Dåliga bortförklaringar om Google Chromes osäkerhetsmärkning

I somras började Google Chrome märka HTTPS-inkompatibla webbplatser med det ett förnedrande ”inte säker-märke” i adressfältet. Detta har upprört många webbplatsägare som inte har lagt till stöd för HTTPS än (något de borde ha gjort för flera år sedan eller åtminstone i februari när Google informerade om den kommande förändringen).

Webbplatser som stöder HTTPS har ett certifikat som garanterar för besökarens webbläsare att den är på webbplatsen vars adress står i adressfältet. Saknas HTTPS-stöd kan anslutningen kapas utan att besökaren har en chans att märka det. Läs mer i artikeln Google Chrome straffar osäkra webbplatser.

Stockholm Stads webbplats saknar stöd för HTTPS.
Stockholms Stads webbplats saknar stöd för HTTPS.

Sedan varningen infördes har vi fått se flera bortförklaringar till varför webbplatser inte stöder HTTPS. Här är några av de sämsta.

Uppdatering 2018-09-07: Ingen av dessa ursäkter kommer från Stockholms Stad. Stockholms Stad fick figurera i inledningen av artikeln då det är en av Sveriges mest besökta webbplatser som saknar HTTPS-stöd.

”Det räcker att vi stöder HTTPS på inloggningssidorna”.

Falskt! Besökare går sällan direkt till inloggningssidan. De går först till startsidan och klickar sig vidare därifrån. Om startsidan läses in över osäkra HTTP kan angripare byta ut länkarna och leda vidare besökaren till en falsk kopia av inloggningssidan.

”Vi har andra säkerhetsfunktioner som gör att vi inte behöver HTTPS”.

Falskt! Vilka säkerhetsfunktioner som webbplatsägaren har implementerat på sin webbplats har inget med HTTPS att göra. HTTPS garanterar att besökaren kan utbyta data krypterat med webbplatsen samt att adressen som står i adressfältet faktiskt hör ihop med webbplatsen som visas. Ingen annan säkerhetsfunktion ersätter HTTPS.

”Det är något fel med din webbläsare. Prova Firefox/Edge/Safari i stället.”

Falskt! Det är inget fel på webbläsaren. Om det är fel på något så är det på webbplatsen som inte har uppdaterats för att stöda moderna webbtekniker. Det är bara en tidsfråga innan Firefox, Edge och Safari följer i Chromes fotspår.

”Vi har inte råd att köpa ett certifikat för HTTPS.”

Falskt! HTTPS-certifikat utfärdas numera gratis av Let’s encrypt. Det är en teknik som alla seriösa webbhotell stöder idag. Let’s encrypt-certifikat är dessutom underhållsfria. Det räcker att aktivera Let’s encrypt-klienten på webbhotellet så sköter den resten.

”HTTPS behövs inte på vår webbplats eftersom inga besökare skickar data till oss”.

Det påståendet är mer av en åsikt – och en åsikt är webbplatsägaren självfallet berättigad att ha. Google Chrome är lika berättigad att upplysa besökaren om att han eller hon nu besöker webbplatsen över en osäker och potentiellt kapad anslutning.

Vi har inte hunnit fixa HTTPS-stöd än. Vi kommer att lägga till stöd senare i år.”

Rätt svar! Att införa HTTPS på en större webbplats är ett omfattande jobb. Det borde ha gjorts för länge sedan, men bättre sent än aldrig.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar