Der er to aspekter ved kryptering, men mens kryptering med TLS/SSL til hjemmesider klarer det ene punkt fint, så kniber det med det andet. Og det er tvivlsomt, om den nuværende løsning gør nogen forskel.
I et længere blogindlæg redegør sikkerhedsekspert Troy Hunt for, at de såkaldte 'extended validation' - EV - certifikater næppe fungerer til deres primære formål: At hjælpe brugeren med at fatte tillid til hjemmesiden.
Et almindeligt certifikat til et domæne er udelukkende en garanti for, at det domæne, du kommunikerer med, er det samme, som har købt certifikatet til det pågældende domæne. Det er ikke en garanti for, hvem der står bag.
Det er derfor muligt for svindlere at købe et domæne til en phishing-kampagne, som er krypteret og signeret med et gyldigt certifikat, som både kan skaffes gennem Let's Encrypt, men også fra de kommercielle udbydere.
I sådan et tilfælde vil dét ene aspekt af kryptering være opfyldt: Du kan kommunikere sikkert med hjemmesideserveren, uden andre kan se, hvad der bliver sendt frem og tilbage.
Men det andet aspekt - at verificere, hvem du kommunikerer med - er der ingen garanti for. Det skulle de EV-certifikater rette bod på. Her skal man gennem en proces, hvor udstederen af certifikatet verificerer, at du er den pågældende person. Det kan eksempelvis være ved at bekræfte i forhold til registreringsoplysninger for en virksomhed.
Det er en proces, som er vanskelig at automatisere, og derfor er det også en ydelse, som certifikatudbyderne opkræver ekstra betaling for.
I browseren vises et EV-certifikat typisk ved, at eksempelvis firmanavnet står ved siden af HTTPS-hængelåsen. Men de fleste er ikke klar over, at der er en forskel på, om en side blot er 'sikker' med et almindeligt certifikat, eller om den har et EV-certifikat. Egentlige studier af effekten er der foretaget meget få af, men EV-certifikater bruges ikke på nogen af verdens 10 største websites, påpeger Troy Hunt.
En webshop som Amazon bruger dem eksempelvis ikke, og det samme gælder Google, som ellers er blandt fortalerne for mere udbredt brug af HTTPS og snart i Chrome-browseren vil markere sider uden HTTPS som usikre, hvis de indeholder et formularfelt.
Samtidig kan der ifølge Troy Hunt opstå forvirring hos brugeren, fordi firmanavnet ikke altid stemmer overens med domænenavnet. For version2.dk ville der eksempelvis stå 'Mediehuset Ingeniøren A/S [DK]'. Det kan gøre det svært at afkode, om sådan en uoverensstemmelse er legal eller indikerer svindel.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
