Journalistikk & Sikkerhet

Bruken av HTTPS øker


Etter NRKs saker om liten bruk av sikre tilkoblinger for nettstedene i det offentlige i Norge, har HTTPS blitt en formell anbefalt standard. Målinger viser at bruken også øker.

NRK kunne i mars i fjor fortelle om at under 5 prosent av domenene eid av offentlige etater og virksomheter hadde innført teknologien HTTPS, som sikrer at kommunikasjonen mellom din datamaskin og nettsiden faktisk kommer fra rett sted, er sikker og ikke manipulert.

Vi skannet bruken for over 11.000 domener eid av det offentlige. Denne skanningen har vi også forsøkt å fortsette med ved jevne mellomrom.

En ny oppdatering nå i november 2017 viser at andelen har økt til 23,8 prosent.

Grafen viser ulike resultater fra NRKs målinger av HTTPS-bruk i det offentlige. I noen perioder har det vært pauser i målingene, og det er derfor brudd i grafen.

NRKs måleresultater viser er en betydelig økning, men det stemmer overens med en generell økning på internett for øvrig. Andelen av alle nettsider besøkt via nettleseren Firefox var rundt 40 prosent i mars 2016 og passerte i oktober i år 60 prosent. Samme utvikling er sett i Chrome.

Det kan bemerkes at det har vært en endring i skriptene som gjør skanningen vår, men de som har skrevet programvaren opplyser at det ikke er ventet å gi nevneverdig utslag på målingene.

På ingen måte best i klassen

Selv om det er en betydelig forbedring, er Norge likevel et stykke bak USA, Storbritannia, og Nederland.

Lignende undersøkelser viser at 40 prosent av statlig styrte domener i USA bruker HTTPS, mens 36 prosent av statlige britiske domener gjør det samme.

Her er det viktig å påpeke at det kan være ulike kriterier for hvilke domener som er tatt med i datagrunnlaget. Blant annet har vår undersøkelse tatt med flere domener enn Storbritannia og Nederland.

Det mest sammenliknbare tallet for Norge er at bare 927 av 3472 statlige domener bruker HTTPS, eller 27 prosent.

Innført som anbefalt standard

Økt bruk av sikre krypterte tilkoblinger er også noe som er ønsket fra myndighetene.

Etter NRKs saker kom spørsmålet om bruk av HTTPS for offentlige nettsteder opp. Standardiseringsrådet for offentlig IT tok saken opp til debatt og vurdering. Tidligere i år vedtok de at de ønsket å innføre teknologien som en standard.

Anbefalingen om sikker datakommunikasjon fra offentlige nettsteder ble så formelt innført fra 12.09.2017.

Under ser dere siste status basert på våre skanninger:

14 kommentarer

  1. Når denne jobben begynner å nærme seg slutten bør dere ta et tilsvarende stunt for å få folk til å kryptere eposten sin, S-MIME. Egentlig her det helt kurant: Skaffe seg et sertifikat, dobbeltklikke fila for å installere den, ferdig!

    Men folk må få info om det. Ikke minst hvordan og hvor man skaffer seg et sertifikat. Og selvsagt bør de vite om begrensingene.

    (Synes forøvrig at dere ikke gjør nok nummer av begrensingene i HTTPS, den viktigste at enhver MITM kan se hvilke nettsteder du kontakter, når du gjør det, antall og volum av overføringer. Dette er det helt umulig å skjule, selv om selve innholdet er kryptert.)

    Svar på denne kommentaren

    • Takk for innspill!

      Det stemmer at HTTPS ikke løser alle utfordringer. I de fleste tilfeller vil HTTPS beskytte mot at MITM ser selve innholdet, men i mange tilfeller vil en mann-i-midten kunne se at det skjer en tilkobling til selve domenet (nrkbeta.no). Det vil dog ikke nødvendigvis være mulig å se at man er på nøyaktig ém adresse på domenet (nrkbeta.no/2017/11/15/bruken-av-https-oker/) eller annet innhold i kommunikasjonen. Det går også an å se når man kobler seg til, hvor lenge en oppkobling er aktiv og hvor mye som overføres i datamengde. For å beskytte seg mot dette også kan Tor-nettverket vurderes. Tor har NRKbeta skrevet om flere ganger tidligere, som her: https://nrkbeta.no/2013/10/03/velkommen-til-tors-verden/

      S/MIME er interessant, men ganske lite utbredt. Blant annet fordi det tidligere har vært for vanskelig å skaffe seg et sertifikat. Dermed vokste PGP fram om et alternativ, men det må også nevnes at sistnevnte er for komplisert å bruke sikkert for svært mange brukere. Det kan godt være vi skriver mer om kommunikasjonssikring og sikring av e-post senere.

      Svar på denne kommentaren

      • Å skaffe sertifikat til epost var for noe år siden helt kurant/gratis. Så begynte de som leverte (evt. nesten) gratis sertifikater å koble det opp mot reklametjenester, og da ble det bare rot. Mot en moderat sum – noen få hundrelapper – kan du få deg det, men du må vite hvor du skal gå. Det burde være en offentlig tjeneste, parallelt med å få seg et pass!

        Også HTTPS trenger sertifikater. Et stort problem med en offentlig sertifikat-tjeneste (eller om de krever innsyn hos leverandøren) er tilgang til den private nøkkelen: Da ligger all kommunikasjon vidt åpent for alle myndigheter som ønsker innsyn. Sertifikat-utstederen gir deg som regel en privat nøkkel, ergo kjenner utstederen den og kan i prinsipp åpne all kommunikajon.

        For noen år spurte jeg ulike sertifiat-utstedere om de aksepterte at jeg genererte nøkkelparet og ga dem kun den offentlige nøkkelen. Når de da sender meg sertifikatet kryptert med den offentlige delen dekrypterer jeg det med den private nøkkelen de ikke kjenner. Myndigheter kan ikke tvinge dem til å utlevere den private nøkkelen – de har den ikke. Jeg fant fire ulike utstedere som aksepterte dette – men det var ikke gratis-sertifikater! Dessuten, pr.idag er det en nerd-løsning på nivå med PGP: Gamletante fikser ikke dette.

        «Noen» – f.eks. passkontorene, Elektronisk Forpost Norge, eller IKT-Norge, kunne arbeide for å bli godkjent som sertifikat-utstedere (eller Uninett kunne utvide sin tjeneste til allmennheten – de er allerede godkjente) og utvikle et brukervennlig PC-program selv gamletante kunne kjøre for å generere et nøkkelpar, sende inn en bestilling på et sertifikat med den offentlige nøkkelen, motta sertifikatet og installere det. Alle basis-komponenter er fritt tilgjengelig, og relativt lette å sette sammen. Bare behovet blir slått fast er det helt kurant å få på plass – så snart det blir etterspurt. Bare etterspørselen mangler. Det er den som bør komme på plass.

        Svar på denne kommentaren

        • Du har ikkje forstått korleis CSR fungerer. Du genererer privat og offentleg nøkkel. Deretter lagar du eit samandrag av den, og sender til den som skal signere den. Du får den i retur, i signert form. Din private nøkkel er generert av deg, og aldri sendt til andre.

          https://en.wikipedia.org/wiki/Certificate_signing_request

          Så innvendingene dine er irrelevante. Uansett registrar vil du stortsett kun måtte sende ein såkalla CSR, Certificate Signing Request, som altså ikkje gir registraren tilgang til dine nøkkeldata. Det gjeld *og* f.eks. Let’s Encrypt.

          At du går så kjepphøgt ut om krypto uten å ha fundamentale kunnskaper om korleis prosessen foregår er oppsiktsvekkande.

          Svar på denne kommentaren

  2. Er det ikke nogenlunde ironisk at saken omhandler at NRKBeta skriver om HTTPS og videre viser til en økning i bruk av HTTPS, men fortsatt benytter P3.no seg av HTTP? :]

    Synes det var litt morosamt å påpeke det i alle fall.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *