Låsmekanism utan lås

Svenska högskolor slarvar med HTTPS

Igår rapporterade vi om hur Google Chrome straffar osäkra webbplatser genom att skriva ”inte säker” i adressfältet. Det är ett första steg i en process mot att få alla webbplatsägare att lägga till stöd för säkra, krypterade och autentiserade anslutningar (d.v.s. adresser som börjar med HTTPS och inte HTTP).

I samband med detta upptäckte vi att flera av Sveriges universitet och högskolor använde osäkra HTTP-anslutningar som standard. Vi fann detta synnerligen överraskande och bekymrande. För att få en fullständig bild kartlade vi därför samtliga universitet och högskolor som listas på Universitetskanslersämbetets webbplats (vilken för övrigt använder osäkra HTTP-anslutningar som standard). Resultatet var nedslående. 

Kartläggningen

I vår kartläggning koncentrerade vi oss på huvuddomänerna för respektive lärosäte (till exempel lu.se för Lunds universitet). Vi tog inte med subdomäner såsom webmail.lu.se. Vi uteslöt subdomäner eftersom många besökare länkar sig vidare till webbsidor på dessa subdomäner från webbplatsen på huvuddomänen (och en besökskedja blir aldrig starkare än sin svagaste länk).

Vi testade både om det gick att ansluta med säkra HTTPS och med osäkra HTTP. Att stöda HTTPS är nämligen inte tillräckligt. Alla webbservrar måste också uppgradera eventuella osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. De bör också ha en funktion vid namn HSTS (HTTP Strict Transport Security) aktiverad. Den berättar för besökarnas webbläsare att de aldrig någonsin ska besöka den aktuella domänen över en osäker HTTP-anslutning. Det förhindrar så kallade degraderingsattacker (där angripare degraderar en säker HTTPS-anslutning till en osäker HTTP-anslutning).

Obs! All information som visas här är helt publik. Alla besökares webbläsare får reda på den varenda gång de besöker webbplatserna i fråga.

Resultatet

Kartläggningens resultat var värre än väntat. Av de 35 universiteten och högskolorna fanns fyra stycken som inte ens stödde HTTPS-anslutningar:

  • Umeå Universitet (umu.se)
  • Gymnastik- och idrottshögskolan (gih.se)
  • Högskolan i Dalarna (du.se)
  • Stockholms konstnärliga högskola (uniarts.se).

Att inte stöda HTTPS är helt oacceptabelt 2018. Lyckligtvis verkar inga inloggningsuppgifter skickas okrypterade på dessa webbplatser, men i och med att sidorna läses in över osäkra HTTP-anslutningar är det enkelt för angripare att kapa anslutningarna.

Nästan lika illa var att endast 23 av de 35 universiteten och högskolorna uppgraderade alla osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. Än idag accepterar alltså tolv svenska universitet och högskolor osäkra HTTP-anslutningar. Av alla undersökta lärosäten var det dessutom enbart ett som hade aktiverat HSTS. Det var Försvarshögskolan.

Umeå universitets startsida kan enbart läsas in över en osäker HTTP-anslutning.
Umeå universitets startsida kan enbart läsas in över en osäker HTTP-anslutning.

Sammanfattning

I vår kartläggning hade 12 av 35 svenska universitets och högskolors webbplatser betydande brister i hanteringen av autentiserade och krypterade anslutningar. Fyra av lärosätena hade direkt allvarliga brister (däribland Umeå universitet och Högskolan i Dalarna). Försvarshögskolans webbplats var den enda helt korrekt konfigurerade sådana.

Tips! Läs även Stora svenska webbplatser saknar HTTPS-stöd.

Översikt

Här kan du se hur olika universitets och högskolors webbplatser ligger till (data från 2018-07-26).

Universitet

Stöder HTTPS Kräver HTTPS Stöder HSTS
Uppsala universitet Ja Nej Nej
Lunds universitet Ja Ja Nej
Göteborgs universitet Ja Ja Nej
Stockholms universitet Ja Ja Nej
Umeå universitet Nej Nej Nej
Linköpings universitet Ja Ja Nej
Karolinska institutet Ja Ja Nej
Kungliga tekniska högskolan Ja Ja Nej
Chalmers tekniska högskola Ja Nej Nej
Luleå tekniska universitet Ja Ja Nej
Handelshögskolan i Stockholm Ja Ja Nej
Sveriges landsbruksuniversitet Ja Ja Nej
Karlstads universitet Ja Ja Nej
Linnéuniversitetet Ja Ja Nej
Örebro universitet Ja Ja Nej
Mittuniversitetet Ja Ja Nej
Malmö universitet Ja Ja Nej

Högskolor

Stöder HTTPS Kräver HTTPS Stöder HSTS
Blekinge tekniska högskola Ja Ja Nej
Försvarshögskolan Ja Ja Ja
Gymnastik- och idrottshögskolan Nej Nej Nej
Högskolan i Borås Ja Nej Nej
Högskolan i Dalarna Nej Nej Nej
Högskolan i Gävle Ja Ja Nej
Högskolan i Halmstad Ja Nej Nej
Högskolan i Kristianstad Ja Ja Nej
Högskolan i Skövde Ja Nej Nej
Högskolan Väst Ja Ja Nej
Mälardalens högskola Ja Nej Nej
Stiftelsen Högskolan i Jönköping Ja Ja Nej
Södertörns högskola Ja Nej Nej

Konstnärliga högskolor

Stöder HTTPS Kräver HTTPS Stöder HSTS
Beckmans designhögskola Ja Ja Nej
Konstfack Ja Ja Nej
Kungliga konsthögskolan Ja Nej Nej
Kungliga musikhögskolan Ja Ja Nej
Stockholms konstnärliga högskola Nej Nej Nej
Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

Lämna en kommentar

Fler Bli säker-nyheter

Smart belysning som styrs via mobilen.

Det säkra smarta hemmet

I veckans poddavsnitt pratar Nikka med Marko Rajkovic om det säkra smarta hemmet. Vad bör vi tänka på ur ett säkerhetsperspektiv när vi automatiserar våra hem?