kinn.

– Det er mange tjenester som ikke behøver HTTPS-tilkobling, eksempelvis åpne nettsider der ingen personlig informasjon utveksles. Om du surfer på gratisversjonen av VG, Aftenposten eller sjekker været på Yr.no, har du ikke behov for HTTPS, sier han, og fortsetter:

– Om du derimot skal logge inn for å lese VG+, eller innhold forbeholdt abonnenter, må man kreve at leverandørene støtter, eller faktisk tvinger, kommunikasjonen over på en sikker linje, altså HTTPS.

Kinn oppfordrer til aldri å logge inn- eller legge igjen betalingsinformasjon på en side som ikke har HTTPS. Det er både risikabelt, og vitner om at tjenesten er useriøs.

– Om en nettjeneste du benytter ber om din e-postadresse og passord for å opprette en bruker, og de ikke har HTTPS, er det fullt mulig for alle med riktige kunnskaper og ferdigheter å snappe opp denne kommunikasjonen, og dermed være i stand til å logge inn som deg i etterkant, sier han.

Heldigvis er brorparten av nettrafikken i dag sikker. Mer enn halvparten av sidene som lastes inn, og to tredjedeler av den totale tiden som er brukt i desktop-versjonen av Chrome, skjer nå på HTTPS. Det opplyste Google i et blogg-innlegg tidligere i november. Og de forventer at andelen bare vil fortsette å øke.

Flere surfer sikkert i Chrome for Mac (60 prosent), enn på Windows (51 prosent). På Android er andelen faktisk en del lavere, bare 43 prosent, mens Chrome OS-brukere riktignok har den desidert høyeste andelen kryptert trafikk.

 

Fakta: HTTPS

Som forklart av Tor Michal Kinn, seniorkonsulent i Noroff Education.

Når man åpner en nettside, foregår det en del i kulissene man som bruker av nettstedet ikke forholder seg til, det er maskiner som tar seg av samtalen. Nettleseren din sender en forespørsel til en webserver, som igjen sender over informasjonen du har bedt om. En slik samtale følger fast oppsatte regler, kalt en protokoll. På de fleste nettsider brukes HyperText Transfer Protocol, forkortet HTTP. Det forteller at nettleseren og webserveren skal utveksle informasjon via de reglene som gjelder for HTTP-protokollen.

HTTP-protokollen er effektiv, men den er ikke sikker. Med det mener vi at informasjonen som sendes mellom webserveren og nettleseren er fullstendig lesbar for andre, dersom noen skulle fange opp informasjonen på dens vei gjennom internett. Det kan best sammenlignes med at man sender et postkort uten konvolutt.

Dette er ikke noe problem for informasjon som ikke er noe poeng å holde hemmelig. Men for informasjon du ikke vil skal være tilgjengelig for andre enn deg selv, trengs en sikker tilkobling mellom nettleseren og webserveren. Til slik bruk har man protokollen HTTPS, der den siste «S»-en står for Secure.

Rettere sagt: Teknisk sett er HTTPS ikke en egen protokoll, men en kombinasjon av vanlig HTTP over en kryptert SSL- eller TSL-tilkobling.

HTTPS-tilkoblingen sørger for at informasjonen som sendes frem og tilbake blir kryptert (fint ord for å rote tegnene skikkelig til) – det vil si gjøres uleselig for alle andre enn de som kjenner en hemmelig nøkkel som dekrypterer (rydder opp i rotet) og gjøre det leselig. Tilkoblingen sørger for at det kun er webserveren og nettleseren som kjenner denne hemmelige nøkkelen.

Det er webserveren som bestemmer om den vil kommunisere over HTTP eller HTTPS. De som driver webserveren må stille den inn til å støtte sikre tilkoblinger. Til det trenger de et sertifikat som bekrefter at serveren er hva den gir seg ut for. Det finnes egne institusjoner som arbeider med å godkjenne organisasjoner og deres nett-servere, og sørge for at vi som bruker tjenestene deres skal stole på leverandørene. Det er mulig å lage sitt eget sertifikat, men da vil de fleste nettlesere gi en advarsel, hvor de sier at sertifikatet ikke er godkjent av noen andre institusjoner.

 

RELATERTE ARTIKLERMER FRA FORFATTER