(Foto: PantherMedia/Hua Kiang Foong)

Prisen for «S-en» i HTTPS

Sikkerhet og personvern kommer ikke gratis.

De siste årene har kryptert overføring av webinnholdet blitt mer eller mindre standard for nettsteder hvor man logger seg på og dermed oppgir fortrolig informasjon. Men overgangen fra HTTP til HTTPS (Hypertext Transfer Protocol Secure) skjer ikke helt uten ulemper. Det viser en forskningsartikkel skrevet av en gruppe forskere ved Carnegie Mellon University, Politecnico di Torino og Telefónica Research.

Forskerne har basert deler av undersøkelsen på logger over trafikken til omtrent 25.000 ADSL-kunder hos en større, europeiske leverandør av internett-aksess til boliger.

Kraftig vekst

Andelen av HTTP-forespørsler som skjer med HTTPS har ifølge forskerne mer enn doblet seg de to siste årene. I september 2014 var 44,3 prosent av weboppkoblingene krypterte. En kraftig økning skjedde i april 2013, da Facebook gjorde HTTPS til standard for alle brukerne.

Veksten i volum via HTTPS har derimot ikke økt like mye. Lenge kunne man anta at dette skyldte at bruken av HTTPS ofte var knyttet til små, men personvernsensitive objekter. Først da YouTube begynte å levere video via HTTPS i januar år, så man en klar økning i den andelen av datamengden som overføres med HTTPS. I september i år ble omtrent halvparten av datamengden til og fra YouTube levert via HTTPS.

Tall fra i år viser at 80 prosent av datamengden som lastes opp ved hjelp av weboppkoblinger, gjøres med HTTPS. I 2012 var andelen på 45,7 prosent. Totalt laster brukerne opp mer data ved HTTPS enn de laster ned, selv om YouTubes overgang til HTTPS har bidratt sterkt til at datamengden som totalt sett lastes ned via HTTPS har blitt mer enn doblet fra 2013 til 2014.

Kostnadene

Med en slik vekst vil også de eventuelle kostnadene eskaleres. Men forskerne har ikke bare sett på kostnader i form av penger, men også i form av brukervennlighet og aksesstid.

Forskernes tester på en mengde av verdens mest brukte nettsteder, viser at HTTPS innebærer at tiden det tar å laste en webside, økes betydelig. Dette er spesielt merkbart over relativt trege forbindelser. Med en pc koblet via en 3G-forbindelse økte lastetiden med mer enn 500 millisekunder for 90 prosent av nettstedene. For 25 prosent økte lastetiden med minst 1,2 sekunder – mer enn 50 prosent. Med den samme pc-en koblet til en fiberforbindelse var økningen i lastetid betydelig mer begrenset, men for 40 prosent av nettstedene økte lastetiden med 500 millisekunder eller mer.

Det er klare fordeler med å bruke sikre webforbindelser, altså HTTPS. Men det er også en rekke ulemper.
Det er klare fordeler med å bruke sikre webforbindelser, altså HTTPS. Men det er også en rekke ulemper. Bilde: David Naylor med flere

Forskerne mener dette er en økning som ikke kan ignoreres, ikke minst fordi undersøkelser viser at ett sekund i ekstra lastetid kan koste en nettbutikk som Amazon 1,6 milliarder dollar i året i tapt salg. Mange av de potensielle kundene gidder ikke å vente på at sidene skal lastes, men finner et annet sted å handle.

Den økte lastetiden skyldes flere faktorer. Én viktig faktor er TLS-handshake, altså forhandlingen om etablering av hver enkelt forbindelse, som er mer omfattende enn vanlig etablering på grunn av blant annet utveksling av nøkler.

Dessuten innebærer TLS-handshake-en at en økt mengde data må overføres. Dette fordi bruken av mange TLS-forbindelser er lav. Ifølge forskerne utgjør handshake-delen 42 prosent eller mer av den totale datamengden som overføres, for 50 prosent av alle forbindelsene.

Proxyservere

Mange internett-leverandører bruker transparente proxyservere som et mellomlager for webdata som leveres til selskapets kunder. Dette reduserer mengden av data som overføres mellom nettstedene og internett-leverandøren, men også i noen grad datamengden som overføres til aksesskundene, fordi proxyen komprimerer en del av dataene før de leveres til klienten. HTTPS-trafikk hentes vanligvis direkte fra nettstedet, ikke fra internett-leverandørens eventuelle proxyservere.

Forskerne har fått tilgang til to år med logger en av proxyene til en stor, europeiske mobiloperatør med 20 millioner abonnenter. Denne proxyen har betjent tre millioner abonnenter. I løpet av toårsperioden har i gjennomsnitt 14,9 prosent av filene som brukerne har lastet ned, blitt funnet i cachen til proxyen. Dette tilsvarer omtrent to terabyte med nedlastning av data per dag for denne andelen av kundene. Økt bruk av HTTPS vil redusere denne gevinsten for internett-leverandøren.

Den transparente proxy komprimerte i gjennomsnitt de overførte dataene med 28,5 prosent før de ble sendt videre til abonnentene. For mobilbrukere som laster ned over trege linjer og kanskje også betaler for datamengden som overføres, vil dette være merkbart. Over vanlig bredbånd har det mindre betydning.

Løsninger?

Forskerne trekker fram to tilnærminger som de mener kan bidra til å redusere disse ulempene. Den ene er foreslåtte protokollforbedringer for å oppnå det som kalles for 0-RTT (Round Trip Time). Den andre er bruken av tiltrodde proxyer med støtte for HTTPS-økter.

Batteritid

Forskerne har også studert hvordan bruken av HTTPS påvirker batteritiden til mobile enheter. I testene har forskerne brukt en eldre Samsung-mobil som var tilkoblet en strømmåler. Det konkluderes med at bruken av kryptografiske funksjoner har nesten ingen effekt for effektbruken. Det som virkelig betyr noe, er hvor lang tid nedlastningen tar, det vil si hvor lenge radioen i enheten må være aktiv. Ved avspilling av video har høy nedlastingshastighet og mulighet for mellomlagring på håndsettet en positiv effekt for batteritiden. En slik mulighet utelukkes i blant av proxyservere, som i stedet fôrer enhet med data i den hastigheten som er nødvendig for direkte avspilling. Denne strupingen gjøres for å effektivisere båndbreddebruken, men den påvirker ikke HTTPS-forbindelsene.

En siste ulempe som trekkes fram, er at allestedsnærværende kryptering fjerner mulighetene knyttet til dyp pakkeinspeksjon.

En presentasjon av de viktigste funnene til forskerne finnes her.

    Les også:

Til toppen