Fram til rundt 2003/2004 var det bare mulig å bruke domenenavn som inneholdt bokstavene a til z, samt en håndfull andre tegn. Men så ble IDN (Internationalized Domain Name) innført, noe som åpnet opp for domenenavn som inneholder tegn fra helt andre tegnsett. Dermed ble domenenavn som blåbærsyltetøy.no gjort mulig.
Men denne støtten for mange ulike tegnsett og alfabeter er ikke uten fallgruver. For eksempel er det flere av bokstavene i det latinske alfabetet som ser identiske ut som bokstaver i andre alfabeter, men som likevel ikke er det samme tegnet.
Et eksempel på dette er kyrilliske «а» (U+0430), som ikke er det samme tegnet som latinske «a» (U+0041). Men å se forskjell på dem, det er knapt mulig.
Bakgrunn: ÆØÅ-støtte, ikke sånn helt uten videre
аррӏе.com eller apple.com?
Dette kan utnyttes av kriminelle i forbindelse med phishingangrep. For eksempel kan nettleserbrukere lokkes til å besøke аррӏе.com i stedet for apple.com. I den første versjonen av domenenavnet er alle bokstavene byttet ut med kyrilliske bokstaver.
Nå er ikke аррӏе.com en phishing-siden, men en side opprettet for å demonstrere problemet. Så man ser tydelig at det ikke er Apple man har kommet til. Men i de fleste nettlesere er det ingenting annet som ved første øyekast tyder på at man ikke har kommet til rett sted.
Det hele er kjent som et homografisk angrep. Stort sett alle nettlesere har en viss beskyttelse mot dette, ved at domenenavnene vises som Punycode i stedet for i den egentlig Unicode-formen. Skriver vi for eksempel аpple.com, hvor bare det første bokstaven er byttet ut med en kyrillisk bokstav, vil det i stedet stå «xn--pple-43d.com» i adressefeltet til nettleseren.
Stopper ikke alt
Men som man ser av det første eksemplet, er det hull i dette forsvaret i flere nettlesere.
Den kinesiske sikkerhetsforskeren Xudong Zheng påpekte i forrige uke at i de fleste nettlesere, i alle fall i Chrome, Firefox og Opera, bare viser domenenavnet som Punycode dersom domenenavnet består av bokstaver fra flere ulike tegnsett.
Men dersom hele domenenavnet er skrevet med det samme tegnsettet, vil det ikke bli vist som Punycode.
Google har bekreftet problemet og omtaler det her og lover at det vil bli utbedret i Chrome 58, som skal komme i neste uke senere i dag.
Mozilla ser fortsatt ut til å diskutere problemet, men enkelte i debatten mener at det er domeneregisterne som må ta ansvaret for dette problemet.
Verken Internet Explorer, Edge eller Safari har vanligvis det samme problemet, fordi nettleserne tar utgangspunkt i enten hvitelister eller brukerens språkinnstillinger for å avgjøre om domenenavnet skal vises som Unicode eller Punycode. Kyrillisk og gresk er ikke blant de hvitelistede alfabetene.
Derfor vises kyrilliske аррӏе.com som xn--80ak6aa92e.com i blant annet Internet Explorer.
Les også: Let's Encrypt har utstedt tusenvis av sertifikater til rene phishingsider