Snart forsvinner HTTPS fra nettleseren

7. april 2018 | Erlend Andreas Gjære

Men heldigvis bare i form av den grønne hengelåsen. Og dette er et godt tegn, fordi HTTPS har blitt så vanlig at det blir viktigst å advare om en tilkobling IKKE er kryptert.

Derfor vil Chrome fra juli 2018 vise "Not secure" på alle nettsider som ikke bruker HTTPS, advarselen som hittil har vært forbeholdt sider med skjema og passordfelt:

Kilde: Google Online Security Blog

Samtidig vet vi at svindlere og hackere også har tatt i bruk HTTPS i samme tempo. Årsaken er klar: Den grønne hengelåsen som man enkelt kan vise fram for sluttbrukeren gir et falskt inntrykk av at nettsiden er pålitelig.

HTTPS er i praksis kun en garanti for at tilkoblingen mellom deg og nettsiden du besøker, er kryptert. Dermed kan ikke uvedkommende lese eller manipulere informasjon som du sender og mottar i nettleseren din. Dette var en betydelig risiko på åpne trådløse nettverk, den gang HTTP uten kryptering var standarden.

HTTPS er derimot ingen garanti for at nettsiden du besøker er til å stole på, det kan altså like gjerne være en svindler som står bak. Når Google snakker om at bortimot 70% av trafikk i Chrome går via HTTPS, er dette mye takket være gratis HTTPS-sertifikater fra Let's Encrypt (som nå også utstedes via norske Buypass). Ikke minst blir nettsider uten HTTPS rangert lavere av Google i søkeresultater.

Målet er derfor at Chrome vil slutte å vise den grønne hengelåsen i adresselinjen, uten at de har gitt noen dato for dette.

I stedet vil den bare vise advarsel når tilkoblingen ikke er kryptert:

Med sikkerhetsopplæring i tankene, betyr dette at vi også må bevege oss bort fra rådet om å se etter den grønne hengelåsen og "https" i adresselinjen. Rådet har heller aldri vært perfekt, med tanke på forholdene omkring falsk tillit som nevnt først i innlegget.

Derfor kan vi allerede spørre oss følgende: Er den størst risikoen at noen avlytter trafikken til våre kolleger, når de unntaksvis bruker nettsider uten HTTPS? Eller er det en større risiko for at vi med velment opplæring skaper grunnlag for falsk tillit til ondsinnede nettsider brukt i phishing-angrep.

Heldigvis dytter Chrome i riktig retning, og det er altså et spørsmål om tid før den grønne hengelåsen er historie.

Oppdatering 17. mai 2018: Google bekrefter at den grønne hengelåsen blir svart og nøytral, allerede fra september 2018: https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

 


‒ Sparer tid på sikkerhetshjelp

Se hvordan MailRisk sørger for effektiv bevisstgjøring og oppfølging av mistenkelig e-post blant ansatte i hele virksomheten.

Les om MailRisk hos Tussa →

MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Er du klar for en ny tilnærming til sikkerhetsopplæring for ansatte?

Gå til bloggen →