Sikkerhedsekspert: Udvidede HTTPS-certifikater giver ikke den tillid, du betaler for

Det er lige nu tvivlsomt, om 'extended verification' certifikater gør nogen forskel i forhold til at hjælpe brugerne med at forstå, om de kan have tillid til et websted.

Der er to aspekter ved kryptering, men mens kryptering med TLS/SSL til hjemmesider klarer det ene punkt fint, så kniber det med det andet. Og det er tvivlsomt, om den nuværende løsning gør nogen forskel.

I et længere blogindlæg redegør sikkerhedsekspert Troy Hunt for, at de såkaldte 'extended validation' - EV - certifikater næppe fungerer til deres primære formål: At hjælpe brugeren med at fatte tillid til hjemmesiden.

Et almindeligt certifikat til et domæne er udelukkende en garanti for, at det domæne, du kommunikerer med, er det samme, som har købt certifikatet til det pågældende domæne. Det er ikke en garanti for, hvem der står bag.

Det er derfor muligt for svindlere at købe et domæne til en phishing-kampagne, som er krypteret og signeret med et gyldigt certifikat, som både kan skaffes gennem Let's Encrypt, men også fra de kommercielle udbydere.

I sådan et tilfælde vil dét ene aspekt af kryptering være opfyldt: Du kan kommunikere sikkert med hjemmesideserveren, uden andre kan se, hvad der bliver sendt frem og tilbage.

Læs også: Poul-Henning Kamp: »HTTPS-over-det-hele vil tvinge regeringerne til at reagere«

Men det andet aspekt - at verificere, hvem du kommunikerer med - er der ingen garanti for. Det skulle de EV-certifikater rette bod på. Her skal man gennem en proces, hvor udstederen af certifikatet verificerer, at du er den pågældende person. Det kan eksempelvis være ved at bekræfte i forhold til registreringsoplysninger for en virksomhed.

Det er en proces, som er vanskelig at automatisere, og derfor er det også en ydelse, som certifikatudbyderne opkræver ekstra betaling for.

I browseren vises et EV-certifikat typisk ved, at eksempelvis firmanavnet står ved siden af HTTPS-hængelåsen. Men de fleste er ikke klar over, at der er en forskel på, om en side blot er 'sikker' med et almindeligt certifikat, eller om den har et EV-certifikat. Egentlige studier af effekten er der foretaget meget få af, men EV-certifikater bruges ikke på nogen af verdens 10 største websites, påpeger Troy Hunt.

En webshop som Amazon bruger dem eksempelvis ikke, og det samme gælder Google, som ellers er blandt fortalerne for mere udbredt brug af HTTPS og snart i Chrome-browseren vil markere sider uden HTTPS som usikre, hvis de indeholder et formularfelt.

Samtidig kan der ifølge Troy Hunt opstå forvirring hos brugeren, fordi firmanavnet ikke altid stemmer overens med domænenavnet. For version2.dk ville der eksempelvis stå 'Mediehuset Ingeniøren A/S [DK]'. Det kan gøre det svært at afkode, om sådan en uoverensstemmelse er legal eller indikerer svindel.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Johnny Chiang Kejs

Jeg mener ikke denne artikel holder vand. Det er sandsynligvis korrekt at brugerne ikke kender forskel. Men
såfremt “Mediehuset Ingeniøren A/S” kan bevise bevise de ejer retten til “Version2”, er det muligt at få “Version2” til at stå i det grønne felt.
Jeg har flere gange bestilt EV certifikater ved at bevise subbranded er legalt ejet af den virksomhed jeg er ansat i. F.eks. via registreret binavne i CVR registret eller at mit selskab var ejet af et moderselskab, som jeg gerne ville have skulle stå i det grønne felt.
Her ville det klæde Version2 at lave lidt research.

Niels Danielsen

Problemet er at et EV certifikat ikke giver den sikkerhed som en forbruger forventer det giver.
Mig bekendt er der ikke noget der forhindre en person der bor i kina, i at oprette et kinesisk firma med et dansk navn, og at oprette et tilhørende dansk domæne med EV certifikat.
Jeg mener at ’chain of trust’ for vigtige certifikater på nettet skal følge det samme struktur som udstedelse af tilladelser, autorisationer etc. i den fysiske verden.
Forbrugeren skal f.eks. kunne se at domænet har et gyldigt ’CVR’ certifikat udstedt af Erhvervsstyrelsen. Hvis certifikatet til ’Super sko’ er kinesisk udstedt så ved man at der er ugler i mosen.
Det burde kunne automatiseres fuldstændig (og laves gratis) fra det offentlige side da vi i Danmark har digital registreringer af alt, og at borgere og firmaer kan bevise deres indentitet online.
Udstedelse kan f.eks. foretages ved at logge ind med NemID, og aflevere et certificate signing request. Derefter kan certifikatet periodisk opdateres via. ACME så længe at CVR nummeret er aktivt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder