Snart forsvinner HTTPS fra nettleseren

Men heldigvis bare i form av den grønne hengelåsen. Og dette er et godt tegn, fordi HTTPS har blitt så vanlig at det blir viktigst å advare om en tilkobling IKKE er kryptert.

Derfor vil Chrome fra juli 2018 vise "Not secure" på alle nettsider som ikke bruker HTTPS, advarselen som hittil har vært forbeholdt sider med skjema og passordfelt:

Kilde: Google Online Security Blog

Samtidig vet vi at svindlere og hackere også har tatt i bruk HTTPS i samme tempo. Årsaken er klar: Den grønne hengelåsen som man enkelt kan vise fram for sluttbrukeren gir et falskt inntrykk av at nettsiden er pålitelig.

HTTPS er i praksis kun en garanti for at tilkoblingen mellom deg og nettsiden du besøker, er kryptert. Dermed kan ikke uvedkommende lese eller manipulere informasjon som du sender og mottar i nettleseren din. Dette var en betydelig risiko på åpne trådløse nettverk, den gang HTTP uten kryptering var standarden.

HTTPS er derimot ingen garanti for at nettsiden du besøker er til å stole på, det kan altså like gjerne være en svindler som står bak. Når Google snakker om at bortimot 70% av trafikk i Chrome går via HTTPS, er dette mye takket være gratis HTTPS-sertifikater fra Let's Encrypt (som nå også utstedes via norske Buypass). Ikke minst blir nettsider uten HTTPS rangert lavere av Google i søkeresultater.

Målet er derfor at Chrome vil slutte å vise den grønne hengelåsen i adresselinjen, uten at de har gitt noen dato for dette.

I stedet vil den bare vise advarsel når tilkoblingen ikke er kryptert:

Med sikkerhetsopplæring i tankene, betyr dette at vi også må bevege oss bort fra rådet om å se etter den grønne hengelåsen og "https" i adresselinjen. Rådet har heller aldri vært perfekt, med tanke på forholdene omkring falsk tillit som nevnt først i innlegget.

Derfor kan vi allerede spørre oss følgende: Er den størst risikoen at noen avlytter trafikken til våre kolleger, når de unntaksvis bruker nettsider uten HTTPS? Eller er det en større risiko for at vi med velment opplæring skaper grunnlag for falsk tillit til ondsinnede nettsider brukt i phishing-angrep.

Heldigvis dytter Chrome i riktig retning, og det er altså et spørsmål om tid før den grønne hengelåsen er historie.

Oppdatering 17. mai 2018: Google bekrefter at den grønne hengelåsen blir svart og nøytral, allerede fra september 2018: https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

Er du klar for en ny tilnærming til sikkerhetsopplæring for ansatte?

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →