"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed."
Sådan lyder konklusionen i en rapport, som Computerworld omtalte tidligere på ugen.
Sikkerhedsforskere fra universitetet i Amsterdam og i Delft angriber markedsmodellen bag HTTPS, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.
Med HTTPS (Hypertext Transfer Protocol Secure) kan man hindre, at andre kigger med, når man indtaster fortrolige oplysninger.
Her er problemet
HTTPS har udviklet sig til en standard for sikker web-browsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.
Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.
"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS," lyder det gblandt andet fra forskerne.
Hvem godkender virksomhederne bag certifikaterne?
Computerworld har spurgt Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, hvad han siger til kritikken af HTTPS?
"Jeg er sådan set enig i, at der er en problemstilling."
"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."
Ivan Bjerre Damgård forklarer, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.
"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"
"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lyder det fra kryptologi-forskeren fra Aarhus Universitet.
Kan ét svagt led ødelægge sikkerheden?
De udenlandske sikkerhedsforskere, der kritiserer HTTPS-markedet, begrunder blandt andet kritikken med, at "sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres."
Til det siger Ivan Bjerre Damgård:
"Det er nok en smule overdrevet, at hele systemet pludselig ikke dur, fordi der er en CA'er, der ikke gør det ordentligt."
Han tilføjer dog:
"Det er rigtigt, at hvis du har en lang certifikat-kæde, hvor en CA'er certificerer en anden, der certificerer en tredje, så er det klart, at hele den kæde ikke dur, hvis der er et led i kæden, der er dårligt."
"Men CA'er, der opererer uafhængigt af hinanden og ikke kryds-certificerer hinanden, har jo ikke direkte noget med hinanden at gøre."
Samtidig peger Ivan Bjerre Damgård på, at det er vigtigt at adskille, hvad der har med HTTPS og krypertingsteknologierne at gøre, og hvad der handler om alt muligt andet.
Af samme grund er det ikke givet, at vi hindrer nye problemer, fordi SSL sendes på pension og erstattes af den mere tidssvarende TLS-protokol.
"Nogle af de problemer, vi har set, har ingenting at gøre med den protokol, der bliver brugt eller hvilken version. Det er implementeringsfejl. Så man skal ikke regne med, at fejlene forsvinder."
Et konkret forslag fra professoren lyder dog:
"Det, der kunne gøre verden lidt bedre, var, hvis man var mere konsekvente i forhold til at gå over til nye versioner af protokoller og ikke var så bange for at komme til at udelukke visse kunder, fordi de eksempelvis kun har en gammel version af Windows og derfor kun kan køre den gamle version af SSL. I virkeligheden er det nok kun en lille brøkdel af trafikken, der ville forsvinde," siger Ivan Bjerre Damgård.
Kan man stole på HTTPS-sider?
Efter kritikken af HTTPS-systemet, som vi ]skrev om tidligere på ugen, står man dog stadig tilbage med et grundlæggende spørgsmål:
Vi har altid fået at vide, at man var sikker, hvis der bare var et "HTTPS" i øverste venstre hjørne i browsren - holder det råd stadig?
Her lyder svaret fra Ivan Bjerre Damgård:
"Det er altid bedre, hvis det er HTTPS, end hvis det ikke er."
"Hvis der ikke står HTTPS, er virkeligheden, at hvem som helst kan kigge med - alle kan for eksempel se dine dine kreditkortnumre," forklarer Ivan Damgård med henvisning til, hvis man tror man befinder sig på en bestemt webbutik, der så i virkeligheden slet ikke er den butik, man troede, men et fake setup, som kriminelle står bag.
Læs også:
Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er det alt for usikkert
Guide: Sådan gør du din hjemmeside sikker med HTTPS
Sådan kommer dit website sikkert til tops i Google-søgninger
