Abonner
SIKKERHET

D-dagen for HTTP har kommet

Flere kjente, norske nettsteder kommer nå til å bli merket som usikre.

Chrome 68 vil flagge alle HTTP-sider som usikre. Utrullingen av versjon 68 starter i dag.
Chrome 68 vil flagge alle HTTP-sider som usikre. Utrullingen av versjon 68 starter i dag. Bilde: Google. Montasje: digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
24. juli 2018 - 15:25

Flere kjente, norske nettsteder vil fra i kveld av bli flagget som usikre i Chrome, etter hvert som brukerne oppdaterer til den nyeste utgaven av nettleseren – versjon 68.

I adressefeltet til Chrome vil det stå «Ikke sikker» eller noe tilsvarende ved siden av adressen til nettsteder som ikke har et gyldig sikkerhetssertifikat. De aller, aller fleste som har tatt i bruk HTTPS-protokollen, har dette. Endringen berører derfor først og fremst nettsteder som enten kun støtter den ukrypterte HTTP-protokollen eller de som ikke bruker HTTPS som standard.

Flere norske berørt

Digi.no har sjekket status for de fleste av nettstedene som ved slutten av fjoråret lå på topplisten til Kantar TNS. De aller fleste har tatt i bruk HTTPS, og brukerne ledes til de sikre sidene uten å måtte spesifisere at HTTPS skal brukes framfor HTTP. 

Samtidig er det noen relativt få unntak. 

Bygg.no og Psykologisk.no har begge full støtte for HTTPS, men brukere omdirigeres ikke automatisk fra HTTP til HTTPS. Dermed vil disse for mange bli flagget som usikre i Chrome. 

Viivilla.no støtter også HTTPS, men nettleserne som besøker nettstedet, omdirigeres automatisk til HTTP.

Også Varden.no, Lydogbilde.no og Dagen.no har en viss støtte for HTTPS på serveren, men den er tilsynelatende ikke klar til bruk. Sidene leveres over HTTP, og forsøker man HTTPS i stedet, for man beskjed om at sertifikatet er ugyldig. 

Vi har ikke testet annet enn forsiden til de enkelte nettstedene. Det skjer at noen nettsteder velger å levere bare enkelte sider over HTTPS, typisk skjemaer hvor potensielt kan bli oppgitt sensitiv informasjon, for eksempel passord. 

Dette hjelper selvfølgelig lite når Chrome nå skal begynne å flagge alle HTTP-sider som usikre. Siden det er i dag er både enkelt og billig for de fleste å ta i bruk HTTPS, samtidig som at dette har vært en varslet utvikling i ganske mange år, vil nettstedene som nå blir merket som usikre, få et stempel på seg for å være lite opptatt av brukernes sikkerhet og personvern.

Også BBC

Slik ser adressefeltet ut i Chrome 68 når vi besøker BBC.com. <i>Skjermbilde: digi.no</i>
Slik ser adressefeltet ut i Chrome 68 når vi besøker BBC.com. Skjermbilde: digi.no

De norske nettstedene er ikke alene. Et veldig overraskende eksempel er BBC.com, som altså også vil bli merket som ikke sikker. I alle fall forsiden. Mens det meste av innholdet hos den britiske allmennkringkasteren leveres over HTTPS, tvinges brukerne til å få forsiden levert over HTTP. Det samme gjelder for øvrig blant annet bloggseksjonen.

Alle moderne nettlesere støtter HTTPS, og kostnadene ved å ta HTTPS i bruk er vanligvis beskjedne. Så for de fleste er det liten grunn til ikke å få dette på plass så raskt som mulig. Ikke bare som en mulighet for de mest sikkerhetsbevisste, men som den obligatorisk løsningen.

Les også:
Sikkerhet er blitt det normale: Derfor fjernes hengelåsen i Chrome

Les mer om:
GOOGLE CHROMEHTTPSSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra