Låsmekanism utan lås

Svenska högskolor slarvar med HTTPS

Igår rapporterade vi om hur Google Chrome straffar osäkra webbplatser genom att skriva ”inte säker” i adressfältet. Det är ett första steg i en process mot att få alla webbplatsägare att lägga till stöd för säkra, krypterade och autentiserade anslutningar (d.v.s. adresser som börjar med HTTPS och inte HTTP).

I samband med detta upptäckte vi att flera av Sveriges universitet och högskolor använde osäkra HTTP-anslutningar som standard. Vi fann detta synnerligen överraskande och bekymrande. För att få en fullständig bild kartlade vi därför samtliga universitet och högskolor som listas på Universitetskanslersämbetets webbplats (vilken för övrigt använder osäkra HTTP-anslutningar som standard). Resultatet var nedslående. 

Kartläggningen

I vår kartläggning koncentrerade vi oss på huvuddomänerna för respektive lärosäte (till exempel lu.se för Lunds universitet). Vi tog inte med subdomäner såsom webmail.lu.se. Vi uteslöt subdomäner eftersom många besökare länkar sig vidare till webbsidor på dessa subdomäner från webbplatsen på huvuddomänen (och en besökskedja blir aldrig starkare än sin svagaste länk).

Vi testade både om det gick att ansluta med säkra HTTPS och med osäkra HTTP. Att stöda HTTPS är nämligen inte tillräckligt. Alla webbservrar måste också uppgradera eventuella osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. De bör också ha en funktion vid namn HSTS (HTTP Strict Transport Security) aktiverad. Den berättar för besökarnas webbläsare att de aldrig någonsin ska besöka den aktuella domänen över en osäker HTTP-anslutning. Det förhindrar så kallade degraderingsattacker (där angripare degraderar en säker HTTPS-anslutning till en osäker HTTP-anslutning).

Obs! All information som visas här är helt publik. Alla besökares webbläsare får reda på den varenda gång de besöker webbplatserna i fråga.

Resultatet

Kartläggningens resultat var värre än väntat. Av de 35 universiteten och högskolorna fanns fyra stycken som inte ens stödde HTTPS-anslutningar:

  • Umeå Universitet (umu.se)
  • Gymnastik- och idrottshögskolan (gih.se)
  • Högskolan i Dalarna (du.se)
  • Stockholms konstnärliga högskola (uniarts.se).

Att inte stöda HTTPS är helt oacceptabelt 2018. Lyckligtvis verkar inga inloggningsuppgifter skickas okrypterade på dessa webbplatser, men i och med att sidorna läses in över osäkra HTTP-anslutningar är det enkelt för angripare att kapa anslutningarna.

Nästan lika illa var att endast 23 av de 35 universiteten och högskolorna uppgraderade alla osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. Än idag accepterar alltså tolv svenska universitet och högskolor osäkra HTTP-anslutningar. Av alla undersökta lärosäten var det dessutom enbart ett som hade aktiverat HSTS. Det var Försvarshögskolan.

Umeå universitets startsida kan enbart läsas in över en osäker HTTP-anslutning.
Umeå universitets startsida kan enbart läsas in över en osäker HTTP-anslutning.

Sammanfattning

I vår kartläggning hade 12 av 35 svenska universitets och högskolors webbplatser betydande brister i hanteringen av autentiserade och krypterade anslutningar. Fyra av lärosätena hade direkt allvarliga brister (däribland Umeå universitet och Högskolan i Dalarna). Försvarshögskolans webbplats var den enda helt korrekt konfigurerade sådana.

Tips! Läs även Stora svenska webbplatser saknar HTTPS-stöd.

Översikt

Här kan du se hur olika universitets och högskolors webbplatser ligger till (data från 2018-07-26).

Universitet

Stöder HTTPSKräver HTTPSStöder HSTS
Uppsala universitetJaNejNej
Lunds universitetJaJaNej
Göteborgs universitetJaJaNej
Stockholms universitetJaJaNej
Umeå universitetNejNejNej
Linköpings universitetJaJaNej
Karolinska institutetJaJaNej
Kungliga tekniska högskolanJaJaNej
Chalmers tekniska högskolaJaNejNej
Luleå tekniska universitetJaJaNej
Handelshögskolan i StockholmJaJaNej
Sveriges landsbruksuniversitetJaJaNej
Karlstads universitetJaJaNej
LinnéuniversitetetJaJaNej
Örebro universitetJaJaNej
MittuniversitetetJaJaNej
Malmö universitetJaJaNej

Högskolor

Stöder HTTPSKräver HTTPSStöder HSTS
Blekinge tekniska högskolaJaJaNej
FörsvarshögskolanJaJaJa
Gymnastik- och idrottshögskolanNejNejNej
Högskolan i BoråsJaNejNej
Högskolan i DalarnaNejNejNej
Högskolan i GävleJaJaNej
Högskolan i HalmstadJaNejNej
Högskolan i KristianstadJaJaNej
Högskolan i SkövdeJaNejNej
Högskolan VästJaJaNej
Mälardalens högskolaJaNejNej
Stiftelsen Högskolan i JönköpingJaJaNej
Södertörns högskolaJaNejNej

Konstnärliga högskolor

Stöder HTTPSKräver HTTPSStöder HSTS
Beckmans designhögskolaJaJaNej
KonstfackJaJaNej
Kungliga konsthögskolanJaNejNej
Kungliga musikhögskolanJaJaNej
Stockholms konstnärliga högskolaNejNejNej

Lämna en kommentar

Fler Bli säker-nyheter

Nyhetsbrev

Få Bli säker-nyheterna till din inkorg en gång per vecka. Läs mer.

Följer du oss?