Idag är Chrome den överlägset mest populära webbläsaren. Google har använt sin dominans vid ett flertal tillfällen för utöva påtryckningar mot ett säkrare internet. Nu gör de det igen.
HTTP eller HTTPS?
Idag kan vi ansluta till webbplatser på två olika sätt: HTTP eller HTTPS (HTTP Secure). När vi ansluter till en webbplats vars adress börjar med HTTP kan vi aldrig vara säkra på att vi är på rätt webbplats. En angripare kan styra om vår trafik till en fejkad webbplatskopia utan att vi märker det. En angripare kan också avlyssna trafiken som skickas till webbplatsen. Det innebär att angriparen kan se såväl meddelanden vi skriver i kontaktformulär som lösenord vi skriver i inloggningsformulär!
När vi ansluter till en webbplats vars adress börjar med HTTPS kan vi vara säkra på att vi faktiskt är på rätt webbplats (inte på en fejkad kopia av webbplatsen). Informationen vi skickar går krypterat från vår webbläsare till webbplatsens servrar, så att ingen obehörig kan se våra inloggningsuppgifter eller annan information vi utbyter med webbplatsen. Utomstående personer kan enbart se att vi ansluter till webbplatsens webbsidor och mängden data vi utbyter med webbplatsen (inte det faktiska innehållet).
Slutar hylla HTTPS och börjar straffa HTTP
Förr i tiden var HTTPS-användning förknippat med en kostnad för webbplatsägaren. Så är inte längre fallet. Idag kan alla ge sina webbplatser stöd för HTTPS utan att det kostar en enda krona*. Förr i tiden medförde HTTPS också en prestandasänkning. Det gör det inte heller längre. Webbplatsägare har därför ingen anledning att inte använda HTTPS.
Dagens versioner av Chrome (Chrome 66 och Chrome 67) premierar HTTPS-webbplatser med ett grönt hänglås och texten Säker i adressfältet. I september 2018, när Chrome 69 släpps, förminskas premieringen till ett grått hänglås utan text. Månaden därpå börjar Chrome aktivt varna för HTTP-webbplatser genom en röd varningstriangel och texten Inte säker. Inledningsvis kommer varningen endast att finnas på webbplatser dit besökaren skickar information, i och med att behovet att krypterad överföring är som störst där.
På sikt kommer HTTPS att ta över helt och hållet. När det knappt finns några osäkra HTTP-webbplatser kommer Chrome därför inte ens att visa något hänglås vid anslutning till säkra HTTPS-webbplatser utan enbart varna vid anslutning till osäkra HTTP-webbplatser.
Tipsa gärna de som driver webbplatser utan stöd för HTTPS om att de verkligen bör börja stödja det. HTTPS ger inte bara högre säkerhet för webbplatsbesökarna. Google raknar också HTTPS-webbplatser högre i sökresultaten. Efter snart 30 år i tjänst är det därför nu dags att pensionera HTTP-protokollet.
* Du som driver en webbplats kan få ett gratis HTTPS-certifikat via en teknik som kallas Let’s encrypt. Ifall din hosting-leverantör (t.ex. ditt webbhotell) saknar Let’s encrypt-stöd är det skäl nog att byta leverantör. Om du har en Nas från Synology kan du också ge den stöd för säkra anslutningar med hjälp av Let’s encrypt.
Läs mer om förändringarna i Chrome på Google Chromium-bloggen
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.