Fra næste år vil Google Chrome sladre om alle ukrypterede hjemmesider

Alle hjemmesider, der ikke bruger kryptering, vil i løbet af næste år blive markeret som usikre af Google Chrome.

En lille grøn hængelås ved siden af URL’en, og et ‘S’ bagved det velkendte HTTP.

Hvis din browser indeholder de to elementer, betyder det, at du befinder dig på en krypteret og dermed sikker hjemmeside.

Læs også: En million websider benytter stadig svag SHA-1 kryptering

Fra begyndelsen af næste år vil Google Chrome gøre dig opmærksom på, hver gang du befinder dig på en side, som derimod ikke indeholder den grønne lås og det lille ‘s’ - og dermed ikke er sikker. Det skriver Vice Motherboard.

Google indleder dermed en kamp mod de ukrypterede hjemmesider.

Motherboard fortæller, at Google allerede i begyndelsen af i år hintede mod en sådan plan - dog uden at gå i detaljer. Ved den lejlighed udtalte Parisa Tabriz, som står i spidsen for Googles sikkerhedshold, at det var deres intention at udpege hjemmesider, der kun benytter HTTP, som usikre.

Læs også: Google afprøver HTTPS-kryptering sikret mod fremtidens kvantecomputere

Den plan blev i går konkretiseret.

Indsatsen udrulles i etaper, således at det i begyndelsen kun vil være ukrypterede hjemmesider, der kræver kortoplysninger eller passwords, som får advarselslamperne til at blinke i Google Chrome. Rent praktisk vil de blive markeret som ‘usikre’ i adressefeltet.

Besøger du fra januar næste år en ukrypteret hjemmeside i Google Chrome, som beder om password eller kortoplysninger, vil den blive markeret som usikker. (*Grafik: Google)* Illustration: Google

Derefter, Google har ikke udtalt præcis hvornår, vil det gælder alle websites, som ikke benytter sig af TLS-kryptering, ligesom en tilsvarende rød advarselstrekant vil overtage feltet, hvor den grønne hængelås markerer de sikre sider.

Læs også: Google strammer reglerne for Chrome Web Store

Emily Schechter, som er Chrome security product manager hos Google, forklarer til Motherboard, at den største bekymring ved at indfase advarslerne for alle HTTP-sider med det samme er, at man ikke har ønsket at drukne brugerne i advarsler. Hvis de får en advarsel om et besøg på en usikker side alt for ofte, vil den store mængde advarsler nemlig potentielt gøre, at brugerne blot vil ignorere dem.

»Vi planlægger helt bestemt at markere alle HTTP-sider som usikre på et tidspunkt. Men vi har virkelig ønsket at være forsigtige omkring det, og vi har ønsket at gøre det på den rigtige måde,« fortæller Emily Schechter til Motherboard.

Google fortæller, at omkring hver anden side, der bliver besøgt på Google Chrome i dag, er krypteret. Derfor kommer man også med udmeldingen nu, således at flere hjemmesider kan nå at optimere deres sikkerhed frem mod næste år og dermed nedbringe mængden af advarsler, som brugeren vil få smidt i hovedet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Oldrup

Jeg har for nyligt skiftet webhotel til diverse hobby/forenings-websites. Til min overraskelse udsteder og fornyer webhotellet pr automatik 2048 bit certifikater til alle de tilknyttede domæner. Inkluderet i prisen. Det viste sig meget enklere at implementere end ventet - to klik i WordPress, en stump htaccess redirect af hensyn til eksisterende links og vupti - grøn hængelås på alle sites. Performance tager et lille hit, men svartider stadig komfortabelt under et sekund.

  • 2
  • 0
Esben Damgaard

Det er meningen det skal være "belastende" så du netop sætter automatiserede scripts op. Det er alligevel den eneste rigtige måde at gøre det på da man alt for ofte ser folk glemme at opdaterer deres certifikater og så virker hjemmesiden ikke.

  • 4
  • 0
Morten Nielsen

Hvor har du fundet et web hotel med SSL, uden at det bliver et dyrt 'business' hotel?

Dem er der nu en del af. Fx. tilbyder one.com et gratis og vedligeholdelsesfrit SSL-certifikat ved køb af deres mindste produkt til 14 kr./mnd. Det synes jeg da ikke er dyrt.

  • 1
  • 0
Leif Neland

Dr kan ikke finde ud af at kryptere.

Fra https://dr.dk er der mange billeder og links på http://dr.dk og andre ukrypterede steder. Når der linkes til blandet indhold, får siden ikke den grønne hængelås, fordi der er blandet krypteret og ukrypteret.

Jeg har fortalt webdesignerne at de skal undlade at skrive protokollen, men bare skrive //dr.dk, så bruges den protokol, siden er loaded med, altså, ikke "http://asset.dr.dk/..." men "//asset.dr.dk/...".

Men dr svarer blot:

Vores WEB-afdeling har set på sagen og siger at alt er som det skal være, det er kun vores tv-sider der skal være https.

Suk...

  • 1
  • 0
Log ind eller Opret konto for at kommentere