Snart forsvinner HTTPS fra nettleseren

Erlend Andreas Gjære | 7 April 2018

This post is written in Norwegian, and has not been translated to English yet.

Men heldigvis bare i form av den grønne hengelåsen. Og dette er et godt tegn, fordi HTTPS har blitt så vanlig at det blir viktigst å advare om en tilkobling IKKE er kryptert.

Derfor vil Chrome fra juli 2018 vise "Not secure" på alle nettsider som ikke bruker HTTPS, advarselen som hittil har vært forbeholdt sider med skjema og passordfelt:

Kilde: Google Online Security Blog

Samtidig vet vi at svindlere og hackere også har tatt i bruk HTTPS i samme tempo. Årsaken er klar: Den grønne hengelåsen som man enkelt kan vise fram for sluttbrukeren gir et falskt inntrykk av at nettsiden er pålitelig.

HTTPS er i praksis kun en garanti for at tilkoblingen mellom deg og nettsiden du besøker, er kryptert. Dermed kan ikke uvedkommende lese eller manipulere informasjon som du sender og mottar i nettleseren din. Dette var en betydelig risiko på åpne trådløse nettverk, den gang HTTP uten kryptering var standarden.

HTTPS er derimot ingen garanti for at nettsiden du besøker er til å stole på, det kan altså like gjerne være en svindler som står bak. Når Google snakker om at bortimot 70% av trafikk i Chrome går via HTTPS, er dette mye takket være gratis HTTPS-sertifikater fra Let's Encrypt (som nå også utstedes via norske Buypass). Ikke minst blir nettsider uten HTTPS rangert lavere av Google i søkeresultater.

Målet er derfor at Chrome vil slutte å vise den grønne hengelåsen i adresselinjen, uten at de har gitt noen dato for dette.

I stedet vil den bare vise advarsel når tilkoblingen ikke er kryptert:

Med sikkerhetsopplæring i tankene, betyr dette at vi også må bevege oss bort fra rådet om å se etter den grønne hengelåsen og "https" i adresselinjen. Rådet har heller aldri vært perfekt, med tanke på forholdene omkring falsk tillit som nevnt først i innlegget.

Derfor kan vi allerede spørre oss følgende: Er den størst risikoen at noen avlytter trafikken til våre kolleger, når de unntaksvis bruker nettsider uten HTTPS? Eller er det en større risiko for at vi med velment opplæring skaper grunnlag for falsk tillit til ondsinnede nettsider brukt i phishing-angrep.

Heldigvis dytter Chrome i riktig retning, og det er altså et spørsmål om tid før den grønne hengelåsen er historie.

Oppdatering 17. mai 2018: Google bekrefter at den grønne hengelåsen blir svart og nøytral, allerede fra september 2018: https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

 


Er du klar for en ny tilnærming til sikkerhetsopplæring for ansatte?

See all posts →