Vil kreve HTTPS for ny webfunksjonalitet

Mozilla går inn for å presse nettsteder over på sikrere løsninger.

Mozilla vurderer å gjøre sikker overføring av webdata til et krav for at nettsteder skal kunne bruke både ny og noe eksterende webfunksjonalitet i blant annet Firefox i framtiden.
Mozilla vurderer å gjøre sikker overføring av webdata til et krav for at nettsteder skal kunne bruke både ny og noe eksterende webfunksjonalitet i blant annet Firefox i framtiden. Bilde: Kjersti Magnussen
Harald BrombachHarald BrombachNyhetsleder
5. mai 2015 - 07:27

Ifølge Mozilla er det temmelig bred enighet om at alt webinnhold i framtiden bør overføres via en kryptert forbindelse, altså HTTPS (Hypertext Transfer Protocol Secure).

Allerede er man på god vei, da stadig flere tjenester tar i bruk HTTPS. Men stiftelsen ønsker at langt flere tar skritt over. Derfor planlegges det visse pressmidler for å komme dit.

Stor undersøkelse: Dårlig sikring i nettbutikkene 

Utfordringer

Det er en rekke årsaker til at ikke alle nettsteder har gjort det. Kostnader, manglende incitament til å sette i gang, eller tekniske utfordringer, er trolig de vanligste. Den kanskje vanligste av de tekniske utfordringene er at mange nettsteder integrerer eksternt, ikke-kryptert innhold på websidene.

De fleste nettlesere vil blokkere usikkert innhold som blir forsøkt lastet inn på sikre websider, siden dette innholdet svekker sikkerheten. Det er mulig for brukeren å overstyre det hele, men noen tilfredsstillende løsning er det ikke. Derfor velger mange nettsteder å holde seg til HTTP inntil videre.

Etter en periode med diskusjoner i fellesskapet, kunngjorde Mozilla før helgen at stiftelsen har til hensikt å fase ut støtte for usikker HTTP i Firefox. Dette lyder dramatisk, men det er uansett ikke noe som vil skje over natten.

Bedre sikkerhet: Nettbankene skjerpet seg 

Planen

Fullstendig utfasing av HTTP vil det nok uansett ikke bli. Men det kan skje at nettsteder som i dag bruker HTTP, ikke vil fungere like godt i Firefox dersom dette initiativet faktisk gjennomføres.

Tanken er nemlig at fra og med en gitt dato, bør nettlesere slutte å støtte ny webfunksjonalitet levert via HTTP. I tillegg er tanken en gradvis utfasing av den tilgangen ikke-sikre nettsteder har til visse typer nettleserfunksjonalitet.

Dette gjelder i særlig grad funksjonalitet som kan utgjøre en risiko for brukerens sikkerhet og personvern.

Sikkerhetsselskap: – Overdreven frykt for mobilskadevare 

Alternativ

Men Mozilla vurderer også en mildere løsning, som går ut på samtykke fra brukerne for at denne litt risikable funksjonaliteten tas i bruk. Dette er på linje med det som i dag kreves av brukerne for at webapplikasjoner skal kunne kobles til blant kamera og mikrofon.

– Siden målet med denne innsatsen er å sende en beskjed til webutviklerfellesskapet om at sikkerhet er nødvendig, vil vårt arbeid på dette området være mest effektivt dersom det er koordinert på tvers av webfellesskapet. Vi regner med at vi snart kommer noen forslag til W3C WebAppSec Working Group, skriver Richard Barnes, en sikkerhetsleder i Mozilla, i dette blogginnlegget.

Google

Også Google støtter tanken om HTTPS over alt, og Chrome-utviklere har vært inne på de samme tankene som Mozilla, uten at det ser ut til å ha endt med noen formell beslutning. I videoen nedenfor går representanter fra selskapet grundig gjennom hvorfor Google mener at alle nettsteder bør bruke HTTPS.

I mellomtiden bruker selskapet bedre søkemotorrangering for sikre nettsteder som en gulrot. Selskapet har fortsatt en jobb å gjøre på egenhånd, men lover at alle dets annonseprodukter vil kunne leveres via HTTPS innen utgangen av juni i år.

Raskere og sikrere: HTTP/2 er godkjent 

Sertifikater

For brukerne er det særlig tre fordeler ved at nettsteder bruker HTTPS. Den ene er at dataene overføres kryptert, noe som gjør dem vanskeligere å avlytte. Den andre er at krypteringen gjør det vanskelig for uvedkommende å tukle med dataene som overføres. Den tredje er at det er et autentiseringssertifikat tilknyttet HTTPS-forbindelsen som i større eller mindre grad kan garantere at nettstedet er det det gir seg ut for å være.

Mens det er avgjørende at for eksempel en nettbank har et godt sikkerhetshetssertifikat, er det sannsynligvis mindre viktig for de fleste av tjenestene som ennå ikke har tatt i bruk HTTPS. Med HTTP er det uansett ingenting som kan fortelle en at man har blitt ledet til et falsk nettsted, for eksempel ved hjelp av angrep på DNS-serveren som brukeren benytter.

Mens de mest omfattende sikkerhetssertifikatene krever grundig kontroll av aktøren som eier et nettsted, finnes det også betydelig enklere og billigere alternativer tilgjengelig for nettsteder med mer begrensede tillitskrav. Dersom pris er avgjørende, tilbyr aktører som StartSSL og CAcert slike sertifikater helt gratis.

Buypass: Overlat sikkerheten til eksperter

Let's Encrypt

Likevel er det slik at mange opplever det som litt vanskelig å konfigurere nettsteder med HTTPS. Det er gjerne en del trinn som må gjennomføres før det hele fungerer. Derfor har det nylig blitt etablert et initiativ for å gjøre prosessen betydelig enklere.

Dette kalles for Let's Encrypt og har som mål å tilby en løsning som gjør hele denne prosessen langt mer automatisert. Denne løsningen skal gjøres tilgjengelig i løpet av noen måneder. Bak initiativet står blant annet Mozilla, EFF, Cisco og Akamai.

Bakgrunn: – Kryptér hele weben!

 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.