SIKKERHET

Google åpner toppnivådomene som krever bruk av HTTPS

Skal være første i sitt slag.

Webinnhold levert fra nettsteder med domene under .app, kan kun overføres med HTTPS.
Webinnhold levert fra nettsteder med domene under .app, kan kun overføres med HTTPS. Bilde: Colourbox
Harald BrombachHarald BrombachNyhetsleder
2. mai 2018 - 10:52 | Endret 2. mai 2018 - 11:50

Google kunne i går fortelle at selskapet skal åpne et nytt toppnivådomene, .app, som skal tilby et ekstra nivå med sikkerhet til apper og apputviklere.

Alle nettsteder som bruker domenenavn registrert under .app må leveres via HTTPS. Ukrypterte forbindelser vil rett og slett ikke fungere. Ifølge Google skal .app være det første allment tilgjengelige toppnivådomenet hvor et slikt krav blir håndhevet. 

Forhåndslastet HSTS-liste

Måten dette gjøres på er å bruke teknologien HTTPS Strict Transport Security (HSTS), som allerede brukes av mange nettsteder til å sikre at ukrypterte forbindelser ikke benyttes. Men da er det gjerne nettstedet selv som forteller dette til nettleseren.

Det nye med domenene registrert under .app, er de automatisk er inkludert i det som kalles for HSTS Preload List. I praksis dreier det seg om én enkelt oppføring som gjelder for hele toppnivådomenet.

Listen, eller varianter som tar utgangspunkt i den, brukes av alle de mest brukte nettleserne, inkludert Internet Explorer 11 og Opera. Nettleserne vil nekte å laste ukrypterte HTTP-forbindelser til domenene som er inkludert i listen. I stedet vil de forsøke å laste nettstedet via en HTTPS-forbindelse. 

Dette vil fungere selv i de tilfeller hvor noen forsøker å lede brukeren til en falsk utgave av nettstedet, for eksempel gjennom DNS-forfalskning.

Les også: HTTPS er ikke sikkert nok alene. Her ser du hvorfor (Digi ekstra)

Legg til selv

Det er fullt mulig å legge til også andre domenenavn enn .app i HSTS-listen. Det gjøres via denne siden

Det er en del forutsetning som må tilfredsstilles før en domene kan legges til. Blant annet må også alle underdomener også leveres via HTTPS. 

I alle fall når det gjelder Chrome, blir ikke HSTS Preload List lastet ned via nettet. I stedet er listen hardkodet i programvaren. Dette betyr at det kan gå måneder før domenet er med i listen som brukes av den stabile utgaven av nettleseren.

Det samme gjelder de tilfeller hvor noen ønsker å fjerne domenet fra listen.

Det er mulig å søke i listen via denne siden. I tillegg er hele listen tilgjengelig her. En leser forteller at han har funnet 159 .no-domener i listen. Mange av disse tilhørerer små og relativt ukjente nettsteder. Leseren påpeker samtidig at flere av de største aktørene i Norge, slik som dnb.no, finn.no og komplett.no, glimrer med sitt fravær.

Leste du denne? Snart kan du få slike advarsler i flere Android-apper. Det er en god ting

Forhåndsregistrering

Det er allerede mulig å forhåndsregistrere .app-domener hos et antall domeneregistrarer, men .app blir først fullt tilgjengelig for registrering den 8. mai.

Les også: Gleder seg over at mesteparten av webtrafikken nå er kryptert

Oppdatert: Informasjonen om hvilke norske nettsteder som er med i listen, har blitt korrigert.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra