Artikel top billede

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikker

Den ekstremt udbredte protokol til sikre internet-tjenester, HTTPS, rummer en række alvorlige og grundlæggende sårbarheder, advarer sikkerhedsforskere.

En række sikkerhedsforskere angriber HTTPS-protokollen, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Det er forskere fra universitetet i Amsterdam og i Delft, der står bag en længere rapport om HTTPS-markedet.

Her skriver de blandt andet, at HTTPS (Hypertext Transfer Protocol Secure) har udviklet sig til en de fakto standard for sikker web-browsing.

"På samme tid har meget omtalte sikkerhedsbrister - som DigiNotars databrud, Apples #gotofail og OpenSSL's Heartbleed - blottet systematiske sikkerheds-sårbarheder i HTTPS for et globalt publikum," skriver forskerne og nævner samtidig, at også Edward Snowdens afsløringer har påvist overvågnings-huller i HTTPS.

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed," står der i rapport.

Derfor er der klare problemer

HTTPS, der er HTTP-protokollen i forening med SSL/TLS, skal blandt andet hindre man-in-the-middle-angreb, men det er ikke første gang, at denne sikkerheds-model kritiseres.  

Det er allerede et par månederne siden, at forskerne fra Holland fremlagde deres resultater, men netop i disse dage kører debatten om HTTPS på flere forskellige sikkerheds-fora, blandt andet på bloggen hos den anerkendte sikkerhedsekspert og kryptograf Bruce Schneier.

Det skyldes ikke mindst, at sikkerhedsforskerne peger på, at det er i selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, at sikkerheden halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

Fire grundlæggende problemer

Forskerne peger her på fire grunlæggende problemer ved det måde, HTTPS-markedet kører på i dag:

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS:"

"Sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres ("det svageste led"); browserne kan ikke ikke tilbagekalde tilliden til store CA'er ("for stor til at fejle"), CA'er kan skjule sikkerheds-problemer ("asymmetrisk information"), og ultimativt rammes kunder og slutbrugere af ansvaret og skaderne ved sikkerheds-problemer ("negative eksterne virkninger").

Computerworld følger op på sagen senere med et interview med en dansk sikkerhedsforsker. 

Læs også:

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til NIS2 - indhold, krav og konsekvenser

På dagen vil du både få et koncentreret, fokuseret overblik over de juridiske aspekter og de krav, du vil skulle leve op til. Du går også hjem med praktisk viden fra eksperter, der arbejder med NIS2-compliance på både det tekniske og organisatoriske niveau.

28. februar 2024 | Læs mere


Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Vi dykker ned i, hvordan du finder den perfekte pasform for netop din virksomhed. Vi ser på, hvordan du kan imødekomme jeres behov for fleksibilitet og hurtig udvikling, samtidig med at håndtere udfordringerne ved cloud-tjenester.

29. februar 2024 | Læs mere


Faldgruber og forberedelser når du skal implementere Dynamics 365 FO

På dette webinar stiller vir skarpt på overvejelser, forberedelser, forretning og faldgruber, så din virksomhed får det bedste udgangspunkt for jeres Dynamics 365-implementering. Du bliver også klogere på at håndtere master data, som er et af de absolut vigtigste områder i ethvert ERP-projekt, og på hvorfor Dynamics 365 FO er en del af et samlet cloud-transformationsprojekt.

29. februar 2024 | Læs mere