CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Dansk kryptologi-forsker peger på, at kritikken af HTTPS-markedet på nogle områder rammer plet. Men kan vi så overhovedet stole på de sikre websider? Få svaret her.

5. december 2014 kl. 11.05
Kim Stensdal Kim Stensdal Teknologiredaktør

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed."

Sådan lyder konklusionen i en rapport, som Computerworld omtalte tidligere på ugen.

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft angriber markedsmodellen bag HTTPS, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Med HTTPS (Hypertext Transfer Protocol Secure) kan man hindre, at andre kigger med, når man indtaster fortrolige oplysninger.

Her er problemet

HTTPS har udviklet sig til en standard for sikker web-browsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS," lyder det gblandt andet fra forskerne.

Hvem godkender virksomhederne bag certifikaterne?

Computerworld har spurgt Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, hvad han siger til kritikken af HTTPS?

"Jeg er sådan set enig i, at der er en problemstilling."

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarer, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lyder det fra kryptologi-forskeren fra Aarhus Universitet.

Kan ét svagt led ødelægge sikkerheden?

De udenlandske sikkerhedsforskere, der kritiserer HTTPS-markedet, begrunder blandt andet kritikken med, at "sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres."

Til det siger Ivan Bjerre Damgård:

"Det er nok en smule overdrevet, at hele systemet pludselig ikke dur, fordi der er en CA'er, der ikke gør det ordentligt."

Han tilføjer dog:

"Det er rigtigt, at hvis du har en lang certifikat-kæde, hvor en CA'er certificerer en anden, der certificerer en tredje, så er det klart, at hele den kæde ikke dur, hvis der er et led i kæden, der er dårligt."

"Men CA'er, der opererer uafhængigt af hinanden og ikke kryds-certificerer hinanden, har jo ikke direkte noget med hinanden at gøre."

Samtidig peger Ivan Bjerre Damgård på, at det er vigtigt at adskille, hvad der har med HTTPS og krypertingsteknologierne at gøre, og hvad der handler om alt muligt andet.

Af samme grund er det ikke givet, at vi hindrer nye problemer, fordi SSL sendes på pension og erstattes af den mere tidssvarende TLS-protokol.

"Nogle af de problemer, vi har set, har ingenting at gøre med den protokol, der bliver brugt eller hvilken version. Det er implementeringsfejl. Så man skal ikke regne med, at fejlene forsvinder."

Et konkret forslag fra professoren lyder dog: 

"Det, der kunne gøre verden lidt bedre, var, hvis man var mere konsekvente i forhold til at gå over til nye versioner af protokoller og ikke var så bange for at komme til at udelukke visse kunder, fordi de eksempelvis kun har en gammel version af Windows og derfor kun kan køre den gamle version af SSL. I virkeligheden er det nok kun en lille brøkdel af trafikken, der ville forsvinde," siger Ivan Bjerre Damgård. 

Kan man stole på HTTPS-sider?

Efter kritikken af HTTPS-systemet, som vi ]skrev om tidligere på ugen, står man dog stadig tilbage med et grundlæggende spørgsmål:

Vi har altid fået at vide, at man var sikker, hvis der bare var et "HTTPS" i øverste venstre hjørne i browsren - holder det råd stadig?

Her lyder svaret fra Ivan Bjerre Damgård:

"Det er altid bedre, hvis det er HTTPS, end hvis det ikke er."

"Hvis der ikke står HTTPS, er virkeligheden, at hvem som helst kan kigge med - alle kan for eksempel se dine dine kreditkortnumre," forklarer Ivan Damgård med henvisning til, hvis man tror man befinder sig på en bestemt webbutik, der så i virkeligheden slet ikke er den butik, man troede, men et fake setup, som kriminelle står bag.

Læs også:

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er det alt for usikkert

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
“Den investering, som jeg dengang foretog i krypto, er blevet mangedoblet. I dag er de 10.000 dollar blevet til 1,4 millioner kroner”
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
Efter ballade: Comm2ig skal levere computere til danske skoler med kæmpeordre til 629 millioner kroner
Afgørelse: Rejsekorts kæmpeaftale med Netcompany og Trifork bliver tvangs-ophævet - stor regning venter
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
MDR: Transparent sikkerhed og overvågning i realtid
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »