En række sikkerhedsforskere angriber HTTPS-protokollen, der bruges til krypteret web-trafik – eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.
Det er forskere fra universitetet i Amsterdam og i Delft, der står bag en længere rapport om HTTPS-markedet.
Her skriver de blandt andet, at HTTPS (Hypertext Transfer Protocol Secure) har udviklet sig til en de fakto standard for sikker web-browsing.
“På samme tid har meget omtalte sikkerhedsbrister – som DigiNotars databrud, Apples #gotofail og OpenSSL’s Heartbleed – blottet systematiske sikkerheds-sårbarheder i HTTPS for et globalt publikum,” skriver forskerne og nævner samtidig, at også Edward Snowdens afsløringer har påvist overvågnings-huller i HTTPS.
“HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed,” står der i rapport.
Derfor er der klare problemer
HTTPS, der er HTTP-protokollen i forening med SSL/TLS, skal blandt andet hindre man-in-the-middle-angreb, men det er ikke første gang, at denne sikkerheds-model kritiseres.
Det er allerede et par månederne siden, at forskerne fra Holland fremlagde deres resultater, men netop i disse dage kører debatten om HTTPS på flere forskellige sikkerheds-fora, blandt andet på bloggen hos den anerkendte sikkerhedsekspert og kryptograf Bruce Schneier.
Det skyldes ikke mindst, at sikkerhedsforskerne peger på, at det er i selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, at sikkerheden halter.
Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.
Fire grundlæggende problemer
Forskerne peger her på fire grunlæggende problemer ved det måde, HTTPS-markedet kører på i dag:
“Nylige databrud hos CA’er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS:”
“Sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA’er kompromitteres (“det svageste led”); browserne kan ikke ikke tilbagekalde tilliden til store CA’er (“for stor til at fejle”), CA’er kan skjule sikkerheds-problemer (“asymmetrisk information”), og ultimativt rammes kunder og slutbrugere af ansvaret og skaderne ved sikkerheds-problemer (“negative eksterne virkninger”).
Computerworld følger op på sagen senere med et interview med en dansk sikkerhedsforsker.
Læs også:
Guide: Sådan gør du din hjemmeside sikker med HTTPS
Sådan kommer dit website sikkert til tops i Google-søgninger
Leave a Reply