Let's Encrypt, non-profitt-initiativet som har til hensikt å få flere nettsteder til å ta i bruk kryptering, har lykkes svært godt med dette. I løpet av 2016 vokste antallet aktive Let's Encrypt-sertifikater fra 240 000 ved inngangen av året til mer enn 20 millioner ved utgangen av året.
Avgjørende for suksessen har trolig vært at sertifikatene tilbys gratis, men kanskje vel så mye at Let's Encrypt tilbyr verktøy som gjør sertifikatadministrasjonen svært enkel. Ikke minst det at sertifikatene automatisk fornyes og tas i bruk, har vist seg å være populært.
Men for de tradisjonelle sertifikatutstederne (CA – Certificate Authority) kan den voldsomme populariteten som Let's Encrypt har oppnådd, blitt merkbart på budsjettet. Hos de fleste koster den typen sertifikater som Let's Encrypt tilbyr, domenevaliderte, flere hundre kroner per år.
Norsk konkurrent
Dette gjelder utvilsomt også for norske Buypass, den eneste norske sertifikatutstederen. Men selskapet, som har internasjonale ambisjoner, velger å snu situasjonen til noe positivt for seg selv, ved å lansere en tilsvarende tjeneste som det Let's Encrypt tilbyr, men underlagt norsk lovgivning framfor amerikansk.
– Jeg har veldig sansen for det Let’s Encrypt har gjort, sier Mads Henriksveen, fagansvarlig for blant annet digitale sertifikater og elektronisk ID hos Buypass, til digi.no.
Samme protokoll
Henriksveen forteller at Let's Encrypt bruker en egenutviklet protokoll som heter ACME (Automatic Certificate Management Environment), som tar seg av automatikken. Denne vil også Buypass bruke, siden den tilbys helt åpent, slik at alle kan ta den i bruk.
– Utskiftingen av sertifikater går av seg selv, og det er en god måte å få flere til å ta i bruk HTTPS og sertifikater, mener han.
– Hypotesen er at brukerne kan endre en URL og dermed fra Let’s Encrypt til Buypass, sier han.
Med domenevaliderte sertifikater må kunden kunne bevise at vedkommende kontrollerer domenet som sertifikatet skal utstedes til.
– Man må gjøre en såkalt «challenge» tilgjengelig på webserveren. Men dette kan maskiner avtale, uten at vi behøver å ha fingrene i denne prosessen.
Gratis
I likhet med Let's Encrypt skal Buypass tilby denne tjenesten gratis, både til norske og utenlandske kunder. Henriksveen legger ikke skjul på at det hele handler om synliggjøring av Buypass' øvrige produkter og å bruke gratistjenesten som en brekkstang til å selge andre typer sertifikater.
– Det vil være en oppgraderingsmulighet for dem som ønsker dette, Henriksveen.
– Dette vil være vårt nye lavende-produkt, men vi har hele bredden, sier han og legger til at selskapet også forbereder støtte for nivået over EV (Extended Validation), som kalles for QWAC (Qualifed Website Authentication Certificate). Men Henriksveen er usikker på om amerikanske nettleserleverandører som Google vil behandle disse på noen annen måte enn EV-sertifikatene, siden det dreier seg om en europeisk ordning.
Digi.no har omtalt QWAC tidligere i denne saken.
Henriksveen håper at norske webhoteller kan ta kontakt med Buypass når selskapet tilbyr det samme som Let's Encrypt.
Leste du denne? Nettlesere fjerner støtten for mye brukte gratissertifikater
Lot seg misbruke
Han nevner for øvrig under møtet med digi.no en episode hvor Let's Encrypt har latt seg misbruke til phishing, ved å utstede sertifikater til underdomener som til en viss grad skjuler det egentlig domenet, i alle fall for uerfarne brukere. Et eksempel på dette er:
www.paypal.com-privacypolicy.about-verification.com
I nettleseren vil mange kunne oppfatte at dette er et sikkert nettsted som tilhører Paypal. Men det er selvfølgelig ikke tilfellet. Flere nettlesere blokkerer nå dette domenet, men det har ikke alltid vært slik.
Henriksveen sier han har oppfattet Let's Encrypt som veldig ordentlige og seriøse. Det er flere kjente aktører som står bak initiativet.
– Derfor er det overraskende at de har latt seg misbruke, sier han og viser til denne omtalen av saken.
Selv sjekker Buypass om domenenavnene det søker sertifikat til, inkluderer kjente varemerker, også i subdomenene som sertifikatet skal gjelde for. Det utstedes heller ikke sertifikater til svartelistede domener. Selskapet er nøye med å følge kravene til CA/Browser Forum, hvor nettleserleverandørene har stor tyngde.
Les også: Let's Encrypt utnyttes til å skjule skadevare
Redusert maksimal levetid?
Den nye tjenesten til Buypass ventes å bli allment tilgjengelig i løpet av første halvår, men skal gjøres tilgjengelig for noen testmiljøer i midten av februar.
For øvrig forteller Henriksveen at det er mye aktivitet i sertifikatbransjen for tiden. Denne uken kom det et forslag fra Google, som også har kunngjort at selskapet skal bli en CA, om å sette maksimal levealder på sertifikater til ett år. I dag får man kjøpt sertifikater med i alle fall tre års levetid.
Om forslaget blir vedtatt i CA/Browser Forum, er usikkert. Men det støttes i alle fall av Let's Encrypt, som opererer med sertifikater med tre måneders levetid.