Raskere sikkerhet på weben

Google med god effekt av «tjuvstart»-funksjon i Chrome.

Harald BrombachHarald BrombachNyhetsleder
23. mai 2011 - 13:48

Stadig flere nettsteder tar i bruk kryptert forbindelse – HTTPS (Hypertext Transfer Protocol Secure). Dette skyldes at de samme nettstedene i økende grad mottar og leverer data som ikke bør komme i hendene på uvedkommende. Dette kan være alt fra nettbanker til sosiale medietjenester.

Men innføringen av økt sikkerhet kompliserer det hele ganske mye. Heldigvis ikke så mye for brukerne, men derimot for både nettstedeierne og for nettleserne. Nettleserne bruker blant annet mer tid på å opprette sikre forbindelser enn å opprette usikre forbindelser.

Google har kommet fram til at en del prosedyren som i dag gjøres for å opprette sikre forbindelser, er unødvendig. Ved opprettelsen av en forbindelse, utføres det som ofte kalles for en håndtrykksprosedyre, hvor klient og server i flere omganger utveksler informasjon om oppsettet av forbindelsen.

Tre Google-ansatte teknikere har utarbeidet en valgfri utvidelse av Transport Layer Security (TLS), en kryptografisk protokoll som brukes til å tilby sikre Internett-forbindelser, inkludert HTTPS. Dette tillegget kalles for Transport Layer Security (TLS) False Start eller SSL False Start.

TLS/SSL False Start innebærer at applikasjonsdata kan bli sendt allerede før håndstrykksprosedyren er fullført. Google skriver i dette blogginnlegget at dette i praksis har vist seg å redusere oppkoblingstiden med omtrent 30 prosent, fordi den ene parten slipper å være uvirksom mens den venter på at den andre skal svare.

False Start ble implementert allerede i Chrome 9. Nyheten nå er altså hvor mye metoden i praksis reduserer oppkoblingstiden.

Det spesielle med denne løsningen, er at den i liten grad krever noen endringer på serversiden. Google har tidligere testet alle HTTPS-nettstedene i selskapet søkeindeks og kom fram til at TLS/SSL False Start fungerte på 94,6 prosent av alle nettstedene. 5 prosent av nettstedene var utilgjengelige, mens 0,4 prosent feilet.

Samtlige av nettstedene som ikke støttet False Start, benyttet tjenester fra bare en håndfull SSL-leverandører. En del av disse skal nå ha fikset problemet. De resterende nettstedene er inkludert i en liste som følger med Chrome. Dersom brukeren besøker disse nettstedene, vil den fullstendige håndtrykksprosedyren benyttes i stedet for False Start. Listen er forøvrig tilgjengelig her.

Google håper at også andre nettleserleverandører ser nytten av denne løsningen og tar den i bruk.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.