Chrome vil markere alle HTTP-sider som usikre

Illustration: Google Chrome
Når juli-opdateringen til Google Chrome kommer, så vil alle sider, der ikke kører HTTPS, blive markeret som usikre. Størstedelen af dem er det allerede, men Google-holdet sender nu et direkte signal om, at HTTP er forældet og usikkert.

Fra juli 2018 vil Chrome skrive direkte på alle HTTP-sider, at de ikke er sikre.

Sådan vil Chrome vise HTTP-sider fra juli Illustration: Google

Det skriver Emily Schechter, Chrome Security Product Manager, i et blogindlæg.

Chrome gør det allerede på en stor andel af HTTP-siderne, men fra juli vil det altså gælde dem alle.

Læs også: HTTPS-ageddon: Symantec-certifikater på vej ud af Chrome - har du tjek på dit site?

Hjemmesideejere skal derfor fortsat skifte over til HTTPS, og tal fra bloggen viser, at:

  • Over 68 pct. af Chrome-trafik på Android og Windows er beskyttet

  • Over 78 pct. af Chrome-trafik på Chrome OS og Mac er beskyttet

  • 81 af verdens 100 mest besøgte sider bruger HTTPS som standard

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
Christian Schmidt

Hatten af for Google og Let's Encrypt (og deres mange sponsorer). De har en stor del af æren for, at HTTPS på kort tid (næsten) er blevet den nye normal. Selv mange slow movers har efterhånden fået lettet rumpetten.

Næste mål må være krypteret e-mail. Her er forholdene endnu værre, end de var for webtrafik, før HTTPS-bølgen tog fart.

Christian Schmidt

Hvilket så fordrer en digital signatur - noget der jo ligger mindst ti år ude i fremtiden her i landet.


En national løsning er næppe vejen frem. I hvert fald ikke, hvis den ikke baserer sig på udbredte internationale standarder. Gmail, Microsoft Exchange osv. kommer ikke til at understøtte specifikt danske løsninger. Men en officiel dansk CA kunne muligvis være nyttigt i visse sammenhænge (en sådan indgår vist allerede i NemID-systemet, så vidt jeg ved).

Men man skal jo starte et sted. Til at begynde med burde man udrydde ukrypteret SMTP. Der findes en række standarder med det formål (DANE, MTA-STS, REQUIRETLS), men det går sløvt med at få dem udbredt. Men hvis Google beslutter sig for at vise røde advarselslygter i Gmail ud for mails til/fra usikrede e-maildomæner, skal der nok komme fart over feltet.

Og jo, ligesom ved HTTPS baserer de nævnte standarder sig på betroede CA'er, hvilket ikke er helt problemfrit. Men sammenlignet med at sende trafikken ukrypteret over internettet, er det et stort fremskridt.

Christian Schmidt

Hvis der for mange advarsler, begynder folk bare at ignorer alle advarslerne


Jeg er enig i, at de fleste slutbrugerne hverken reagerer på advarslen eller overhovedet forstår, hvad det drejer sig om.

Den egentlige målgruppe for disse advarsler er i virkeligheden webstedejerne, der nu har en grund til at få opgraderet sikkerheden på deres site, så deres site ikke vækker bekymring hos den lille gruppe af brugere, der rent faktisk kigger efter hængelåsikoner og lign.

Povl Hansen

“Der er ingen grund til at sætte fuld-stop skilte op ved t-kryds, folk kører jo alligevel bare ud uden at stoppe op.”

Hvis vi lige ser bort fra, færdselsloven
Ja, hvis der er stop skilte ved alle kryds / t/kryds, så vil de blive ignoreret

Rasmus Larsen

Du er som jeg ser det galt på den, det her er netop præcist det samme som stop skiltene.

Hvis du kigger på hvad den gennemsnitlige bruger navigerer til, vil jeg undre mig hvis der ikke er https på 80-90%. Undtagelserne er typisk nyhedssider, firmasider og lignende.

Så analogien med stop skiltene er netop god:
Når næsten alle de kryds du kører igennem ikke har et stop skilt og du så ligepludselig rammer et kryds der har et stop skilt, så overvejer du hvorfor skiltet er der og bruger måske lige et sekund eller to mere på at orientere dig.

Som jeg ser det er det her netop gennemtænkt fra Googles side, TLS er blevet så udbredt, billigt (gratis i mange tilfælde) og nemt, at det her netop vil motivere de sidste sites. Og mange brugere VIL straffe siderne, især ecommerce sider der kun krypterer deres checkout, vil blive straffet... Og de findes stadig.

Christian Schmidt

90 % af al mailtrafik - cirka iflg mine mailserveres logger, er allerede i dag krypteret, via STARTTLS. Så vi er bedre stillet her end med web.


STARTTLS beskytter mod passiv aflytning, så det er en god start.

STARTTLS yder til gengæld ikke beskyttelse mod aktiv aflytning, fordi

  1. de færreste udgående mailservere tjekker, om serveren i den anden benytter et certifikat, der er udstedt af en betroet CA og matcher serverens hostnavn.

  2. de færreste udgående mailservere bruger DANE eller MTA-STS til at tjekke, om modtageren benytter STARTTLS. Uden dette tjek, kan en man in the middle blot strippe STARTTLS-beskeden fra kommunikation.

Morten Bøgh

Som web-master for 'Søllerød Petanque Klub' (www.sollerodpetanque.dk) finder jeg det her vanskeligt: Enten må medlemmerne holde op med at bruge Google Crome, eller også får de at vide at omgang med klubbens hjemmeside nærmest er kriminelt, og i hvert fald usikker (...er mit Dankort mon i fare?). Og jeg formoder at nogle tusinde andre foreninger ude i Forenings har samme problem

Problemet for Søllerød Petanque Klub er at hjemmesiden oprindeligt er bygget i ’Stones Webwriter’ og efterfølgende rettet via almindeligt klamphuggeri a la HTML for Dummies mv, og at den hostes hos en web-udbyder som indtil videre har gjort meget lidt for at flytte os over i HTTPS verdenen. Trods det udmærkede argument: At HTTPS giver bedre rating hos Google. Dvs. jeg fornemmer ikke at der er nogen der har fokus på at løse det her problem for os. Dvs. det falder tilbage på os amatør web-mastere – som ikke har den store lyst eller tid til at omskrive hjemmesiden med implementering af offentlig og privat nøgle etc.

Bjarne Nielsen

Hvad er formålet med at krybtere en site der henvender sig til offentligheden - uden betalingsløsning?

Med HTTPS kan du være sikker på, at der ikke er nogen man-in-the-middle som modificerer indholdet imellem dig og serveren; f.eks. ved at indsætte fremmede reklamer eller scripts til at mine bitcoins.

Det er særligt vigtigt, hvis du bruger usikker WiFi, men det er i det hele taget en god ide.

Lasse Hillerøe Petersen

Ud over de øvrige argumenter for HTTPS, så vil jeg sige, at hvis jeg var medlem af fx en petanque klub, ville jeg ikke bryde mig om at det kunne komme til offentlighedens kendskab gennem et hackerangreb. ;-)

Derudover, så er det altså ikke raketvidenskab at sætte HTTPS op. Websitet selv behøver du ikke engang gøre noget ved (af den grund, i det mindste), hvis du fx sætter en proxy foran - eller din udbyder gør det.

Hans Schou

Som web-master for 'Søllerød Petanque Klub' (www.sollerodpetanque.dk) finder jeg det her vanskeligt:


Nu er jeg ikke ret skrap til IIS, som jeg kan se din server bruger, men jeg har lige installeret letsencrypt-certifikater på en IIS med letsencrypt-win-simple (LEWS), og det er godt nok nemt. Hvis ikke man gider det, så er det ens egen skyld. Der er ingen undskyldning.

LEWS kan også bruges med nginx på Windows, men der skal man gøre lidt mere selv.

Christian Schmidt

Så længe man ikke finder en bedre løsning på trust omkring certificater gør HTTPS meget lille forskel.


Uddyb?

CAA er et forsøg på at løse problemerne vedr. tillid til den alenlange liste af betroede CA'er, der følger med som standard i alle browsere. Det er nu blevet obligatorisk for CA'er at understøtte CAA.

Det er fortsat (og vil formentlig altid være) svært at beskytte sig mod efterretningstjenesters målrettede aflytning, men det er de færreste af os trods alt udsat for.

Michael Cederberg

Så længe man ikke finder en bedre løsning på trust omkring certificater gør HTTPS meget lille forskel.
Uddyb?

Problemet er at tillid (trust) ikke er en simpel eller binær ting.

Vi er nødt til at lære brugerne at de skal forholde sig aktivt til trust/tillid. For eksempel er det sådan at jeg stoler betydeligt mere når nogen kommer og siger at de er fra det danske skattevæsen end hvis de kommer fra det australske skattevæsen. Men i vores certifikat verden er de stort set ens. En australier ser det nok omvendt. Og certificatet fra en lille baggårdsbutik i den tredje verden ligner også meget.

Jeg så gerne at computere ankom uden nogen root certificater – bortset fra leverandørens (for hvis man bruger computeren, så stoler man på leverandøren af hardware og software). At brugeren som noget af det første skulle tage stilling til hvem de stolede på. Når man så tilgik et website, så fik man at vide at det var untrustet og hvilket root certificat man skulle installere for at websitet blev trustet.

Og når man valgte at installere et givent root certificat, så valgte brugeren også et trust-niveau for root certificatet (fx. ”upålideligt men ok til browsing”, ”verifiseret af den danske stat”, …). Dette trust niveau skulle så dukke op når man brugte certificater signeret af det givne root certificate.

Ovenstående er ikke en komplet beskrivelse af hvordan det kunne hænge sammen (fx er der problemer omkring hvordan man får fat i root certificater). Men ideen er at hver enkelt er nødt til at tænke over hvem han stoler på. Og da vi ikke alle kan rende rundt og verificere alle certificater manuelt, så er vi nødt til at vælge nogen at stole på. Men vi skal selv vælge hvem vi stoler på. Ikke OS eller browser leverandøren.

Det er fortsat (og vil formentlig altid være) svært at beskytte sig mod efterretningstjenesters målrettede aflytning, men det er de færreste af os trods alt udsat for.

Helt enig. Og derfor er hele diskussionen omkring HTTPS everywhere også ret ligegyldig. For i praksis er det svært at lytte med på kommunikationen når den ryger over nettet. Angreb vil gå efter endpoints … med mindre man er en efterretningstjeneste der har adgang til at lytte med mange steder for at få et nogenlunde komplet billede. I stedet burde man lægge ressourcer i at sikre DNS ordentligt. Der er stadigvæk meget at gøre …

Christian Schmidt

Når man så tilgik et website, så fik man at vide at det var untrustet og hvilket root certificat man skulle installere for at websitet blev trustet.

Jeg tror ikke, det er nogen god idé at bede almindelige brugere om at installere rodcertifikater. Den gennemsnitlige bruger er ikke mere kvalificeret end Google, Mozilla, Microsoft og Apple til at tage stilling til CA'ers ordentlighed. De fleste brugere vil trykke OK til hvad som helst, der spærrer vejen for dem. De har brug for hjælp. De teknisk begavede har jo allerede i dag mulighed for at slette alle root-CA'er fra deres browser, men det er der næppe mange, der orker at bøvle med.

Med CAA uddelegerer du ansvaret for at godkende CA'en til ejeren af det website, du besøger. Hvis ikke du har tiltro til websitets ejer, er det jo alligevel ligegyldigt med HTTPS.

For i praksis er det svært at lytte med på kommunikationen når den ryger over nettet.


Ikke hvis du fx bruger WiFi på et hotel, eller hvis din bredbåndsrouter eller andre enheder på lokalnetværket er blevet kompromitteret.

I stedet burde man lægge ressourcer i at sikre DNS ordentligt

Jeg går ud fra, at du tænker på DNSSEC? Ja, man må desværre konstatere, at det går langsomt med udbredelsen, både hos domæneejere og DNS-hostingtjenester og i klientprogrammer/operativsystemer.

Michael Cederberg

Jeg tror ikke, det er nogen god idé at bede almindelige brugere om at installere rodcertifikater. Den gennemsnitlige bruger er ikke mere kvalificeret end Google, Mozilla, Microsoft og Apple til at tage stilling til CA'ers ordentlighed.

Ikke sådan som det ser ud nu. Men hvis det nu var brugervenligt og at de CA’er som man skulle truste ikke var ”Certum”, ”Digicert”, ”GeoTrust”, ”GTE CyberTrust”, etc. men i stedet enheder vi er forvejen kendte … fx kommunen, finanstilsynet, Dansk Idrætsforening, etc.

De fleste brugere vil trykke OK til hvad som helst, der spærrer vejen for dem. De har brug for hjælp.

Vi kommer ikke uden om at folk skal forstå at tillid ikke kan være blind. At de selv er nødt til at tage ansvar. Og jeg tror godt man kan indrette det sådan at de gør det. Så længe de spørgsmål de bliver stillet er til at forstå og det ikke sker så ofte. Sådan er det også i den rigtige verden.

De teknisk begavede har jo allerede i dag mulighed for at slette alle root-CA'er fra deres browser, men det er der næppe mange, der orker at bøvle med.

Det kan man i praksis ikke. For problemet er netop at disse CA’er har udstedt certifikater til et sammensurium af entiteter … der er sjældent sammenhæng mellem størrelse, geolokation, juridisk domæne, funktion, etc. Så jeg er i praksis nødt til at stole på alle CA’er … ellers er det ubrugeligt. Det er et af de grundlæggende problemer med CA’er i dag.

Ikke hvis du fx bruger WiFi på et hotel, eller hvis din bredbåndsrouter eller andre enheder på lokalnetværket er blevet kompromitteret.

Jeg er ganske enig i at der er nogle få sites som jeg bruger hvor nogen kunne være interesseret i at lytte med (fx bank, offentlige myndigheder, butikker, etc.). Men jeg er ganske ligeglad med om kriminelle lytter med på hvad jeg kommunikerer til version2. Det bliver aldrig noget der kan bruges til noget (med mindre man er en efterretningstjeneste).

Vi kan se i USA, at nettets "postbude og fragtmænd" også har en stor appetit på at måtte kigge i pakkerne, og sælge den erhvervede viden videre. Her på vores side af Atlanten er vi formodentlig i nogen grad beskyttet af regler (så meget som kontinentale regler kan beskytte en i den global verden).

I praksis tror jeg de vil være ganske tilfredse med blot at kunne se IP adresser. Hvis man vil undgå det, så skal man i gang med VPN … og så bliver HTTPS mindre vigtigt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017