- Websertifikater er så godt som ubrukelige

Nettleserbrukerne ignorerer advarslene når noe er galt.

Harald BrombachHarald BrombachNyhetsleder
30. juli 2009 - 10:16

Sikkerhetssertifikater på weben brukes av mange nettsteder, for eksempel nettbanker og nettbutikker, for å verifisere at de er nettopp den de utgir seg for å være. Sertifikatet må da være utstedt av en tiltrodd sertifikatmyndighet.

Det er fullt mulig å lage websertifikater selv, men da vil de som besøker nettstedet få en advarselen i nettleseren. I advarselen tilrådes brukeren å forlate nettstedet. Det bør man også, dersom man ikke er helt sikker på at nettstedet er det nettopp det det gir seg ut for å være. Og det skal mye til.

Det er dog ikke uvanlig at mer eller mindre private nettsteder bruker ikke-autoriserte sertifikater bare for å gjøre det mulig å kryptere dataene som sendes mellom serveren og nettlesere (SSL/HTTPS). Årsaken til dette, er at det vanligvis koster penger å få et verifisert sertifikat.

Nettsteder rettet mot offentligheten gjør sjelden dette. Likevel viser det seg at et flertall av nettleserbrukerne ignorer advarsler som den som vises nedenfor, dersom de støter på dem.

Det forteller forskere ved Carnegie Mellon University i et intervju med IDG News Service.

I et labeksperiment har forskerne funnet ut av mellom 55 og 100 prosent av deltakerne ignorerer sikkerhetsadvarsler om ugyldige sertifikater. Andelen avhenger av hvilken nettleser de bruker. De ulike nettleserne har forskjellig ordlyd i advarslene.

Advarsel om ugyldig sertifikat i Internet Explorer 8.
Advarsel om ugyldig sertifikat i Internet Explorer 8.
Tilsvarende advarsel i Firefox 3.5.
Tilsvarende advarsel i Firefox 3.5.

- Alle visste at det var et problem med disse advarslene. Vår undersøkelse viste dramatisk hvor stor problemet var, sier Joshua Sunshine, til IDG News Service. Han er student ved Carnegie Mellon University og medforfatter av rapporten som vil bli offentliggjort i forbindelse med Usenix Security Symposium i Montreal den 14. august.

Studien ble utført med mer enn 400 deltakere ved hjelp av en nettbasert spørring. Derretter ble hundre personer tatt med til et laboratorium hvor deres adferd på weben ble studert.

Mange skal ha hatt en feilaktig oppfatning av sertifikatadvarslene. Blant annet var det mange som mente at advarslene kunne ignoreres dersom de besøkte et nettsted de hadde tiltro til, men at de burde være mer forsiktige med mindre troverdige nettsteder.

Men dette stemmer selvfølgelig ikke.

- Meldingen validerer at du besøker det nettstedet du tror du besøker, ikke om nettstedet er pålitelig, sier Sunshine. Dersom en slik advarsel dukker opp i forbindelse med et nettsted brukeren har tiltro til, er dette et temmelig sikkert tegn på at noe faktisk er galt. I beste fall har sertifikatet utløpt på tid. Verre er det om nettstedet er falskt, for eksempel et forsøkt på phishing.

Ifølge Sunshine unngår svært mange å følge advarslene selv i forbindelse med viktige nettstedet som nettbanker.

Nettleseren som i størst grad fikk testpersonene til å la være å klikke seg videre til et nettsted med ugyldig sertifikat, var Firefox 3. Dette skal skyldes at Mozilla både har forsøkt å forenkle språket som brukes i advarselen og å gjøre det vanskeligere å ignorere den.

Forskerne har også eksperimentert med en rekke egendesignede sikkerhetsadvarsler. Noen av disse skal ha vist seg å være enda mer effektive. Disse vil bli lagt fram sammen med rapporten.

Likevel mener Sunshine at bedre advarsler bare vil hjelpe til en viss grad. I stedet mener han at nettleserne bør ta i bruk systemer som kan analysere feilmeldingene og blokkere tilgangen til nettstedet dersom den mener det er sannsynlig at det dreier seg om et angrep.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.