Søg

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Dansk kryptologi-forsker peger på, at kritikken af HTTPS-markedet på nogle områder rammer plet. Men kan vi så overhovedet stole på de sikre websider? Få svaret her.

5. december 2014 kl. 11.05
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed."

Sådan lyder konklusionen i en rapport, som Computerworld omtalte tidligere på ugen.

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft angriber markedsmodellen bag HTTPS, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Med HTTPS (Hypertext Transfer Protocol Secure) kan man hindre, at andre kigger med, når man indtaster fortrolige oplysninger.

Her er problemet

HTTPS har udviklet sig til en standard for sikker web-browsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS," lyder det gblandt andet fra forskerne.

Hvem godkender virksomhederne bag certifikaterne?

Computerworld har spurgt Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, hvad han siger til kritikken af HTTPS?

"Jeg er sådan set enig i, at der er en problemstilling."

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarer, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lyder det fra kryptologi-forskeren fra Aarhus Universitet.

Kan ét svagt led ødelægge sikkerheden?

De udenlandske sikkerhedsforskere, der kritiserer HTTPS-markedet, begrunder blandt andet kritikken med, at "sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres."

Til det siger Ivan Bjerre Damgård:

"Det er nok en smule overdrevet, at hele systemet pludselig ikke dur, fordi der er en CA'er, der ikke gør det ordentligt."

Han tilføjer dog:

"Det er rigtigt, at hvis du har en lang certifikat-kæde, hvor en CA'er certificerer en anden, der certificerer en tredje, så er det klart, at hele den kæde ikke dur, hvis der er et led i kæden, der er dårligt."

"Men CA'er, der opererer uafhængigt af hinanden og ikke kryds-certificerer hinanden, har jo ikke direkte noget med hinanden at gøre."

Samtidig peger Ivan Bjerre Damgård på, at det er vigtigt at adskille, hvad der har med HTTPS og krypertingsteknologierne at gøre, og hvad der handler om alt muligt andet.

Af samme grund er det ikke givet, at vi hindrer nye problemer, fordi SSL sendes på pension og erstattes af den mere tidssvarende TLS-protokol.

"Nogle af de problemer, vi har set, har ingenting at gøre med den protokol, der bliver brugt eller hvilken version. Det er implementeringsfejl. Så man skal ikke regne med, at fejlene forsvinder."

Et konkret forslag fra professoren lyder dog: 

"Det, der kunne gøre verden lidt bedre, var, hvis man var mere konsekvente i forhold til at gå over til nye versioner af protokoller og ikke var så bange for at komme til at udelukke visse kunder, fordi de eksempelvis kun har en gammel version af Windows og derfor kun kan køre den gamle version af SSL. I virkeligheden er det nok kun en lille brøkdel af trafikken, der ville forsvinde," siger Ivan Bjerre Damgård. 

Kan man stole på HTTPS-sider?

Efter kritikken af HTTPS-systemet, som vi ]skrev om tidligere på ugen, står man dog stadig tilbage med et grundlæggende spørgsmål:

Vi har altid fået at vide, at man var sikker, hvis der bare var et "HTTPS" i øverste venstre hjørne i browsren - holder det råd stadig?

Her lyder svaret fra Ivan Bjerre Damgård:

"Det er altid bedre, hvis det er HTTPS, end hvis det ikke er."

"Hvis der ikke står HTTPS, er virkeligheden, at hvem som helst kan kigge med - alle kan for eksempel se dine dine kreditkortnumre," forklarer Ivan Damgård med henvisning til, hvis man tror man befinder sig på en bestemt webbutik, der så i virkeligheden slet ikke er den butik, man troede, men et fake setup, som kriminelle står bag.

Læs også:

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er det alt for usikkert

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Statens IT

    HCI Specialist – Netværkssikkerhed & Firewall

    Sydjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    SAP logistikproces specialist til Forsvarsministeriet Materiel- og indkøbsstyrelsen

    Københavnsområdet

    Lessor Group

    Business Analyst for our Danløn Scrum team

    Københavnsområdet

    Netcompany A/S

    IT Consultant

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter. Nyt job

    Morten Plannthin Lund

    Industriens Pension

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Netip A/S har pr. 1. november 2025 ansat Kristian Kveiborg Yde som BI-konsulent ved netIP's kontor i Thisted. Han er uddannet med en Cand.merc. i økonomistyring. Nyt job

    Kristian Kveiborg Yde

    Netip A/S

    Kasper Helverskov Petersen, er pr. 15. september 2025 ansat hos Immeo som Consultant. Han er nyuddannet i Mathematical Modelling and Computation fra DTU. Nyt job

    Kasper Helverskov Petersen

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsoft sænker cloud-priserne i Danmark markant: "Jeg kan næsten ikke tro det"
    2 Stor bilforhandler med 350 ansatte i Danmark ramt af cyberangreb: Tyder på, at hackere fik adgang til data
    3 Regeringen vil forbyde VPN-tjenester: For at forhindre udenlandsk streaming
    4 TDC fik tildelt opgave til 480 millioner – 27 timer senere blev aftalen annulleret
    5 Apple klar med vigtig iPhone-opdatering som du bør hente snarest: Her er det nye look og de nye features
    6 En ny ChatGPT er sluppet løs: Derfor er den så meget bedre
    7 Morgen-briefing: Apple lapper to alvorlige sikkerhedshuller - både iPhones og iPads er berørt / Vandskade får Danske Spils app og hjemmeside til at gå i sort / Google risikerer at få indefrosset 800 millioner ovenpå russisk dom
    8 Slut med Messenger på pc’en: Brugere tvinges over til mobilen eller Facebooks hjemmesider

    Se seneste uge