Artikel top billede

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikker

Den ekstremt udbredte protokol til sikre internet-tjenester, HTTPS, rummer en række alvorlige og grundlæggende sårbarheder, advarer sikkerhedsforskere.

En række sikkerhedsforskere angriber HTTPS-protokollen, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Det er forskere fra universitetet i Amsterdam og i Delft, der står bag en længere rapport om HTTPS-markedet.

Her skriver de blandt andet, at HTTPS (Hypertext Transfer Protocol Secure) har udviklet sig til en de fakto standard for sikker web-browsing.

"På samme tid har meget omtalte sikkerhedsbrister - som DigiNotars databrud, Apples #gotofail og OpenSSL's Heartbleed - blottet systematiske sikkerheds-sårbarheder i HTTPS for et globalt publikum," skriver forskerne og nævner samtidig, at også Edward Snowdens afsløringer har påvist overvågnings-huller i HTTPS.

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed," står der i rapport.

Derfor er der klare problemer

HTTPS, der er HTTP-protokollen i forening med SSL/TLS, skal blandt andet hindre man-in-the-middle-angreb, men det er ikke første gang, at denne sikkerheds-model kritiseres.  

Det er allerede et par månederne siden, at forskerne fra Holland fremlagde deres resultater, men netop i disse dage kører debatten om HTTPS på flere forskellige sikkerheds-fora, blandt andet på bloggen hos den anerkendte sikkerhedsekspert og kryptograf Bruce Schneier.

Det skyldes ikke mindst, at sikkerhedsforskerne peger på, at det er i selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, at sikkerheden halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

Fire grundlæggende problemer

Forskerne peger her på fire grunlæggende problemer ved det måde, HTTPS-markedet kører på i dag:

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS:"

"Sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres ("det svageste led"); browserne kan ikke ikke tilbagekalde tilliden til store CA'er ("for stor til at fejle"), CA'er kan skjule sikkerheds-problemer ("asymmetrisk information"), og ultimativt rammes kunder og slutbrugere af ansvaret og skaderne ved sikkerheds-problemer ("negative eksterne virkninger").

Computerworld følger op på sagen senere med et interview med en dansk sikkerhedsforsker. 

Læs også:

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere