Bilden är skapad direkt från öppen telemetridata från Firefox som Mozilla samlar in från frivilliga användare (opt-in) och visar månadsvis procentuell ökning på global nivå. Bildcredd: Daniel Stenberg, Mozilla

Äntligen har kryptering blivit både självklart och enkelt

I decennier har jag predikat om vikten av att använda kryptering och att man bör använda Transport Layer Security, TLS för att kryptera trafik till och från bland annat webb- och mejlservrar. Äntligen verkar det som om det börjar hända, att kryptering nu är var mans egendom. Ett allmänt bruk av kryptering kan motverka brottslighet, eftersom det praktiskt taget omöjliggör förfalskningar, bedrägerier, industrispionage och liknande.

Under många år genomförde IIS en återkommande undersökning av nåbarhet på nätet och hälsoläget i .se. Syftet med den årliga undersökningen var att kartlägga och analysera kvaliteten och nåbarheten i framför allt domännamnssystemet (DNS) i .se-zonen och andra viktiga funktioner för domäner registrerade i .se, däribland användningen av kryptering.

För några år sedan briserade visselblåsaren Edward Snowdens avslöjanden inte bara om massiv signalspaning och avlyssning av internetanvändare, men vad värre var, även avslöjanden om till exempel backdörrar ämnade att försvaga de tekniska åtgärder som används för att skydda information under transport mellan bland annat server och klient.

TLS är en öppen standard som står under IETF:s kontroll och används för att kryptera kommunikationen mellan två enheter, varav den ena ofta är en webbserver och den andra en webbläsare, men även e-postservrar och e-postklienter använder samma teknik. Tanken med att skydda den information som utväxlas mellan dessa enheter är att ingen annan på samma nätverk, till exempel det publika internet, ska kunna avlyssna eller förvanska informationen.

När IIS genomförde hälsoundersökningen 2013 var andelen domäner som hade stöd för TLS i sina e-postservrar 54 procent vilket betyder att det redan då var en majoritet som vidtar åtgärder för att skydda sin e-posttrafik, och sedan dess har det bara ökat.

Vem behöver använda TLS?

Alla som från eller till en webbplats begär eller lämnar någon form av information från användare, såsom inloggning, personuppgifter, användaruppgifter, betalinformation, kreditkortsnummer, telefonnummer med mera eller producerar någon typ av viktigare information till användare som exempelvis nyheter, börskurser eller motsvarande, bör använda TLS. Hittills har det medfört att det också måste finnas någon internt i den verksamhet som certifikatet utfärdats för som ansvarar för bland annat bevakning av när certifikat går ut och måste förnyas. Ett glädjeämne för dessa är Let’s Encrypt.

Let´s Encrypt

Let’s Encrypt är en global certifikatutfärdare (CA) som låter individer och företag eller organisationer runt om i världen erhålla, förnya och administrera domänvaliderade TLS-certifikat utan kostnad och med automatiserade verktyg. Certifikaten fungerar för de flesta webbläsare och operativsystem och kan användas för att möjliggöra säkra HTTPS-anslutningar.

Let’s Encrypt-certifikat kan användas för alla servrar som använder ett domännamn som identifierare, så förutom webbservrar kan de bland annat användas för e-postservrar, FTP-servrar, et cetera.

Plötsligt har det blivit enkelt att införa https överallt!

Enkelt att införa men svårt att göra rätt

Även om det är enkelt att införa TLS är det svårt att göra det rätt. Säkerhetsföretaget Kirei genomför regelbundna tester och presenterar statistik för ett antal större eller viktigare svenska webbplatser och deras användning av TLS. För mer information om hur man konfigurerar SSL/TLS på ett korrekt sätt rekommenderar jag SSL/TLS Deployment Best Practices av Ivan Ristić.

Om du handlar på nätet eller förväntas lämna känslig information hos en webbtjänst via internet så faller det sig naturligt att man använder TLS för att kryptera exempelvis kreditkortsinformation eller personinformation. Med TLS döljer man också användarens surfbeteende inom en sajt. Med Electronic Frontier Foundations (EFF) HTTPS Everywhere installerat i din webbläsare går det visserligen fortfarande att se vilken sajt som besökts, hur länge och hur mycket information som laddas, men inte vilka sidor på sajten, vilka ämnen du läser om, vad du köper et cetera, vilket är nog så viktigt.

 

Etiketter: , , ,

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.