Den siste måneden har bruken av sikre forbindelser for overføring av norske websider fått ekstra mye oppmerksomhet, etter at NRK i slutten av mars fant ut at bare 422 av nærmere 10 000 offentlig eide nettsteder benytter HTTPS-protokollen (Hypertext Transfer Protocol Secure) med tilhørende sikkerhetssertifikater og kryptering.
Sannsynligheten er stor for at de fleste av de 422 nettstedene som benytter HTTPS, tilbyr eller innhenter persondata eller annen sensitiv informasjon. I slike tilfeller vil gjerne kryptering være nødvendig.
Viktig uansett
Men HTTPS handler ikke bare om kryptering. Ifølge Mads Henriksveen, fagansvarlig for blant annet digitale sertifikater og elektronisk ID hos Buypass, gir bruken av HTTPS også økt mulighet for tillit.
– Vår påstand er at HTTPS er viktig uansett. Det gir meg en tillit til at jeg faktisk blir informert fra det nettstedet jeg tror jeg blir informert fra, og dette har verdi i seg selv, sier Henriksveen til digi.no.
Nå skal vi legge til at Buypass på ingen måte er noen nøytral observatør på dette området. Selskapet tjener penger på blant annet å utstede sikkerhetssertifikater til nettsteder. Det er også den eneste rot-CA-en (Certificate Authority) i Skandinavia.
Til å stole på?
Men Henriksveen har nok rett i at de fleste som besøker et offentlig nettsted, tar det for gitt at informasjonen de tilbys der, for eksempel om tidsfristen for innsending av selvangivelsen, er noe man kan stole på.
Hvilken interesse noen skulle ha for å lede folk inn på falske kopier av for eksempel offentlige informasjonssider, kan man alltids spørre seg om. Men det er finnes nok av eksempler på at falsk informasjon spres på internett, og mye deles videre av andre uten snev av kildekritikk.
Med nettsteder som benytter HTTPS og sertifikater, har man i alle fall mulighet til å sjekke om nettstedet faktisk er det det utgir seg for å være, ved å klikke hengelåsen som ofte vises i adressefeltet når man besøker ulike nettsteder.
Henriksveen innrømmer dog at tilliten som sertifikatene kan gi, først og fremst er rettet mot brukere som er litt mer bevisste enn andre. Han mener at denne bevisstgjøringen avhenger at de ulike nettleserne gir sluttbrukerne god og nyttig informasjon.
Pisk eller gulrot
Om undersøkelsen til NRK sier Henriksveen at han er både overrasket og litt skuffet over at så få har tatt i brukt HTTPS
– Men de har kanskje ingen driver for å skulle ha gjort det, sier han. Men han tror at dette kan endre seg om ikke så lenge.
– Trolig er det bare et tidsspørsmål før Google og Mozilla vil kreve HTTPS for ikke å flagge sider som usikre i nettleserne, sier han, og viser til at i alle fall Google absolutt er kapabel til på kreve ting raskt når de første bestemmer seg for det, gjerne før alle andre. Henriksveen nevner blant annet blokkeringen av SHA-1-baserte sertifikater som Google har innført i Chrome år.
Han viser også til at Google i utviklerverktøyene til Chrome kaller sider som ikke er sikret med TLS-teknologi for usikre.
– Jeg tar dette som et tegn på at dette vil komme inn som et hovedbudskap etter hvert. Kanskje ikke i år, men man skal heller ikke regne med at det vil gå langt tid før Google skrur på dette. Det kan derfor være greit at de som forholder seg til sluttbrukere, er litt proaktive, sier Henriksveen.
Det finnes også noen gulrøtter som kan være med på å lokke flere til å tilby nettstedene sine over HTTPS. Blant annet har Google for lengst kunngjort at bruken av HTTPS kan bidra til høyere rangering i søkeresultatene til selskapet.
HTTP/2
En annen gulrot er den relativt nye protokollen HTTP/2, som blant annet skal gi kunne levere webinnhold raskere. Riktignok krever ikke spesifikasjonen brukt av kryptering, men Henriksveen regner med at ingen nettlesere vil støtte HTTP/2 uten krav om kryptering. Også HTTP/2-arbeidsgruppen skriver noe tilsvarende på denne siden.
Hva er så årsaken til at så mange lar være å tilby nettstedene via HTTPS?
For mange kan manglende bevissthet eller kompetanse være avgjørende. Det krever også litt arbeid å få det til, i alle fall den første gangen, og det er fortsatt lett å gjøre feil.
– Mange setter opp sertifikat, men gjør det på en usikker måte. Mye av utfordringen er at man må forstå mye og gjøre mye riktig, for at resultatet skal bli bra, sier Henriksveen. Han mener derfor at bransjen, med alle de ulike partene som er involvert, også må samarbeide om å gjøre det enklere å unngå feil.
Nettaviser
En annen faktor, som kanskje spesielt berører nettaviser og mange annonsefinansierte tjenester, er at disse nettstedene avhenger av et samspill med eksterne innholdsleverandører, og at det fortsatt er en jobb som må gjøres for få alle til å bevege seg i samme retning.
At det er mulig også i Norge, ble dog bevist for alvor for en uke siden, da SOL.no begynte å levere sidene med HTTPS.
– Som nyhetsformidler er sikkerhet viktig for oss. Vi har et ansvar for å holde leserne våre oppdaterte. Da er det en fordel å sikre at de nyhetene vi leverer fra oss på desken er de samme nyhetene som når fram til leserne våre. En situasjon hvor dette kan bli relevant, er for eksempel hvis leseren er en sentral beslutningstaker, sa Geir Wiksén, sa teknologidirektør i Aller, som eier SOL, i en pressmelding.
For at dette skulle bli mulig, uten at nettleserne viser forstyrrende advarsler til brukerne, har både redaksjonelle og kommersielle samarbeidspartnere av SOL måttet sørge for å levere innhold kryptert til SOL.
– Alle vi har vært i kontakt med har vært positive og stått på for å kunne levere dette. Dette viser at bransjen tar personvern og sikker brukeropplevelse på alvor, sa Wiksén i pressemeldingen, hvor det opplyses at Morgenbladet var enda tidligere ute med HTTPS.
Litt mer personvern
Også på nettsteder som ikke inneholder personopplysninger eller annen sensitiv informasjon, kan bruk av HTTPS bidra til økt personvern. Ifølge Henriksveen handler dette primært om kunne skjule for eventuelle avlyttere hvilke sider brukerne åpner når de besøker nettstedet.
På spørsmål om all oppmerksomheten om kryptering, blant annet etter Snowden-avsløringen, faktisk har ført til økt etterspørsel hos Buypass, svarer Hensviksveen at selskapet ser en generell vekst i bruken, men det er nok flere årsaker til dette, inkludert høyere oppmerksomhet fra aktører som Nasjonal Sikkerhetsmyndighet (NSM) og nettleserleverandørene.
– Flere er nok bevisste på dette, blant annet på grunn av rangeringen hos Google, sier han.
Regulering
Henriksveen forteller for øvrig at en ny EU-forordning, eIDAS, er på vei inn også i Norge. Denne skal erstatte blant annet det nåværende e-signaturdirektivet og dessuten omfatte andre tillitstjenester, inkludert høynivå sikkerhetssertifikater.
Ifølge Henriksveen betyr dette i praksis at det ikke bare er nettleserleverandørene som skal ha godkjenningsordninger for sertifikatutstedere, men også myndighetene.
– Heldigvis er kravene ganske overlappende, sier Henriksveen.
Forordningen trer i kraft i EU den 1. juli og trolig den 1. januar 2017 i Norge.