Nesten hundre norske nettsider kan bli svartelistet

Kategorier: Internett, Nettjenester, Sikkerhet, Software & Webutvikling

Illustrasjon: Henrik Lied/NRK

Mistillit til en sertifikatleverandør kan føre til at nesten hundre norske nettsider ikke lenger vil fungere i flere av de største nettleserene.

Store nettsider, deriblant nettsidene til Sametinget og en del kommuner på Sørlandet risikerer å slutte å virke for mange brukere i neste uke. Årsaken er at de bruker løsninger fra en leverandør som Chrome og Firefox ikke lenger stoler på.

Disse to nettleserne har 62 prosent av markedet, ifølge Statcounter.

De berørte nettsidene bruker en sertifikatløsning fra IT-selskapet Symantec. Slike sertifikater sørger for at tilkoblingen mellom din nettleser og nettsiden du besøker er kryptert, og er grunnen til at du ofte får en grønn lås oppe i hjørnet av nettleseren når du er på en side som benytter seg av slike sertifikater.

Slik markerer vanligvis nettlesere at din tilkobling til en nettside er sikret med et SSL/TLS-sertifikat.

Denne krypteringsmekanismen benyttes av alle større nettsider som vil verne om både sitt rykte og sikkerheten til brukerne.

Dessverre har Symantec hatt litt dårlig kontroll på hvilke sertifikater som genereres, og noen testsertifikater for anerkjente domener som Google.com har kommet på avveie.

Dette er potensielt sett ganske kritisk for de berørte nettsidene. Hvis sertifikatene havner i feil hender, kan ondsinnede aktører utgi seg for å være legitime nettsider. For deg som bruker kan dette blant annet føre til at du oppgir brukernavn og passord til en nettside som utgir seg for å være noen andre.

Da dette ble avdekket, tok Google og Mozilla, selskapene bak de populære nettleserne Chrome og Firefox, kontakt med Symantec, og forklarte at dette var helt uholdbart. De hadde rett og slett mistet tilliten til Symantec som sertifikatleverandør.

Symantec fikk et ultimatum: Rydd opp i egne systemer eller få alle sine sertifikater svartelistet. Symantec valgte å ikke rydde opp.

Symantecs systemer var rett og slett såpass kompliserte og uryddige, at kostnaden ved å rydde opp ble for stor til at det gav økonomisk mening. De valgte i stedet å selge sertifikatavdelingen til en konkurrerende aktør.

I september i fjor gikk både Google og Mozilla ut og forklarte at nettsider som benyttet seg av gamle sertifikater fra Symantec ikke kom til å fungere i deres nettlesere i løpet av våren.

Undersøkelser som NRK har gjennomført den 9. og 10. april, viser at 98 norske nettsider kommer til å slutte å fungere hvis eierne ikke gjør tiltak.

Denne beskjeden kommer til å møte besøkende til nettsider som ikke bytter ut Symantecs gamle sertifikater. Foto: Google

I løpet av de siste årene har utbredelsen av krypteringssertifikater gått vesentlig opp. Grunnene til dette er flere, men et økt fokus på personvern og sikkerhet kombinert med at det har blitt enklere å skaffe seg og installere disse sertifikatene, er nok blant hovedgrunnene.

Likevel viser våre undersøkelser at svært mange offentlige nettsider ikke benytter seg av krypteringssertifikater.

Flere offentlige nettsider er berørte

Våre undersøkelser viser at ni kommunale nettsider per 10. april benyttet seg av gamle Symantec-sertifikater. I tillegg har fant vi utdaterte sertifikater på Sametingets nettsider, flere kraftselskaper og kollektivtrafikkselskapet Skyss sine nettsider.

De ni kommunale nettsidene det er snakk om administreres av det interkommunale samarbeidet Digitale Vestre Agder (DDV).

I en epost til NRKbeta skriver John Erik Kristensen, som er administrativ koordinator i DDV, at de er klar over problematikken og er i ferd med å bestille nye sertifikater. Om to uker lanseres det nye nettsider for de aktuelle kommunene, og da skal sertifikatproblematikken være løst.

På spørsmål om hvorvidt dette betyr at de nevnte kommunale nettsidene kommer til å oppleve nedetid i overgangsperioden mellom nåværende og nye nettsider, svarer Kristensen at de nå har bestilt nye sertifikater for de ni kommunale nettsidene, samt for fire andre domener som de administrerer. Kristiansen skriver at de regner med at alt skal være i orden til den 17. april.

Også kollektivtrafikkselskapet Skyss sine nettsider var omfattet av denne problematikken, men da NRK tok kontakt, kunne pressekontakt Camilla Lundberg Berntzen informere om at de i løpet av gårsdagen har fått ryddet opp i problematikken, og nettsidene skal fungere som normalt.

NRK har varslet eierne av nettsidene som har dette problemet, slik at de får sjansen til å fikse det før endringen trer i kraft. Eiere av nettsider med sikkerhetssertifikater og HTTPS som vil sjekke om de er berørt, kan besøke sidene sine med Chrome Canary for å se om de får feilmeldinger.

Chrome har en markedsandel på over 57 prosent, ifølge Statcounter. Sammen med Firefox, som har omtrent 5 prosent av markedet, står disse to nettleserne for en absolutt majoritet av nettleserbruken på verdensbasis.

NRK har tatt kontakt med Sametinget, men ved publiseringstidspunkt har de ikke besvart våre henvendelser.

15 kommentarer

  1. Daniel Olai Danielsen

    Sidene vil fungere som nornalt, det er kun sertifikatets ektehet som ikke blir validert. Dette gir i Chrome feilmeldingen vist over, hvor man må trykke Advanced for å kunne lukke feilmeldingen og åpne siden.

    Svar på denne kommentaren

  2. Er selv grayhat, men liker å tenke at myndighetene har kontroll – noe jeg vet de ikke har, ergo grayhat. Det vil ikke si at jeg bedriver kriminelle ting på N, men at jeg forsker godt opp under grensen til det moralsk lovlige. Saken er nemlig at det er «vi» som eier verden, «vi» som dere ikke ser, eller som dere gjerne kaller «tapere». Long live C64! Long live knowledge! Long live revenge and a bloody hell in the end! 😉 Take care NRK

    Svar på denne kommentaren

  3. Problemet er når mange «lærer seg» å gå til avanserte innstiller og tror at det er riktig, da er det bare å glemme å tenke SSL sikkerhet på Internett.

    Får du en advarsel skal du ta den på alvor. Det er alt for mange falske nettsider som vi ikke ønsker brukerne våre skal gå til fordi noen har lært at de bare skal klikke OK og gå videre til tross for advarselen…

    Svar på denne kommentaren

    • Mads M (svar til Anders L)

      Absolutt enig, men det tror jeg dessverre mange er vandt med allerede. Mange bedrifter som kjører interne tjenester over https uten gyldig cert.

  4. Dag Andreas Ruud

    Dere glemte BankID, den tjenesten er verd å nevne blant de norske nettsidene.

    Jeg bruker kun Chrome Dev channel og har ikke kunnet bruke nettbanken min de siste månedene før de i slutten av mars byttet sertifikatet.

    Svar på denne kommentaren

  5. Greit å vite, nå fikk jeg fikset det på min egen side. Dette tok ikke mer enn et par minutter å fikse for min del, men det er kanskje en større greie for virkelig store og komplekse sider/systemer?

    Svar på denne kommentaren

    • I teorien er det stort sett ganske kjapt å fikse, det er mer at store organisasjoner må ha ting gjort på sin måte (lange bestillingsprosesser, avsjekk med riktige personer, avsjekk på priser osv) og kanskje har mange systemer som må ordnes opp i. Mange bekker små osv.

  6. Ett eller annet sted på veien dreier dette seg om penger og makt,Mammon.Ikke om å ta vare på mannen i gaten,deg og meg.Det! er iallefall sikkert.Når det gjelder Facebook så fikk monsteret opplysninger matet om’en eller ‘ett de ikke skulle ha fått tak i..

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.