For å sikre at ingen kan avlytte kommunikasjonen mellom deg og nettstedet du besøker, for eksempel når du logger inn i nettbanken eller sjekker selvangivelsen, brukes såkalte serversertifikater. De kjennetegnes ved av at adressen i nettleseren begynner med https istedenfor bare http, og man ser hengelåsen ved siden av adressen – slik:
På sikkerhetsbloggen til Nasjonal sikkerhetsmyndighet har min tidligere kollega Lars Olaussen skrevet om et artig verktøy, SSL Server Test. Det lar deg teste serversertifikater som benyttes for SSL og TLS-serversertifikater.
Hvordan fungerer testen
SSL Server Test sjekker nettstedets sertifikat og tester hvilke protokollversjoner, hvilke nøkkelutvekslings- og krypteringsalgoritmer som er støttet og styrken disse har. Nettstedet gis en bokstavkarakter (A-F) og en poengsum (0-100) – og man får forklaringer på hva som er bra og hva som er dårlig.
En dårlig score i testverktøyet er ikke ensbetydende med at nettstedet er usikkert, men indikerer at det enten er svakheter ved sertifikatet eller konfigurasjonen til serveren. Eksempler på dette kan være at sertifikatet har for kort krypteringsnøkkel, eller at serveren også støtter svakere krypteringsalgoritmer som muliggjør kommunikasjon med et lavere sikkerhetsnivå.
Hva har jeg funnet
Jeg har lekt litt med verktøyet og testet norske nettsider som jeg forventer har god sikkerhet. Heldigvis kommer de fleste godt ut, som f.eks. digipost.no, altinn.no og dnbnor.no, som alle fikk karakteren A.
Skatteetaten.no fikk en B:
Verre var det med online-bookingen til legesenteret der fysioterapeuten min holder til. Der logger jeg på med personnummer; den fikk karakter D og bare 48 av 100 poeng.
Jeg har lagt merke til at flybookingsider som fikk dårlig score for en tid tilbake får bra score nå. Kanskje har de sett NSMs blogginnlegg og tatt det til etterretning…
Test selv, og se om du finner Norges beste og dårligste sikre sider.
Endre
postbanken.no får 0, mens http://www.postbanken.no får 84…
online.ntnu.no får også 0
Stian
Hvorfor tester du linjeforeningen online ved NTNU sin sikkerhet? De sier jo ingenting om NTNU sin generelle sikkerhet (hvis det var poenget).
a-jay
innsida.ntnu.no, som er inngangsporten til NTNUs «offisielle» intranett, får karakteren C (52 poeng)… Samme med webmailserveren til NTNU.
Kevin Brubeck Unhammer
bra tiltak 🙂
Eit par andre enkle tips som mange likevel ignorerer:
bsdly.blogspot.com/2011/10/youre-doing-it-wrong-or-return-of-son.html
Runar
Fin tjeneste. Morsomt at ssllabs.com/ssldb/analyze.html?d=www.ssllabs.com%2F viser 85 poeng, selv om man kan forstå at sikkerheten her ikke trenger å være helt topp.
Sender du trådløse gavepakker til crackere?
[…] teste om nettstedet du besøker har andre, problematiske sikkerhetsbrister ved å bruke verktøyet SSL Server Test, som NRKbeta nylig […]
Tom
Tips: Ta ein titt på webmailtjenesten til bedriftene. Denne er ofte med standardkonfigurasjon som kjem med outlook serveren
Ida Helen Johansen (NRK)
Bra tips, Tom. Her var det er del forbedringspotensialer ja…