nrk.no

HTTPS-status i Norge – oversikten

Kategori: Journalistikk

Foto: Espen Andersen / NRK

Ved hjelp av åpen kildekode, litt bistand fra en nerd i et annet land, prøving og feiling har vi fått laget en interaktiv og søkbar oversikt over status for HTTPS-bruk for nesten 10 000 domener eid av offentlige etater i Norge.

make update_httpsjetzt

og

make publish

De to kommandoene er alt som skal til for å skanne 11 926 domener på nytt, bearbeide dataene og bygge den interaktive oversikten som ei nettside med ferske opplysninger.

Dermed kan vi på NRKbeta vise fram hele bakgrunnen for journalistikken rundt sikre tilkoblinger for nettsteder til innbyggerne.

I månedsskiftet mars/april lagde nrk.no flere saker om nettsikkerhet. Fokuset var HTTPS-bruk på nettsteder drevet av det offentlige i Norge.

Sakene hadde noen eksempler på nettsteder som manglet HTTPS, og noen eksempler på dårlig oppsatt eller vedlikeholdt HTTPS. Noe som kunne ha innvirkning på sikkerheten for nettbrukere.

Bak sakene lå en gjennomgang av 11 926 domener eid av offentlige etater og virksomheter. Den store mengden informasjon ble dog bare vist fram som tall og grafer i sakene.

Se gjerne også noen av nyhetssakene:

Fin løsning laget for å følge opp Det hvite hus-krav

Men samtidig som vi jobbet med innspurten for nyhetssakene om HTTPS-bruk i forrige runde kom vi over hvordan ståa var i USA.

I USA har Det hvite hus bestemt at alle føderale nettsteder skal ha HTTPS-tilkobling innen utgangen av 2016.

For å følge opp hvor langt unna man er å oppfylle dette kravet for nettsteder med .gov-adresse lagde derfor det interne konsulentkontoret 18F en lur liten løsning. Løsningene domain-scan og pulse henter først inn data ved hjelp av ulike skanningsteknikker for så å vise dem fram i en forståelig form på ei interaktiv nettside ( the pulse of the federal .gov webspace ).

Åpen kildekode

Journalisten som lagde sakene om HTTPS-bruk i det offentlige er ikke utvikler og har ingen utdannelse eller spesielle kurs i koding. Likevel er interessen der for det tekniske.

Så da vi oppdaget at hele løsningen som amerikanerne brukte lå ute på Github meldte nysgjerrigheten seg: Kan dette også lages for Norge uten altfor mye jobb?

Det ble sendt av gårde en e-post til en av de amerikanske utviklerne:

As I see the Pulse solution are built entirely in the open I started considering to make a clone to track the Norwegian government sites. How much code would have to be changed if I try it as an experiment?

Svaret var at det nok kunne være litt jobb, men at det skulle la seg gjøre. For han visste at en tysker hadde laget en versjon for Tyskland.

Hjelpen fra Tyskland

Vi tok derfor en titt på den tyske versjonen – https.jetzt! Et navn som rett og slett oversatt til norsk betyr https.nå!

Og som den observante leser kan ha lagt merke til helt i toppen av denne saken, ligger fortsatt det tyske ordet jetzt igjen i kommandoen vi kjører for å oppdatere vår egen oversikt.

Den tyske utgaven viste seg å være mer rendyrket i den retningen vi var ute etter. Dermed valgte vi å lage en klone eller fork som det visst heter i programmeringsverdenen.

Etter en liten stund stod vi dog fast med en del uforståelige feilmeldinger.

Mannen bak den tyske utgaven, Maximilian Richt / @robbi5, var veldig hyggelig og hjelpsom på e-post. Så med litt hjelp til å komme over en del mystiske feilmeldinger var vi på god vei igjen.

Til tross en del kunnskapshull har vi klart å lage en norsk versjon ved å tilpasse våre datasett noe og tilpasse koden for løsningen noe.

Å lage denne oversikten hadde ikke vært mulig uten den åpne kildekoden lagt ut på nettet av 18F/GSA og @robbi5, eller hyggelige mennesker som orker svare på noen spørsmål på e-post.

Derfor velger vi selv å åpent legge ut både vår versjon av koden og domenelisten som et datasett:

  • pulse (norway)
  • norway-gov-domains
    (Oppdatert: Domenelisten ble tatt ned fra Github sommeren 2016 etter ønske fra Norid som med henvisning til Åndsverksloven mente at listen som baserer seg på data fra blant annet dem ikke kunne ligge ute)

NRK jobber med innføring av sikker, kryptert tilkobling over HTTPS for våre nettjenester. I dag er det HTTPS på tv.nrk.noradio.nrk.nonye yr.nonrkbeta.no og nrk.no/03030. Det pågår et aktivt arbeid for å innføre teknologien også for resten av nettstedet.

Under ser dere siste status basert på våre skanninger
(det må her bemerkes at det er litt forskjell i denne sjekken fra den forrige – siden denne skanneren blant annet aktivt sjekker domenene både med og uten www foran):

22 kommentarer

  1. Godt jobbet med algoritmen som sjekker https, men er usikker på hvor relevant https faktisk er slik som det blir beskrevet.
    Https handler stort sett om sikker tilkobling ved hjelp av godkjente sertifikater, http er ikke nødvendigvis usikkert, ettersom ulike sikkerhetsmekanismer kan implementers i nettsiden selv om den ikke benytter seg av https.
    Et lite poeng å skille mellom er også hva som trenger å være sikkert; feks har ikke skatteetaten.no et sikkerhetssertifikat som er godkjent til https, men fra og med innlogging, som inneholder viktig person informasjon, så kjøres https. blir dette tatt i betraktning av søke algoritmen?

    Vil også bare nevne at nrk.no ikke benytter https (selv om nrkbeta gjør) 😉

    Svar på denne kommentaren

    • Øyvind Bye Skille (NRK) (svar til Student)

      Hei! Du har rett i at HTTPS ikke løser alt. Det løser sikring i transporten av dataene mellom brukerne og de ulike nettjenestene og tydelig merking av at du er på den ekte siden. Vi har derfor forsøkt å ta med i de fleste sakene om dette at HTTPS ikke nødvendigvis sikrer mot andre typer angrep, og har også laget en sak nå nettopp om JavaScript-sårbarheter
      nrk.no/dokumentar/offentlige-nettsteder-kan-brukes-til-a-svindle-eller-angripe-deg-1.12937902
      Det er en del diskusjon om hva som trenger å være sikret med HTTPS. Difi f.eks. anbefaler per i dag først slik sikring hvis nettstedet har innlogging eller behandler personopplysninger/sensitive opplysninger.
      Rent teknisk er det dog en sikkerhetsmessig utfordring ved løsninger som der etater har hovedside på HTTP, og deretter HTTPS først ved klikk til innlogginsløsning som f.eks. IDporten. I slike tilfeller vil en mulig angriper f.eks. på et åpent hotell- eller flyplassnettverk kunne lure bruker med en falsk eller manipulert side på det riktige domenet til etaten levert over HTTP. I en eventuell manipulert side kan da lenken som skulle gått til en sikker løsning være byttet ut med en angrepsside som ser helt lik ut, men i stedet samler inn informasjon til angriper.

    • En VPN fikser i vertfal problemet med og vere på usikra netverk. Personlig bruker jeg https://www.privateinternetaccess.com Men skule gjerne hat en sikelig vurdering fra en ekspert på vilken på markede er best. det er ikke alle VPN selskaper som er like mye og stole på. Nå har denne et bra rykte på seg. Jeg har bort imot les grundig igjenom alle som fins på markede som har samme standar som privateinternetaccess. Hadde vert nytig med en sikelig artikel på tema, fra en som vet hva man skal være obs på.

    • Øyvind Bye Skille (NRK) (svar til Thomas)

      Hei Thomas! Ja, det er planer for å få HTTPS på http://www.nrk.no. NRK jobber aktivt for å innføre HTTPS for hele nettstedet, og forhåpentligvis er det på plass i løpet av våren. Så langt har vi HTTPS på tv.nrk.no, radio.nrk.no, beta.yr.no, nrkbeta.no og nrk.no/03030.

  2. Knut Erik Lippert

    Det må være noen feil i deres oversikt.

    Det finnes to Sande kommune i Norge.

    Når jeg tester vårt domene sande-ve.kommune.no mot http://www.ssllabs.com så får jeg en A- rating. Svelvik kommune får A. Og slik har vi vel hatt det nå i minst et halvt år. I deres oversikt har vi ikke https.

    Svar på denne kommentaren

    • Øyvind Bye Skille (NRK) (svar til Knut Erik Lippert)

      Hei Knut Erik!
      I oversikten vår er domenet sande-ve.kommune.no ført opp med HTTPS, at dere har all trafikk på HTTPS og at dere faktisk også har satt på HSTS (HTTP Strict Transport Security)
      nrkbeta.no/https-norge/https/city/domains/#q=sande-ve.kommune.no
      Bra jobba!
      Oversikten er dessverre ikke helt optimal i alle tilfeller der det er snakk om gruppering av data for domenene. Alle domener som slutter på .kommune.no mangler i vårt datasett detaljerte data om eier siden de ikke ligger domenedatabasen til Norid. Dataene vi fikk fra KS gir info om domenene, men ikke like mange detaljer. Dermed er det ikke sikkert de kommer opp i grupperingen på domeneeieren «Sande kommune» riktig. I tillegg har vi en liten bug som gjør at klikk på tallet for hvilke domener en kommune/virksomhet eier for de lokale og regionale virksomhetene ikke fungerer. Det er en kjent bug som vi jobber med:
      github.com/byeskille/pulse/

    • Knut Erik Lippert (svar til Øyvind Bye Skille)

      Takk for svar.

      Utfordringen er at folk flest som vil kontrollere sin «egen» kommune slik dere oppfordrer til søker på kommune og ikke domene. Gjør de et søk på f.eks. Svelvik får de beskjed om at kommunen ikke bruker https, noe den jo gjør.

      For oss som er opptatt av omdømme, i tillegg til sikkerhet, er det litt dumt. Folk flest leser ikke bug-meldinger på Github. Dere burde hatt en tydelig beskjed om at systemer fungerer dårlig for kommune-domener og oppfordret til å bruke domenesøket.

    • Bård Aase (svar til Simen)

      Hvis du skal kunne vite at den informasjonen kommer fra etaten den utgir seg å komme fra, trenger en https, ja.

    • Henrik Gundersen (svar til Bård Aase)

      Dette er vel en heller forenkler forklaring? Standard HTTPS/TLS sertifikat 2.0 tilbyr ikke autentisering av nettsiden eller dens innhold. Hvem som helst kan kjøpe et HTTPS/TLS sertifikat for et domene uten å legge igjen så mye som et fornavn til rundt 20 dollar i året. Derimot tilbyr standard HTTPS/TLS 2.0 «end-2-end» kryptering som gjør data som sendes fra klienten til serveren (og omvendt) sikker.

      Man ser gjerne organisasjonsnavn i høyre hjørne av URL-baren på nettsteder driftet av bank og finansinstitusjoner. Dette er derimot en tilleggspakke for HTTPS som ikke gir noe annen sikkerhet enn å verifisere eier av domenet.

      Med andre ord kan HTTPS uten eiervalidering gi en falsk trygghet dersom man havner inn på ondsinnede nettsteder.

  3. Hvis man kjører SSLlabs-test mot skatteetaten.no så får man opp at den ikke støtter TLS 1.2 som i følge ssllabs er den eneste sikre protokollen.

    Stortinget.no får F/stryk da det er sårbart for Poodle-attack.

    Disse resultatene kommer ikke fram av deres tester og det er synd da det gir et misvisende resultat. Sidene har HTTPS ja, men man kan ikke stole på siden likevel fordi de er sårbare.

    Svar på denne kommentaren

    • Øyvind Bye Skille (NRK) (svar til Gunnar)

      Hei Gunnar!
      At noen har HTTPS, men har dårlige eller utdaterte oppsett er et faktum. Dette dekket vi ganske bredt i månedsskiftet mars/april, og kunne da fortelle at 102 domener fikk karakteren F
      nrk.no/dokumentar/xl/1.12859753
      Etter å ha funnet disse resultatene varslet NRK alle de 102, og over halvparten har nå rettet opp mye
      nrk.no/dokumentar/over-50-nettsteder-fikset-etter-nrk-saker-1.12939125

      Vi har gjort slike tester, men vi har valgt å ikke eksponere alle detaljene i den åpne oversikten. Dette er gjort blant annet fordi vi som journalister helst vil snakke med og la de som eier nettstedene gi en kommentar om vi skal vise slike detaljer. Det ble en litt for omfattende jobb når vi viser mange tusen domener i oversikten.

  4. Tov Are Jacobsen

    Flott oversikt ! Jeg ser det er noen som bare er parkert. Det er ganske latterlig med nesten 10.000 domener for det offentlige, og da er det vel en del som ikke fanges opp fordi det ligger hos medie-byråer o.l.

    Svar på denne kommentaren

  5. Gerhard sletten

    «Derfor velger vi selv å åpent legge ut både vår versjon av koden og domenelisten som et datasett»

    Nå er vel omtrent alt av bra programvare idag åpen kildekode, og iallefall når man er finansiert av staten.

    Ordlyden kan få det til å høres ut som om dette ikke er kulturen innad i NRK.

    Svar på denne kommentaren

  6. Anders Birkenes

    Som følge av deres oppslag har jeg gått gjennom det min arbeidsplass har ut mot internett og deaktivert usikre standarder.

    Jeg brukte verktøyet IISCrypto (nartac.com/Products/IISCrypto) som gjorde det enkelt å sette alt i henhold til best practice og gikk rett fra F til A på SSL Labs.

    Dette kommer ikke til syne i deres oversikt siden dere kun har testet www som er kommunens nettside hostet hos en ekstern leverandør som ikke støtter HTTPS. Alle skjemaer for innsending av opplysninger ligger hos en annen leverandør som støtter HTTPS.

    Svar på denne kommentaren

  7. Google tilbyr kryptering i ny chat-app, men Snowden advarer likevel mot å bruke den

    […] Det er altså inne i disse appene at krypteringen nå begynner å bli en standardfunksjon. Chat-appene Signal, Whatsapp og nå Allo, gjør det langt lettere å skjerme våre private meldinger. Ettersom flere aktører (som Netflix og NRKbeta) også går over på den krypterte HTTPS-standarden for nettsider, er det klart at kryptering av vår kommunikasjon på nettet raskt blir utbredt. NRK-journalist Øyvind Bye Skille har også kartlagt hvor utbredt HTTPS-standarden er på offentlige nettsider i Norge. […]

    Svar på denne kommentaren

  8. Kjell Knudsen

    Mye interessant.

    I listen/statistikken skilles det ikke på domener som er i aktiv bruk og domener som bare er placeholders. Det vil vel kunne gi et litt skeivt bilde av situasjonen?

    Eks så teller det vel mer at kystverket.no ikke er bak https enn at planlagte navarea19.no ikke er det?

    Det er også noe tull med lenkene til github siden med info om datasettet. github.com/byeskille/norway-gov-domains/

    Svar på denne kommentaren

  9. 2018 kan bli året appmarkedet snus på hodet

    […] tekniske detaljer: Tilbudet dukker opp hvis nettsiden bruker HTTPS, har et Web App Manifest og en Service Worker, som anses for minstekravene for å være en […]

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.