Det grønne hængelåsikon i URL-linjen er ikke længere et symbol, du kan stole på

Green Padlock Icon

I årevis har du konstant fået besked om ikke at indtaste dine private oplysninger på et websted, der ikke har en grøn hængelås i adresselinjen. Nogle af jer har holdt øje med dette råd, og andre har I ikke, men har du nogensinde spekuleret på, hvad denne grønne hængelås står for, og hvordan det fungerer?

Selvom browsere som Google Chrome nu langsomt udfase det (grundene til dette vil blive synlige om et minut), anerkendes den grønne hængelås stadig universelt som et tegn på, at det websted, du ser, har et SSL-certifikat og indlæses under HTTPS. Dette betyder igen, at al information, der kommer fra og går til webstedet, er krypteret og er sikker mod Man-in-the-Middle-angreb.

Tilbage i dag havde eksperter en anden grund til at advare dig om ikke at indtaste dine data på websteder, der ikke blev indlæst via HTTPS. SSL-certifikater udstedes af certifikatmyndigheder (CA'er), der plejede at opkræve flere hundrede dollars om året for dem. Forudsigeligt var svindlere ikke parat til at udskille denne form for penge for at få deres phishing-sider til at ligne mere på den rigtige ting, og selvom de havde været det, ville de have undladt at bestå nogle af de manuelle kontroller, der blev udført i disse dage. Med andre ord havde ægte Amazon-loginformularer grønne låse, og falske lå ikke. Dette er desværre ikke længere tilfældet.

Fremkomsten af gratis SSL-certifikater og den indflydelse, de havde på internettet

Desværre var ikke skurkerne de eneste, der undlader at rute deres websteder gennem HTTPS. SSL-certifikater var også for dyre for mange legitime webstedsejere, hvilket betød, at en hel del online-butikker lod deres kunders data blive eksponeret. Noget måtte gøres.

I 2014 blev der oprettet en ny CA ved navn Let's Encrypt, der begyndte at tilbyde SSL-certifikater helt gratis. Internettet kunne lide idéen.

Lad os kryptere officielt forladt Beta i april 2016, da det stolt meddelte, at antallet af certifikater, det havde udstedt, svævede omkring 1,7 millioner. Bare fjorten måneder senere var der mere end 100 millioner Let's Encrypt-certifikater.

Gratis SSL-certifikater tilbydes nu også af andre CA'er, og på grund af dem er HTTPS ved at blive normen snarere end undtagelsen. I august sagde sikkerhedsspecialisten Scott Helme , at for første gang nogensinde, blev over halvdelen af Alexa Top 1 Million-websider indlæst under HTTPS. Dette skift har bedt browserudbydere om at grøfte det grønne låseikon og erstatte det med et større "Ikke-sikkert" -skilt, når en side ikke indlæses under HTTPS. Hængelåsen er faktisk ikke så tæt på som nyttig, som den plejede at være.

Næsten 50% af alle phishing-sider er nu indlæst via HTTPS

Fremkomsten af gratis SSL-certifikater er en af de gode ting, der er sket for verden for nylig. Selvom de ikke er et universalmiddel, har de gjort det muligt for mindre online-leverandører ikke kun at overleve, men trives, og lige nu har selv de mest basale HTML-websteder ikke en undskyldning for at køre under HTTP.

Desværre, hvis SSL-certifikater er gratis og lette at konfigurere til legitime webstedsejere, er de gratis og lette at konfigurere også for svindlere. Faktisk fortalte PhishLabs, et trusselsudviklings- og afhjælpningsfirma, Brian Krebs, at meget næsten halvdelen (ca. 49%) af alle phishing-sider, det registrerede i tredje kvartal af dette år, blev indlæst under HTTPS. Dette, sagde PhishLabs på Twitter, er fra 35% i 2. kvartal og 33% i løbet af første kvartal.

Skurkerne opsætter aktivt SSL-certifikater på deres fidussider, dels fordi det er let at gøre og koster dem intet, og dels på grund af de ændringer, som browsersælgere implementerer. De er klar over, at brugere er langt mindre tilbøjelige til at give væk deres personlige oplysninger til et websted, der er indlæst under en synlig "Ikke-sikker" advarsel.

Hvad kan vi gøre ved det?

Betyder det, at browserudbyders beslutning om at flytte væk fra den grønne hængelås er en enorm fejltagelse? Nej, det gør det ikke. Den enkle kendsgerning er, at låseikonet aldrig vil være så nyttigt, som det før var. Hvis det forbliver, vil det ikke have nogen indflydelse på den aktuelle situation, for hvis svindlerne beslutter, at de har brug for det, får de bare et gratis SSL-certifikat.

Bør vi ikke slippe af med gratis SSL-certifikater, da? Nej, det skulle vi ikke. At nægte leverandører muligheden for at beskytte deres kunders data gratis vil være et massivt spring bagud og vil sætte millioner af menneskers personlige oplysninger under alvorlig trussel. Det, vi i stedet skal gøre, er at lære så mange brugere som muligt, hvad HTTPS er.

HTTPS er ikke en indikator for pålidelighed. Hvis det ikke er til stede, kan du være temmelig sikker på, at det websted, du ser, ikke skal have tillid til, men selvom det er der, ser du muligvis stadig på et fidus. Der er andre faktorer, som du skal være nærmere opmærksom på.

January 3, 2020

Efterlad et Svar