Krönika: "Lita på det gröna hänglåset?"

Krönika: "Lita på det gröna hänglåset?"

Det gröna hänglåset i webbläsaren är bra, men kan invagga användare i falsk trygghet. Det menar gästkrönikören Karl Emil Nikka, och presenterar samtidigt möjliga lösningar på problemet.

Säker överföring av data är avgörande för trygg e-handel och utbyte av information på webben. Innan vi skickar kreditkortsuppgifter eller lösenord brukar vi därför kontrollera att det finns ett grönt hänglås i webbläsarens adressfält. Tyvärr kan det gröna hänglåset även ge en falsk trygghet. Det hävdar SSL Stores krypteringsexpert Vincent Lynch.

Kjell & Companys utbildningschef Karl Emil Nikka håller med honom, men de är inte överens om lösningen på problemet.

Karl Emil Nikka är utbildningschef och pressansvarig på Kjell & Company. Han är även författare till nördiga informationsboken "Hur funkar det?". Dessutom har han ett djupt intresse för teknik och IT-säkerhet.

Vad säger det gröna hänglåset?

När webbläsaren visar ett grönt hänglås i adressfältet betyder det att anslutningen till servern är krypterad och autentiserad. Det finns alltså ingen tredje part som kan avlyssna informationen som skickas mellan webbläsaren och webbservern.

Det gröna hänglåset berättar också att webbservern verkligen är den som den utger sig för att vara. Som besökare vet du alltså att du befinner dig på webbsidan som hör till domänen i adressfältet.

När du exempelvis går till Svenska Dagbladets webbsida garanterar din webbläsare dig att du befinner dig just där (svd.se). Detta vet din webbläsare eftersom Svenska Dagbladet har köpt ett certifikat för den domänen och fått sin webbserver verifierad.

https_dv_svd@2x.png

Webbläsaren har verifierat att du befinner dig på svd.se. Informationen skickas krypterat.

Den officiella domänen för betalningstjänsten Paypal är paypal.com. Vem som helst kan dock registrera en annan domän som innehåller ordet Paypal (eller använda ordet Paypal som en så kallad subdomän till en annan domän för att få en adress i stil med paypal.com.sweclockers.com). Det är användbart för bedragare som vill sätta upp webbplatser för nätfiske (för att lura av användare deras inloggnings- eller kreditkortsuppgifter).

Bedragarna kan till och med få ett certifikat utfärdat för en bedragardomän, så att besökarnas webbläsare visar gröna hänglås i adressfälten. Besökarnas webbläsare verifierar trots allt bara att de befinner sig på ”rätt” domän (alltså att besökarna befinner sig på till exempel paypal.com.sweclockers.com).

Let’s encrypt

Fram till 2015 var det komplicerat att installera certifikat för webbsidor. Det var dessutom oftast förknippat med höga kostnader. De flesta privata webbsidor och NAS:ar (hemmaservrar för fillagring) saknade därför stöd för krypterade anslutningar.

När Let’s encrypt-projektet lanserades blev det både lätt och kostnadsfritt att ge sin blogg, webbsida eller NAS stöd för krypterade och autentiserade anslutningar. Det innebär i sin tur att vem som helst kan få ett grönt hänglås bredvid adressraden till sin webbsida eller NAS.

https_lets_encrypt_synology@2x.png

Tack vare Let’s encrypt kan du med några få knapptryck få ett eget certifikat till din NAS (exempel ur Synology DSM 6.1).

Organisationen bakom Let’s encrypt kan utfärda certifikat kostnadsfritt tack vare att de har automatiserat hela processen. Automationen har tyvärr även lockat många bedragare till tjänsten.

I artikeln A Call To Let’s Encrypt: Stop Issuing “PayPal” Certificates skriver Vincent Lynch att Let’s encrypt har utfärdat 988 Paypal-relaterade certifikat. Det innebär att 988 webbsidor med ordet Paypal i domännamnet får ett grönt hänglås i adressraden tack vare Let’s encrypt.

Merparten av webbsidorna används med högsta sannolikhet i nätfiskeattacker för att försöka lura Paypal-användare. I dessa fall kommer många användare tolka det gröna hänglåset som en indikation på att anslutningen är säker och att allt är som det ska. Anslutningen är visserligen säker, men den är säker till en webbplats som drivs av bedragare.

Tips! Kontrollera alltid vilken domän du ansluter till. Det spelar ingen roll hur domänen inleds; det viktiga är hur den slutar. Kolla på vad som står precis före toppdomänen (t.ex. precis före .com eller .se). Paypal.com är den rätta domänen. Paypal.com.vadsomhelst.något är fel domän.

Problemet med svartlistning

Jag håller med om att falska och trygghetsingivande hänglås är ett problem, men lösningen som Vincent Lynch föreslår är vansinnig. Han föreslår att Let’s encrypt ska sluta utfärda certifikat för domäner med ordet Paypal i domännamnet.

Det finns tre problem med detta förslag. För det första blir det svårt att bestämma vilka företag, utöver Paypal, som ska finnas på listan över förbjudna ord i domännamn. Ska Visa, Mastercard och Amex finnas med? Ska Klarna finnas med eller är de för små med internationella mått mätt. Alla som har en mobil skickar också betalningsinformation till Google, Apple eller Microsoft. Ska deras varumärken också vara med på listan?

För det andra syftar Let’s encrypt till att göra hela webben krypterad, autentiserad och säker. Ponera att jag vill starta en blogg om hur Paypal kan användas för säkra betalningar på internet. Jag skulle kalla den ”Nikkas Paypal-blogg” och ha det namnet som en del av domännamnet. Skulle Let’s encrypt då neka mig att använda deras tjänst på grund av att domännamnet innehåller ordet Paypal?

Det finns massvis av Apple- och Google-relaterade bloggar med orden Apple respektive Google i domännamnet. Ska Let’s encrypt också neka dessa sajter ”rätten” till säker överföring?

För det tredje skulle en lista över förbjudna ord behöva underhållas. Den hade krävt att fysiska personer svarade på önskemål från företag som ville ha just sina varumärken på listan. Riktiga människor hade också behövt ta besluten och hantera överklaganden. Det hade snabbt lett till stora omkostnader för att driva tjänsten.

Let’s encrypt är kostnadsfritt och måste förbli det. Webben måste likaså bli krypterad och autentiserad. Ifall det är förknippat med kostnader kommer den aldrig att bli det. Let’s encrypt gör 2010-talets hittills största insats för webbsäkerhet och vi bör välkomna den med öppna armar.

https_ev_klarna@2x.png

Webbläsaren har verifierat att du befinner dig på klarna.com som drivs av Klarna AB. Informationen skickas krypterat.

Jag begriper inte heller varför det skulle vara certifikatutfärdarnas ansvar att övervaka vad webbplatser används till. Undantaget är om de utfärdar certifikat med utökad validering (EV-certifikat).

Sådana certifikat syftar till att även validera företaget eller organisationen bakom domänen. Se exempelvis klarna.com. Där visar adressfältet inte bara ett grönt hänglås utan även namnet på företaget som ligger bakom webbplatsen. Sådana certifikat utfärdas inte av Let’s encrypt. De utfärdar enbart den enklaste typen av certifikat (domänvaliderande certifikat).

Lösningen

Problemet med nätfiske går inte att lösa genom att lägga ansvaret på certifikatutfärdarna (eller på domänregistrerarna för den delen). Framförallt inte med tanke på att certifikatutfärdarna enbart involveras vid uppstarten av sajter och sedan någon enstaka gång per år. En inledningsvis legitim sajt kan senare börja användas för nätfiske. Hur ska certifikatutfärdarna kunna hantera det?

Lösningen på problemet är enligt mig tvådelad. För det första bör alla på nätet använda surfskydd. Det är webbläsarfunktioner som varnar för misstänkta nätfiskesidor. Surfskydden underhålls kontinuerligt och blir allt bättre på att varna för misstänkta attacker.

Google har byggt in sitt surfskydd Google Safe Browsing i Google Chrome och Microsoft har byggt in sin motsvarighet Microsoft Smartscreen i Microsoft Edge. Dessa surfskydd är aktiverade som standard. Många säkerhetssviter från de traditionella antivirusföretagen innehåller också utökade surfskydd.

Den andra delen av lösningen är minst lika viktig. Vi måste lära alla i vår omgivning den egentliga innebörden av det gröna hänglåset i adressfältet. Det gröna hänglåset berättar bara att webbsidan du besöker ligger på domänen som står i adressfältet. Inget annat.

– Karl Emil Nikka
Utbildningschef/Pressansvarig, Kjell & Company
Twitter: @KarlEmilNikka

Kommentarer till artikeln

31 debattinlägg

Skicka en rättelse
17

Galleri: Egentillverkat tangentbord från medlemmen Felion1337

Medlemmen Felion1337 bygger ett eget tangentbord från botten upp med modifierade Cherry MX Silent-brytare, i jakten på ett tyst mekaniskt tangentbord i minimalistisk formfaktor. Läs mer

34

Blizzard upphör med stöd för Windows XP och Windows Vista

Trots att Microsoft själva officiellt avslutat stödet för både Windows XP och Vista har Blizzard behållit stöd för operativsystemen i ett flertal spel, nu bekräftar Blizzard att det är slut med det. Läs mer

70

Varumärkesansökan av Nintendo pekar på ett Nintendo 64 Classic Edition

En användare på forumet Neogaf har upptäckt en varumärkesansökan på vad som verkar vara den klassiska spelkontrollen för Nintendo 64, vilket kan antyda att en revision av konsolen är på gång. Läs mer

4

Arctics trio av vattenkylare får stöd för AMD Ryzen Threadripper

Lanseringsdatumet för AMD:s mångkärniga processorer i Threadripper-serien närmar sig och samtidigt dyker fler uppgifter om kylare upp. Läs mer

28

Moderkort i Mini ITX-format från Gigabyte för sockel AM4 når svenska butiker

Några månader efter lanseringen av AMD Ryzen är det fortfarande glest i lagren när det kommer till ITX-moderkort för AMD:s nya sockel AM4. Nu blir det ändring på det när Gigabyte äntrar scenen. Läs mer

39

Microsoft bekräftar avslutat stöd för Intels Clover Trail-familj

Kort efter att inkompatibilitet mellan äldre Intel-processorer och senaste uppdateringen för Windows 10 uppdagats, bekräftar Microsoft att den är permanent. Läs mer

24

EagleTree Capital i förhandlingar om att köpa Corsair Components

Anonyma källor till Reuters gör gällande att investeringsbolaget EagleTree Capital befinner sig i förhandlingar om att köpa amerikanska Corsair Components. Läs mer

34

Microsoft introducerar kortare nedtid vid uppdateringar med Fall Creators Update

Med lanseringen av uppdateringen Fall Creators Update väntas kortare nedtid vid uppdateringar eftersom bolaget stuvar om uppdateringsprocessen. Läs mer

32

Testpilot: Komplett Gamer Xtreme a70

För den kräsne gamern som bara vill starta upp datorn och börja lira står numera även AMD på menyn hos Komplett. Testpiloten Simon Alling granskar prestandapaketet Gamer Xtreme a70. Läs mer

12

Alphabet återupplivar AR-glasögonen Google Glass med fokus på företag

Moderbolaget till Google visar upp nya modellen av AR-glasögonen Glass som går under namnet Enterprise Edition, vilka är tänkta att öka produktionen och effektiviteten på industrigolvet. Läs mer

16

Fulkultur om Zelda i våra hjärtan

Zelda-universumet har funnits i drygt 31 år, som under den tiden resulterat i ett antal speltitlar. Häng med när Andreas Eklöv och Jakob Nilsson dyker ner i Zeldas långa historia. Läs mer

24

Samsung växlar upp produktionstakten av HBM2-minne

HBM har länge dragits med problem som höga priser och låga kapaciteter, något Samsung försöker råda bot på med ökad produktion av minnestypen. Läs mer