Igår rapporterade vi om hur Google Chrome straffar osäkra webbplatser genom att skriva ”inte säker” i adressfältet. Det är ett första steg i en process mot att få alla webbplatsägare att lägga till stöd för säkra, krypterade och autentiserade anslutningar (d.v.s. adresser som börjar med HTTPS och inte HTTP).
I samband med detta upptäckte vi att flera av Sveriges universitet och högskolor använde osäkra HTTP-anslutningar som standard. Vi fann detta synnerligen överraskande och bekymrande. För att få en fullständig bild kartlade vi därför samtliga universitet och högskolor som listas på Universitetskanslersämbetets webbplats (vilken för övrigt använder osäkra HTTP-anslutningar som standard). Resultatet var nedslående.
Kartläggningen
I vår kartläggning koncentrerade vi oss på huvuddomänerna för respektive lärosäte (till exempel lu.se för Lunds universitet). Vi tog inte med subdomäner såsom webmail.lu.se. Vi uteslöt subdomäner eftersom många besökare länkar sig vidare till webbsidor på dessa subdomäner från webbplatsen på huvuddomänen (och en besökskedja blir aldrig starkare än sin svagaste länk).
Vi testade både om det gick att ansluta med säkra HTTPS och med osäkra HTTP. Att stöda HTTPS är nämligen inte tillräckligt. Alla webbservrar måste också uppgradera eventuella osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. De bör också ha en funktion vid namn HSTS (HTTP Strict Transport Security) aktiverad. Den berättar för besökarnas webbläsare att de aldrig någonsin ska besöka den aktuella domänen över en osäker HTTP-anslutning. Det förhindrar så kallade degraderingsattacker (där angripare degraderar en säker HTTPS-anslutning till en osäker HTTP-anslutning).
Obs! All information som visas här är helt publik. Alla besökares webbläsare får reda på den varenda gång de besöker webbplatserna i fråga.
Resultatet
Kartläggningens resultat var värre än väntat. Av de 35 universiteten och högskolorna fanns fyra stycken som inte ens stödde HTTPS-anslutningar:
- Umeå Universitet (umu.se)
- Gymnastik- och idrottshögskolan (gih.se)
- Högskolan i Dalarna (du.se)
- Stockholms konstnärliga högskola (uniarts.se).
Att inte stöda HTTPS är helt oacceptabelt 2018. Lyckligtvis verkar inga inloggningsuppgifter skickas okrypterade på dessa webbplatser, men i och med att sidorna läses in över osäkra HTTP-anslutningar är det enkelt för angripare att kapa anslutningarna.
Nästan lika illa var att endast 23 av de 35 universiteten och högskolorna uppgraderade alla osäkra HTTP-anslutningar till säkra HTTPS-anslutningar. Än idag accepterar alltså tolv svenska universitet och högskolor osäkra HTTP-anslutningar. Av alla undersökta lärosäten var det dessutom enbart ett som hade aktiverat HSTS. Det var Försvarshögskolan.
Sammanfattning
I vår kartläggning hade 12 av 35 svenska universitets och högskolors webbplatser betydande brister i hanteringen av autentiserade och krypterade anslutningar. Fyra av lärosätena hade direkt allvarliga brister (däribland Umeå universitet och Högskolan i Dalarna). Försvarshögskolans webbplats var den enda helt korrekt konfigurerade sådana.
Tips! Läs även Stora svenska webbplatser saknar HTTPS-stöd.
Översikt
Här kan du se hur olika universitets och högskolors webbplatser ligger till (data från 2018-07-26).
Universitet
Stöder HTTPS | Kräver HTTPS | Stöder HSTS | |
---|---|---|---|
Uppsala universitet | Ja | Nej | Nej |
Lunds universitet | Ja | Ja | Nej |
Göteborgs universitet | Ja | Ja | Nej |
Stockholms universitet | Ja | Ja | Nej |
Umeå universitet | Nej | Nej | Nej |
Linköpings universitet | Ja | Ja | Nej |
Karolinska institutet | Ja | Ja | Nej |
Kungliga tekniska högskolan | Ja | Ja | Nej |
Chalmers tekniska högskola | Ja | Nej | Nej |
Luleå tekniska universitet | Ja | Ja | Nej |
Handelshögskolan i Stockholm | Ja | Ja | Nej |
Sveriges lantbruksuniversitet | Ja | Ja | Nej |
Karlstads universitet | Ja | Ja | Nej |
Linnéuniversitetet | Ja | Ja | Nej |
Örebro universitet | Ja | Ja | Nej |
Mittuniversitetet | Ja | Ja | Nej |
Malmö universitet | Ja | Ja | Nej |
Högskolor
Stöder HTTPS | Kräver HTTPS | Stöder HSTS | |
---|---|---|---|
Blekinge tekniska högskola | Ja | Ja | Nej |
Försvarshögskolan | Ja | Ja | Ja |
Gymnastik- och idrottshögskolan | Nej | Nej | Nej |
Högskolan i Borås | Ja | Nej | Nej |
Högskolan i Dalarna | Nej | Nej | Nej |
Högskolan i Gävle | Ja | Ja | Nej |
Högskolan i Halmstad | Ja | Nej | Nej |
Högskolan i Kristianstad | Ja | Ja | Nej |
Högskolan i Skövde | Ja | Nej | Nej |
Högskolan Väst | Ja | Ja | Nej |
Mälardalens högskola | Ja | Nej | Nej |
Stiftelsen Högskolan i Jönköping | Ja | Ja | Nej |
Södertörns högskola | Ja | Nej | Nej |
Konstnärliga högskolor
Stöder HTTPS | Kräver HTTPS | Stöder HSTS | |
---|---|---|---|
Beckmans designhögskola | Ja | Ja | Nej |
Konstfack | Ja | Ja | Nej |
Kungliga konsthögskolan | Ja | Nej | Nej |
Kungliga musikhögskolan | Ja | Ja | Nej |
Stockholms konstnärliga högskola | Nej | Nej | Nej |
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.