Besøker man en nettbank i dag, ser man av nettadressen at dataene overføres ved hjelp av HTTPS (Hypertext Transfer Protocol Secure), en kryptert kommunikasjonsprotokoll. Benytter ikke nettbanken dette, bør man bytte nettbank.
Akkurat det samme kan man si om nettbutikker, sosiale medier, e-posttjenester og alle andre nettsteder hvor man kan komme til å oppgi fortrolig informasjon, inkludert brukernavn og passord. Dette kan fort komme på avveie dersom dataene sendes ukryptert via internett.
Alle store og seriøse aktører har dette på stell, men hva med båt- eller sangforeningens nettsted som kanskje drives av et medlem på hobbybasis?
Noe av årsaken til at små nettsteder i mindre grad benytter HTTPS og kryptering, kan være at HTTPS ikke er så enkelt å få til. I alle fall ikke første gangen. Men snart skal det hele kunne bli enklere.
Let's Encrypt
I går kunngjorde nemlig Electronic Frontier Foundation (EFF), en organisasjon som kjemper for brukerne digitale rettigheter, et nytt initiativ som har som mål å gjøre all webtrafikk kryptert. De viktigste virkemidlene er å gjøre det hele både enkelt og gratis.
Bak initiativet, som kalles for Let's Encrypt, står også aktører som Cisco, Akamai, Mozilla, IdenTrust og forskere ved University of Michigan.
I kunngjøringen skriver EFF at den største hindringen for utbredelsen av HTTPS har vært kompleksitet, byråkrati og kostnadene for sertifikatene.
– Vi er alle kjent med advarslene og feilmeldingene som produseres av feilkonfigurerte sertifikater. Disse advarslene er et hint om at HTTPS (og annen bruk av TLS/SSL) avhenger av et forferdelig komplisert og ofte strukturelt dysfunksjonelt autentiseringsbyråkrati, skriver EFF.
– Behovet for å innhente, installere og administrere sertifikater fra det byråkratiet er den viktigste årsaken til at nettsteder holder seg til HTTP istedenfor HTTPS. I våre tester tar det en webutvikler typisk 1 til 3 timer å aktivere kryptering for første gang. Let's Encrypt-prosjektet sikter mot å rette på dette ved å redusere oppsettstiden til 20 til 30 sekunder, heter det i kunngjøringen.
Når det gjelder kostnadene, så må det legges til at det finnes instanser som tilbyr gratis sertifikater til tjenester som ikke krever annet enn et grunnleggende autentiseringsnivå.
Let's Encrypt-initiativet skal offisielt ikke settes i gang før til sommeren, men det har blitt kunngjort allerede nå fordi programvaren som skal bidra til å redusere oppsettstiden, fortsatt er under utvikling og har behov for eksterne testing. Programvaren, lets-encrypt, er så langt kun tilgjengelig for konfigurering av webserveren Apache HTTPD på Linux-baserte systemer. Det er planlegges å gjøre den tilgjengelig også for andre plattformer etter hvert. Verktøyet er skrevet i Python.
Dagens testutgave av verktøyet må ikke brukes til annet enn nettopp testing. Årsaken er at det installeres sertifikater som er signert av en utsteder som kun er til for testing. Sertifikatet vil dermed utløse en advarsel i brukernes nettleser.
Alt man skal behøve å gjøre for å etablere HTTPS for et domene, er å skrive en enkel kommando:
$ lets-encrypt example.com
Alt som kreves for utstedelse og installasjon av sertifikatet, blir automatisk sørget for. Sertifikatet vil bli utstedt av en egen sertifikatinstans, Let’s Encrypt CA, som non-profit-organisasjonen Internet Security Research Group (ISRG) skal sørge for. Det vil også være muligheter for litt mer avansert funksjonalitet, slik som å sørge for omdirigering fra HTTP til HTTPS og tilbakekalling eller fornyelse av sertifikater.
Les også:
- [16.12.2014] Vil varsle om de usikrede sidene
- [11.08.2014] HTTPS kan gi bedre rangering
- [28.11.2011] – Spioner og kriminelle har ødelagt SSL