Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Dansk kryptologi-forsker peger på, at kritikken af HTTPS-markedet på nogle områder rammer plet. Men kan vi så overhovedet stole på de sikre websider? Få svaret her.

Artikel top billede

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed."

Sådan lyder konklusionen i en rapport, som Computerworld omtalte tidligere på ugen.

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft angriber markedsmodellen bag HTTPS, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Med HTTPS (Hypertext Transfer Protocol Secure) kan man hindre, at andre kigger med, når man indtaster fortrolige oplysninger.

Her er problemet

HTTPS har udviklet sig til en standard for sikker web-browsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS," lyder det gblandt andet fra forskerne.

Hvem godkender virksomhederne bag certifikaterne?

Computerworld har spurgt Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, hvad han siger til kritikken af HTTPS?

"Jeg er sådan set enig i, at der er en problemstilling."

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarer, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lyder det fra kryptologi-forskeren fra Aarhus Universitet.

Kan ét svagt led ødelægge sikkerheden?

De udenlandske sikkerhedsforskere, der kritiserer HTTPS-markedet, begrunder blandt andet kritikken med, at "sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres."

Til det siger Ivan Bjerre Damgård:

"Det er nok en smule overdrevet, at hele systemet pludselig ikke dur, fordi der er en CA'er, der ikke gør det ordentligt."

Han tilføjer dog:

"Det er rigtigt, at hvis du har en lang certifikat-kæde, hvor en CA'er certificerer en anden, der certificerer en tredje, så er det klart, at hele den kæde ikke dur, hvis der er et led i kæden, der er dårligt."

"Men CA'er, der opererer uafhængigt af hinanden og ikke kryds-certificerer hinanden, har jo ikke direkte noget med hinanden at gøre."

Samtidig peger Ivan Bjerre Damgård på, at det er vigtigt at adskille, hvad der har med HTTPS og krypertingsteknologierne at gøre, og hvad der handler om alt muligt andet.

Af samme grund er det ikke givet, at vi hindrer nye problemer, fordi SSL sendes på pension og erstattes af den mere tidssvarende TLS-protokol.

"Nogle af de problemer, vi har set, har ingenting at gøre med den protokol, der bliver brugt eller hvilken version. Det er implementeringsfejl. Så man skal ikke regne med, at fejlene forsvinder."

Et konkret forslag fra professoren lyder dog: 

"Det, der kunne gøre verden lidt bedre, var, hvis man var mere konsekvente i forhold til at gå over til nye versioner af protokoller og ikke var så bange for at komme til at udelukke visse kunder, fordi de eksempelvis kun har en gammel version af Windows og derfor kun kan køre den gamle version af SSL. I virkeligheden er det nok kun en lille brøkdel af trafikken, der ville forsvinde," siger Ivan Bjerre Damgård. 

Kan man stole på HTTPS-sider?

Efter kritikken af HTTPS-systemet, som vi ]skrev om tidligere på ugen, står man dog stadig tilbage med et grundlæggende spørgsmål:

Vi har altid fået at vide, at man var sikker, hvis der bare var et "HTTPS" i øverste venstre hjørne i browsren - holder det råd stadig?

Her lyder svaret fra Ivan Bjerre Damgård:

"Det er altid bedre, hvis det er HTTPS, end hvis det ikke er."

"Hvis der ikke står HTTPS, er virkeligheden, at hvem som helst kan kigge med - alle kan for eksempel se dine dine kreditkortnumre," forklarer Ivan Damgård med henvisning til, hvis man tror man befinder sig på en bestemt webbutik, der så i virkeligheden slet ikke er den butik, man troede, men et fake setup, som kriminelle står bag.

Læs også:

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er det alt for usikkert

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Netcompany A/S

    Network Engineer

    Københavnsområdet

    PlanBørnefonden

    Full Stack Developer

    Københavnsområdet

    Capgemini Danmark A/S

    AI Data Architect

    Københavnsområdet

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics