I løpet av mars vil de aller fleste nettlesere slutte å støtte versjon 1.0 og 1.1 av den kryptografiske protokollen Transport Layer Security (TLS) i forbindelse med HTTPS. TLS 1.0 kom i 1999 som en erstatning for SSL, og 1.1-versjonen kom i 2006. Begge regnes som sårbare og utdaterte. Likevel er det mange nettsteder som ikke støtter noen av de nyere versjonen av TLS, 1.2 eller 1.3.
Lanserte planen for offentlig digitalisering: − Vi kan ikke fortsette sånn som vi har gjort
Disse nettstedene vil ikke lenger fungere når de varslede nettleseroppdateringene kommer denne måneden eller like etter, dersom de ikke innfører støtte for minimum TLS 1.2 innen da. Ifølge Netcraft skal det dreie seg om minst 850.000 aktive nettsteder eller domener, hvor altså 1.0 eller 1.1 er den nyeste versjonen av TLS-protokollen som nå støttes.
Ikke bare de små
Flere av de berørte nettstedene eller domenene tilhører relativt store virksomheter, slik som Huawei og Dow Jones. I de to nevnte tilfellene dreier det seg ikke om hovednettstedene, men om henholdsvis et undernettsted og en omdirigeringstjeneste – altså ting som er litt mer bortgjemt. Verre er det nok at for eksempel nettstedet til justisdepartementet i Sør-Afrika vil bli utilgjengelig dersom ikke konfigurasjonen oppdateres temmelig snart.
Nettstedeierne har hatt veldig god tid på seg til å forberede denne endringen, i alle fall siden 2018, da det ble klart at støtten for TLS 1.0 og 1.1 vil bli deaktivert i selv Internet Explorer 11.
Blir allerede advart
Flere nettlesere, inkludert Firefox, Chrome og andre Chromium-baserte nettlesere, viser allerede nå en advarsel ved adressefeltet og/eller i utviklerkonsollen om at det aktuelle nettstedet benytter en svak og utdatert krypteringsteknologi. Når de oppdaterte nettleserversjonene kommer i løpet av de nærmeste ukene, vil nettleserne i utgangspunktet ikke lenger laste innholdet til de berørte nettstedene, men vi i stedet vise en advarsel tilsvarende den som vises i toppen av artikkelen.
Nettsteder som kjøres på noenlunde oppdatert serverprogramvare, kan vanligvis gis støtte for i alle fall TLS 1.2 med temmelig liten innsats. TLS 1.2 har tross alt vært tilgjengelig siden 2008. Programvare som ikke støtter minimum TLS 1.2, er uansett så utdatert at den ikke bør brukes.
Dette til tross for at disse utdaterte teknologiene tross alt gir bedre beskyttelse enn levering med ukryptert HTTP.
Ble kalt et «sikkerhetsmareritt» – slik beroliger Microsoft kundene