amels-diagram

Bilden är skapad direkt från öppen telemetridata från Firefox som Mozilla samlar in från frivilliga användare (opt-in) och visar månadsvis procentuell ökning på global nivå. Bildcredd: Daniel Stenberg, Mozilla

Äntligen har kryptering blivit både självklart och enkelt

I decennier har jag predikat om vikten av att använda kryptering och att man bör använda Transport Layer Security, TLS för att kryptera trafik till och från bland annat webb- och mejlservrar. Äntligen verkar det som om det börjar hända, att kryptering nu är var mans egendom. Ett allmänt bruk av kryptering kan motverka brottslighet, eftersom det praktiskt taget omöjliggör förfalskningar, bedrägerier, industrispionage och liknande.

Under många år genomförde IIS en återkommande undersökning av nåbarhet på nätet och hälsoläget i .se. Syftet med den årliga undersökningen var att kartlägga och analysera kvaliteten och nåbarheten i framför allt domännamnssystemet (DNS) i .se-zonen och andra viktiga funktioner för domäner registrerade i .se, däribland användningen av kryptering.

För några år sedan briserade visselblåsaren Edward Snowdens avslöjanden inte bara om massiv signalspaning och avlyssning av internetanvändare, men vad värre var, även avslöjanden om till exempel backdörrar ämnade att försvaga de tekniska åtgärder som används för att skydda information under transport mellan bland annat server och klient.

TLS är en öppen standard som står under IETF:s kontroll och används för att kryptera kommunikationen mellan två enheter, varav den ena ofta är en webbserver och den andra en webbläsare, men även e-postservrar och e-postklienter använder samma teknik. Tanken med att skydda den information som utväxlas mellan dessa enheter är att ingen annan på samma nätverk, till exempel det publika internet, ska kunna avlyssna eller förvanska informationen.

När IIS genomförde hälsoundersökningen 2013 var andelen domäner som hade stöd för TLS i sina e-postservrar 54 procent vilket betyder att det redan då var en majoritet som vidtar åtgärder för att skydda sin e-posttrafik, och sedan dess har det bara ökat.

Vem behöver använda TLS?

Alla som från eller till en webbplats begär eller lämnar någon form av information från användare, såsom inloggning, personuppgifter, användaruppgifter, betalinformation, kreditkortsnummer, telefonnummer med mera eller producerar någon typ av viktigare information till användare som exempelvis nyheter, börskurser eller motsvarande, bör använda TLS. Hittills har det medfört att det också måste finnas någon internt i den verksamhet som certifikatet utfärdats för som ansvarar för bland annat bevakning av när certifikat går ut och måste förnyas. Ett glädjeämne för dessa är Let’s Encrypt.

Let´s Encrypt

Let’s Encrypt är en global certifikatutfärdare (CA) som låter individer och företag eller organisationer runt om i världen erhålla, förnya och administrera domänvaliderade TLS-certifikat utan kostnad och med automatiserade verktyg. Certifikaten fungerar för de flesta webbläsare och operativsystem och kan användas för att möjliggöra säkra HTTPS-anslutningar.

Let’s Encrypt-certifikat kan användas för alla servrar som använder ett domännamn som identifierare, så förutom webbservrar kan de bland annat användas för e-postservrar, FTP-servrar, et cetera.

Plötsligt har det blivit enkelt att införa https överallt!

Enkelt att införa men svårt att göra rätt

Även om det är enkelt att införa TLS är det svårt att göra det rätt. Säkerhetsföretaget Kirei genomför regelbundna tester och presenterar statistik för ett antal större eller viktigare svenska webbplatser och deras användning av TLS. För mer information om hur man konfigurerar SSL/TLS på ett korrekt sätt rekommenderar jag SSL/TLS Deployment Best Practices av Ivan Ristić.

Om du handlar på nätet eller förväntas lämna känslig information hos en webbtjänst via internet så faller det sig naturligt att man använder TLS för att kryptera exempelvis kreditkortsinformation eller personinformation. Med TLS döljer man också användarens surfbeteende inom en sajt. Med Electronic Frontier Foundations (EFF) HTTPS Everywhere installerat i din webbläsare går det visserligen fortfarande att se vilken sajt som besökts, hur länge och hur mycket information som laddas, men inte vilka sidor på sajten, vilka ämnen du läser om, vad du köper et cetera, vilket är nog så viktigt.

 

Etiketter: , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Jonathan Sulo 27 mars 2017, kl 15.07

    Det är, tyvärr, inte riktigt så enkelt att införa TLS/SSL som du vill ge sken av här, Anne-Marie.

    Let’s Encrypt är inte nytt. De har funnits och verkat i flera år. Och om Let’s Encrypt är moroten (kostnadsfria SSL-certifikat) så är de nya webbläsarvarningarna i Chrome, Firefox (för osäkra webbplatser) en effektiv piska.

    Ändå är långt från alla svenska webbplatser och domännamn säkerställda med TLS/SSL.

    De flesta svenska webbhotell och domän- samt serverleverantörer tar fortfarande extra betalt för TLS/SSL. De har inte integrerat Let’s Encrypt. Hur kommer det sig? Varför kan inte .se bli världens säkraste toppdomän? :)

    Utvecklingen med TLS/SSL går åt rätt håll. Men det är långt ifrån enkelt än, för gemene man/kvinna.

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund Löwinder 28 mars 2017, kl 09.48

      Hej, det är fortfarande inte helt okomplicerat, men det är mycket, mycket enklare än det varit förut. Varför webbhotell och andra inte har tagit till sig och integrerat med Let’s Encrypt är en fråga som jag inte kan besvara. Jag delar din uppfattning om att vi i .se borde kunna bli säkrast i världen. På den här sidan presenterar Let’s Encrypt uppdaterad statistik. https://letsencrypt.org/stats/

      Svara
  • ErikLtz 4 april 2017, kl 15.57

    Kul med Let’s Encrypt – installerade certbot-auto och skapade ett antal certifikat för några host:ade domäner på CentOS-server och efter uppstyrning av vhost-filer (en vhost per fil!) så ser det ut att funka fint med stark kryptering! :-)
    Känns ”annorlunda” att cert bara gäller 90 dagar – brukar ju vara 1 år eller mer för köpecert – men med cron-jobb som automatiskt förnyar cert efterhand skall det inte vara någon fara…
    Sammanfattningsvis verkar det funka fint!

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund Löwinder 5 april 2017, kl 08.57

      Tack för att du delar med dig av dina erfarenheter, kul att det fungerar bra!

      Svara
  • Patrik 7 april 2017, kl 11.22

    Google har återigen visat vilken makt dom har över hela Internet. I det här fallet väldigt bra dock. =)

    Svara