Den gröna hänglåsikonen i URL-fältet är inte längre en symbol du kan lita på

Green Padlock Icon

I flera år har du ständigt fått höra att inte ange din privata information på en webbplats som inte har ett grönt hänglås i adressfältet. Några av er har följt detta råd, och några av er inte, men har du någonsin undrat vad det här gröna hänglåset står för och hur det fungerar?

Även om webbläsare som Google Chrome nu långsamt avvecklar det (orsakerna till detta kommer att bli uppenbara om en minut), är det gröna hänglåset fortfarande universellt erkänt som ett tecken på att webbplatsen du tittar på har ett SSL-certifikat och laddas under HTTPS. Detta innebär i sin tur att all information som kommer från och går till webbplatsen är krypterad och är säker från Man-in-the-Middle-attacker.

Tillbaka på dagen hade experter en annan anledning att varna dig för att inte ange dina data på webbplatser som inte laddades via HTTPS. SSL-certifikat utfärdas av certifikatutfärdare (CA) som brukade ta ut flera hundra dollar per år för dem. Förutsägbart var svindlare inte beredda att skicka ut den här typen av pengar för att få deras phishing-sidor att se mer ut som de verkliga, och även om de hade varit det, skulle de ha misslyckats med att klara några av de manuella kontrollerna som gjordes under dessa dagar. Med andra ord, riktiga Amazon-inloggningsformulär hade gröna lås och falska inte. Detta är tyvärr inte längre fallet.

Framväxten av gratis SSL-certifikat och deras inverkan på internet

Tyvärr var inte skurkarna de enda som inte kunde dirigera sina webbplatser via HTTPS. SSL-certifikat var för dyra för många legitima webbplatsägare, vilket innebar att en hel del onlinebutiker lämnade sina kunders data exponerade. Något måste göras.

2014 inrättades en ny CA med namnet Let's Encrypt som började erbjuda SSL-certifikat helt gratis. Internet gillade idén.

Let's Encrypt lämnade officiellt Beta i april 2016 när det stolt meddelade att antalet certifikat som det hade utfärdat höll på cirka 1,7 miljoner. Bara fjorton månader senare fanns det mer än 100 miljoner Let's Encrypt-certifikat.

Gratis SSL-certifikat erbjuds nu också av andra CA: er, och på grund av dem blir HTTPS normen snarare än undantaget. I augusti sa säkerhetsspecialisten Scott Helme att mer än hälften av Alexa Top 1 Millions webbplatser för första gången någonsin laddades under HTTPS. Denna förskjutning har uppmanat webbläsarförsäljare att dike den gröna låsikonen och ersätta den med ett större "Icke-säkert" -tecken när en sida inte laddas under HTTPS. Hänglåset är verkligen inte så användbart som det brukade vara.

Nästan 50% av alla phishing-sidor laddas nu via HTTPS

Framväxten av gratis SSL-certifikat är en av de goda saker som hände med världen nyligen. Även om de inte är ett universalmedel har de gjort det möjligt för mindre onlineleverantörer att inte bara överleva utan trivas, och just nu har till och med de mest grundläggande HTML-webbplatserna ingen ursäkt för att köra under HTTP.

Tyvärr, om SSL-certifikat är gratis och lätta att installera för legitima webbplatsägare, är de gratis och lätta att installera också för bedragare. I själva verket berättade PhishLabs, ett företag för hotintelligens och begränsning, till Brian Krebs att mycket nästan hälften (cirka 49%) av alla phishing-sidor som det upptäckte under tredje kvartalet i år laddades under HTTPS. Detta, säger PhishLabs på Twitter, ökade från 35% under andra kvartalet och 33% under första kvartalet.

Skrynkarna ställer aktivt in SSL-certifikat på sina bluffsidor, delvis för att det är lätt att göra och kostar dem ingenting, och delvis på grund av de förändringar som webbläsarsäljare genomför. De inser att användarna är mycket mindre benägna att ge bort sin personliga information till en webbplats som laddas under en synlig "icke-säker" varning.

Vad kan vi göra åt det?

Betyder det att webbläsarsäljarnas beslut att flytta bort från det gröna hänglåset är ett stort misstag? Nej, det gör det inte. Det enkla faktumet är att låsikonen aldrig kommer att vara så användbar som tidigare. Om det stannar kommer det inte att påverka den nuvarande situationen, för om svindlarna bestämmer sig för att de behöver det får de bara ett gratis SSL-certifikat.

Bör vi inte bli av med gratis SSL-certifikat, då? Nej, det borde vi inte. Att neka leverantörerna möjligheten att skydda sina kunders data gratis kommer att vara ett enormt hopp bakåt och kommer att sätta miljoner människors personliga information under allvarligt hot. Det vi behöver göra istället är att lära så många användare som möjligt vad HTTPS är.

HTTPS är inte en indikator på pålitlighet. Om den inte finns kan du vara ganska säker på att webbplatsen du tittar inte ska lita på, men även om den är där kanske du fortfarande tittar på en bedrägeri. Det finns andra faktorer som du bör vara mer uppmärksam på.

January 3, 2020

Lämna ett svar