SIKKERHET

Gleder seg over at mesteparten av webtrafikken nå er kryptert

Solid økning i 2017.

ILLUSTRASJONBILDE: Fortsatt er det mye webtrafikk som overføres ukryptert, men andelen blir stadig mindre. Bildet er fra samtrafikkpunktet NIX1 ved USIT i Oslo.
ILLUSTRASJONBILDE: Fortsatt er det mye webtrafikk som overføres ukryptert, men andelen blir stadig mindre. Bildet er fra samtrafikkpunktet NIX1 ved USIT i Oslo. Foto: Harald Brombach
Harald BrombachHarald BrombachNyhetsleder
2. jan. 2018 - 15:45

På under et år, fra februar til desember i fjor, har andelen av webtrafikken som overføres kryptert, økt fra drøyt 50 prosent til minst 66 prosent. Dette skriver rettighetsorganisasjonen EFF i et blogginnlegg. Tallene stammer fra målinger som er gjort i nettleserne til henholdsvis Mozilla og Google.

– Bevegelsen for å kryptere weben nådde milepæl etter milepæl i 2017. Weben er midt inne i en massiv endring fra ikke-sikkert HTTP til den sikrere og krypterte HTTPS-protokollen, heter det i et blogginnlegg. Dette er noe EFF gleder seg over, for en slik utvikling har organisasjonen vært med på å ta initiativ til, blant annet gjennom Let's Encrypt-initiativet, som gjør det både gratis og enkelt for nettsteder å ta i bruk HTTPS. 

Mange sertifikater, kort levetid

Totalt har Let's Encrypt utstedt mer enn 177 millioner sertifikater, 149 millioner flere enn for et år siden. Men Let's Encrypt-sertifikatene har bare en levetid på tre måneder før de (vanligvis) blir automatisk fornyet. Antallet aktive sertifikater ligger nå på drøyt 49 millioner. Antallet nettsteder som benytter sertifikater fra Let's Encrypt, er likevel en del lavere. For mange av sertifikatene gjelder for subdomener som hører til det samme nettstedet. En god del nettsteder, slik som digi.no, benytter for eksempel et eget (sub)domene til å levere bilder eller annet innhold til nettstedet.

Nå er halvparten av all trafikk på internett kryptert: – Det er ikke nødvendigvis bare positivt!

Pisk og gulrot

I tillegg til gratistilbud som Let's Encrypt, er det liten tvil om at Googles gradvise innføring av varsler i Chrome, som nå advarer brukerne dersom de skriver noe inn for eksempel søke- eller passordfelt på nettsteder som ikke benytter HTTPS, har bidratt til økningen i bruken av HTTPS. De færreste nettstedeiere ønsker at leserne skal bli møtt med en advarsel fra nettleseren når nettstedet besøkes.

Planen er på sikt å advare mot alle HTTP-nettsteder. Mozilla planlegger å innføre noe tilsvarende i Firefox 59, som skal utgis i mars i år.

Høyere rangering i søkeresultatene til Google har nok også vært en viktig årsak for mange nettsteder til å ta i bruk HTTPS.

Mange opplevde at nettaviser som digi.no var overraskende trege med å ta steget over til HTTPS. Mange nettaviser har annonser og annet innhold fra eksterne partnere, og skal HTTPS fungere skikkelig, må alt innhold som vises på websidene, bli levert med HTTPS.

Dette har tatt tid å få til, men i løpet av 2017 har de aller fleste norske nettaviser tatt i bruk HTTPS. Internasjonalt er nok ikke andelen like høy.

Mer gjenstår

Det neste store målet for nettstedene bør ifølge EFF være at de tar i bruk HTTP Strict Transport Security (HSTS), en teknologi som sørger for at nettleserne aldri benytter HTTP-utgaven av nettstedet som brukeren besøker. 

Når en bruker taster inn et domenenavn i adressefeltet til nettleseren, uten å oppgi protokolldelen av adressen, forsøker nettleseren å laste nettstedet via HTTP. De fleste nettsteder som har tatt i bruk HTTPS, vil da omdirigere nettleseren til HTTPS-utgaven av nettstedet. Dette skjer gjerne automatisk på webserveren og skjer uten at særlig mye data overføres via HTTP.

Denne overgangen fra HTTP til HTTPS kan likevel gjøre det mulig å for uvedkommende å narre nettleseren til å sende trafikken ukryptert. Dersom nettstedet har tatt i bruk HSTS, vil nettleseren få beskjed om at all trafikk mellom nettleseren og nettstedet skal sendes via HTTPS. 

Som den nevnte oversikten viser, er det mange internasjonale nettaviser som har tatt i bruk HTTPS og automatisk omdirigerer nettleserne til å benytte dette. Men mange mangler fortsatt støtte for HSTS. 

EFF trekker også fram flere andre teknologier som hver for seg kan bidra til å redusere faren for avlytting og avskjæring av webtrafikk. Den kanskje mest aktuelle nå, er Certification Authority Authorization (CAA), som alle sertifikatutstedere måtte implementere støtte for i fjor. Ved hjelp av denne kan nettsteder oppgi i DNS-oppføringene hvilke sertifikatutstedere som tillates å utgi sertifikater til det aktuelle domenet.

Les også: HTTPS er ikke sikkert nok alene. Her ser du hvorfor (Digi ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.