Nettstedsikkerhet

Koronaeffekt: Reverserer nye sikkerhets­krav i nettlesere

Kravene om at nettsteder kun må benytte nyere krypteringsteknologier har blitt utsatt på grunn av koronakrisen.
Kravene om at nettsteder kun må benytte nyere krypteringsteknologier har blitt utsatt på grunn av koronakrisen. (Foto: Kiyoshi T Segundo/Colourbox)

Flere relativt ferske eller planlagte sikkerhets- og personvernforbedringer i nettlesere har de siste ukene blitt fjernet igjen eller er blitt utsatt. Årsaken er at nettleserleverandørene ikke vil legge ekstra stein til byrden i en tid hvor mange har det vanskelig nok. For forbedringene kan føre til at enkelte ikke-oppdaterte nettsteder slutter å fungere.

Krypteringssvakheter

Først ute var Mozilla, som den 20. mars kom med en oppdatert utgave av Firefox 74, hvor støtten for krypteringsprotokollene TLS 1.0 og 1.1 (Transport Layer Security) likevel ikke er skrudd av som standard, slik den var i versjonen som kom den 10. mars.

Disse versjonene av TLS har betydelige svakheter og kan gjøre avlytting av trafikken enklere.

Fra og med Firefox 74 ble brukerne opprinnelig vist en feilmelding når brukerne besøkte nettsteder uten støtte for den nyere TLS 1.2-protokollen. Men nå er denne endringen altså reversert inntil videre, for å gi berørte nettsteder mer tid til å få på plass de nødvendige løsningene. 

Les også

Mozilla har ikke oppgitt noe tidspunkt for når endringen nå skal innføres. Det har derimot Microsoft, som rett før månedsskiftet utsatte planene om å deaktivere støtten for TLS 1.0 og 1.1 i Edge minimum fram til Edge 84, som etter planen skal til komme i juli. Trolig gjelder dette alle Chromium-baserte nettlesere, siden planene er utsatt også i Chrome.

I den EdgeHTML-baserte utgaven av nettleseren, samt Internet Explorer 11, vil støtten for de gamle protokollene først bli deaktivert den 8. september i år. 

Advarsel i Chrome om utdatert SSL/TLS-versjon
Kravene om at nettsteder kun må benytte nyere krypteringsteknologier har blitt utsatt på grunn av koronakrisen. Bildet viser en advarsel i Chrome om bruk av foreldet SSL-/TLS-teknologi. Illustrasjon: Google

SameSite

Google har for øvrig også reversert ytterligere en nokså fersk endring i Chrome, knyttet til sikrere håndtering av tredjepartscookies (for abonnenter). 

Siden februar har Google gradvis begynt å håndheve et krav om at en cookie må være utstyrt med Secure-attributtet, samtidig som at SameSite-attributtet har verdien none, dersom cookien skal kunne brukes som en tredjepartscookie. En grundig forklaring på dette kravet finner du på denne siden.

Nå har Google reverserte hele SameSite-kravet, riktignok midlertidig, for å unngå at berørte nettsteder slutter å fungere midt i den verste krisen.

Dette innebærer at leverandører av tredjepartsinnhold som avhenger av slike cookies kan senke skuldrene litt, selv om de ikke ennå har fått på plass de nevne cookie-attributtene.

For andre kan denne perioden være preget av mindre aktivitet enn vanlig, noe som kanskje gir ekstra mulighet til å få gjort alle de tingene man burde ha gjort, men som tidligere bare har blitt skjøvet på.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen