Digi.no har i flere år oppmuntret andre nettsteder, spesielt nettsteder som behandler fortrolig informasjon, til å ta i bruk kryptert overføring av innholdet, altså via HTTPS-protokollen. Det har vært et viktig arbeid, mener vi. Men samtidig har det vært litt tungt, siden vi som svar på disse sakene ofte har blitt spurt om hvorfor ikke vi har gjort dette selv.
Årsakene til at det har tatt sånn tid for oss, er sammensatte. Men som en reklamefinansiert nettavis har vi nok møtt noen flere utfordringer enn det som er vanlig for nettsteder som kun har sitt eget innhold på sidene.
Til syvende og sist handler det uansett om prioritering. Det er ikke nødvendigvis så enkelt å selge inn budskapet om at sikkerheten til brukerne er viktigere enn inntektene fra nettavisen.
Dette er noe av årsaken til at det fortsatt er ganske langt mellom nettaviser som leveres over HTTPS.
Endelig også digi.no
I går tok også vi i bruk HTTPS for å sikre leveringen av innholdet vårt.
Det er i utgangspunktet lite på digi.no som tilsier noe behov for at dataoverføringen har behov for å være kryptert. Det eneste måtte være skjule for eventuelle overvåkere hvilke sider hver enkelt leser går inn på.
Men HTTPS beskytter ikke bare mot innsyn. Det utgjør også en delvis garanti om at leserne får levert ekte vare – at de digi.no-sidene de får servert, faktisk stammer fra våre servere, og at artiklene inneholder den informasjonen som vi i digi.no ønsker å presentere.
For selv om falske nyheter nok vanligvis blir produsert og levert med hensikt av utgiverne, er det likevel god grunn til å sikre at ikke uvedkommende kan manipulere nyhetsformidlingen.
Hele mediehuset
Nå gjelder ikke denne nyheten bare digi.no. Også de andre publikasjonene som utgis av Teknisk Ukeblad Media, som TU.no, Tek.no, Gamer.no, Inside Telecom, Våre Veger og Diskusjon.no, leveres nå over HTTPS.
Faktisk var det Diskusjon.no som tok spranget først, for et par uker siden. Der var også behovet størst, siden dette er en tjeneste hvor brukerne i stor grad må logge seg på. Riktignok har det heller ikke tidligere vært slik at brukernavn og passord har blitt sendt i klartekst. Selve innsendelsen av dataene fra innloggingsskjemaet har «alltid» vært kryptert. Men det har likevel ikke vært noen fullgod løsning.
Må også gjøres riktig
Som omtalt flere ganger tidligere, er det ikke nok bare å skru på HTTPS. Det må også konfigureres på en sikker måte. Våre nettsteder oppnår nå karakteren A i SSL-testen til Qualys SSL Labs. Det er mulig å oppnå A+, men det innebærer tiltak som kan hindre at nettstedet ikke fungerer i litt eldre nettlesere.
Foreløpig har vi ikke skrudd på den ekstra sikkerheten som HSTS (HTTP Strict Transport Security) gir. Vi venter en uke eller to med dette, inntil vi har sett at alt fungerer som det skal.
Det er heller ikke slik at det oppsettet vi bruker nå, kan forventes å være tilstrekkelig om et år eller to. De siste årene har vist at mye krypteringsteknologi som tidligere har blitt ansett som sikkert, nokså plutselig ikke er det lenger. Derfor må man jevnlig sjekke om det har «oppstått sprekker i muren».
Den krypterte forbindelsen vår bruker et sertifikat levert av gratistjenesten Let's Encrypt. Dette valget er gjort av vår hostingpartner, trolig primært fordi det er så enkelt å automatisere administrasjonen av sertifikatene fra Let's Encrypt.
Les også: Slik sikrer du nettstedet med HTTPS (Digi Ekstra)