Säker överföring av data är avgörande för trygg e-handel och utbyte av information på webben. Innan vi skickar kreditkortsuppgifter eller lösenord brukar vi därför kontrollera att det finns ett grönt hänglås i webbläsarens adressfält. Tyvärr kan det gröna hänglåset även ge en falsk trygghet. Det hävdar SSL Stores krypteringsexpert Vincent Lynch.
Kjell & Companys utbildningschef Karl Emil Nikka håller med honom, men de är inte överens om lösningen på problemet.
Karl Emil Nikka är utbildningschef och pressansvarig på Kjell & Company. Han är även författare till nördiga informationsboken "Hur funkar det?". Dessutom har han ett djupt intresse för teknik och IT-säkerhet.
Vad säger det gröna hänglåset?
När webbläsaren visar ett grönt hänglås i adressfältet betyder det att anslutningen till servern är krypterad och autentiserad. Det finns alltså ingen tredje part som kan avlyssna informationen som skickas mellan webbläsaren och webbservern.
Det gröna hänglåset berättar också att webbservern verkligen är den som den utger sig för att vara. Som besökare vet du alltså att du befinner dig på webbsidan som hör till domänen i adressfältet.
När du exempelvis går till Svenska Dagbladets webbsida garanterar din webbläsare dig att du befinner dig just där (svd.se). Detta vet din webbläsare eftersom Svenska Dagbladet har köpt ett certifikat för den domänen och fått sin webbserver verifierad.
Webbläsaren har verifierat att du befinner dig på svd.se. Informationen skickas krypterat.
Den officiella domänen för betalningstjänsten Paypal är paypal.com. Vem som helst kan dock registrera en annan domän som innehåller ordet Paypal (eller använda ordet Paypal som en så kallad subdomän till en annan domän för att få en adress i stil med paypal.com.sweclockers.com). Det är användbart för bedragare som vill sätta upp webbplatser för nätfiske (för att lura av användare deras inloggnings- eller kreditkortsuppgifter).
Bedragarna kan till och med få ett certifikat utfärdat för en bedragardomän, så att besökarnas webbläsare visar gröna hänglås i adressfälten. Besökarnas webbläsare verifierar trots allt bara att de befinner sig på ”rätt” domän (alltså att besökarna befinner sig på till exempel paypal.com.sweclockers.com).
Let’s encrypt
Fram till 2015 var det komplicerat att installera certifikat för webbsidor. Det var dessutom oftast förknippat med höga kostnader. De flesta privata webbsidor och NAS:ar (hemmaservrar för fillagring) saknade därför stöd för krypterade anslutningar.
När Let’s encrypt-projektet lanserades blev det både lätt och kostnadsfritt att ge sin blogg, webbsida eller NAS stöd för krypterade och autentiserade anslutningar. Det innebär i sin tur att vem som helst kan få ett grönt hänglås bredvid adressraden till sin webbsida eller NAS.
Tack vare Let’s encrypt kan du med några få knapptryck få ett eget certifikat till din NAS (exempel ur Synology DSM 6.1).
Organisationen bakom Let’s encrypt kan utfärda certifikat kostnadsfritt tack vare att de har automatiserat hela processen. Automationen har tyvärr även lockat många bedragare till tjänsten.
I artikeln A Call To Let’s Encrypt: Stop Issuing “PayPal” Certificates skriver Vincent Lynch att Let’s encrypt har utfärdat 988 Paypal-relaterade certifikat. Det innebär att 988 webbsidor med ordet Paypal i domännamnet får ett grönt hänglås i adressraden tack vare Let’s encrypt.
Merparten av webbsidorna används med högsta sannolikhet i nätfiskeattacker för att försöka lura Paypal-användare. I dessa fall kommer många användare tolka det gröna hänglåset som en indikation på att anslutningen är säker och att allt är som det ska. Anslutningen är visserligen säker, men den är säker till en webbplats som drivs av bedragare.
Tips! Kontrollera alltid vilken domän du ansluter till. Det spelar ingen roll hur domänen inleds; det viktiga är hur den slutar. Kolla på vad som står precis före toppdomänen (t.ex. precis före .com eller .se). Paypal.com är den rätta domänen. Paypal.com.vadsomhelst.något är fel domän.
Problemet med svartlistning
Jag håller med om att falska och trygghetsingivande hänglås är ett problem, men lösningen som Vincent Lynch föreslår är vansinnig. Han föreslår att Let’s encrypt ska sluta utfärda certifikat för domäner med ordet Paypal i domännamnet.
Det finns tre problem med detta förslag. För det första blir det svårt att bestämma vilka företag, utöver Paypal, som ska finnas på listan över förbjudna ord i domännamn. Ska Visa, Mastercard och Amex finnas med? Ska Klarna finnas med eller är de för små med internationella mått mätt. Alla som har en mobil skickar också betalningsinformation till Google, Apple eller Microsoft. Ska deras varumärken också vara med på listan?
För det andra syftar Let’s encrypt till att göra hela webben krypterad, autentiserad och säker. Ponera att jag vill starta en blogg om hur Paypal kan användas för säkra betalningar på internet. Jag skulle kalla den ”Nikkas Paypal-blogg” och ha det namnet som en del av domännamnet. Skulle Let’s encrypt då neka mig att använda deras tjänst på grund av att domännamnet innehåller ordet Paypal?
Det finns massvis av Apple- och Google-relaterade bloggar med orden Apple respektive Google i domännamnet. Ska Let’s encrypt också neka dessa sajter ”rätten” till säker överföring?
För det tredje skulle en lista över förbjudna ord behöva underhållas. Den hade krävt att fysiska personer svarade på önskemål från företag som ville ha just sina varumärken på listan. Riktiga människor hade också behövt ta besluten och hantera överklaganden. Det hade snabbt lett till stora omkostnader för att driva tjänsten.
Let’s encrypt är kostnadsfritt och måste förbli det. Webben måste likaså bli krypterad och autentiserad. Ifall det är förknippat med kostnader kommer den aldrig att bli det. Let’s encrypt gör 2010-talets hittills största insats för webbsäkerhet och vi bör välkomna den med öppna armar.
Webbläsaren har verifierat att du befinner dig på klarna.com som drivs av Klarna AB. Informationen skickas krypterat.
Jag begriper inte heller varför det skulle vara certifikatutfärdarnas ansvar att övervaka vad webbplatser används till. Undantaget är om de utfärdar certifikat med utökad validering (EV-certifikat).
Sådana certifikat syftar till att även validera företaget eller organisationen bakom domänen. Se exempelvis klarna.com. Där visar adressfältet inte bara ett grönt hänglås utan även namnet på företaget som ligger bakom webbplatsen. Sådana certifikat utfärdas inte av Let’s encrypt. De utfärdar enbart den enklaste typen av certifikat (domänvaliderande certifikat).
Lösningen
Problemet med nätfiske går inte att lösa genom att lägga ansvaret på certifikatutfärdarna (eller på domänregistrerarna för den delen). Framförallt inte med tanke på att certifikatutfärdarna enbart involveras vid uppstarten av sajter och sedan någon enstaka gång per år. En inledningsvis legitim sajt kan senare börja användas för nätfiske. Hur ska certifikatutfärdarna kunna hantera det?
Lösningen på problemet är enligt mig tvådelad. För det första bör alla på nätet använda surfskydd. Det är webbläsarfunktioner som varnar för misstänkta nätfiskesidor. Surfskydden underhålls kontinuerligt och blir allt bättre på att varna för misstänkta attacker.
Google har byggt in sitt surfskydd Google Safe Browsing i Google Chrome och Microsoft har byggt in sin motsvarighet Microsoft Smartscreen i Microsoft Edge. Dessa surfskydd är aktiverade som standard. Många säkerhetssviter från de traditionella antivirusföretagen innehåller också utökade surfskydd.
Den andra delen av lösningen är minst lika viktig. Vi måste lära alla i vår omgivning den egentliga innebörden av det gröna hänglåset i adressfältet. Det gröna hänglåset berättar bara att webbsidan du besöker ligger på domänen som står i adressfältet. Inget annat.
– Karl Emil Nikka
Utbildningschef/Pressansvarig, Kjell & Company
Twitter: @KarlEmilNikka
