Slutet för onödiga certifikat

För att en webbplats ska stödja säkra anslutningar måste den ha ett certifikat. Sådana certifikat var förr i tiden förknippade med en årlig kostnad. På senare år har processen för certifikatutfärdande automatiserats och kräver numera ingen manuell handpåläggning. Alla webbplatsägare kan därför få ett certifikat utan att betala en enda krona.

Typer av webbplatscertifikat

Det finns flera typer av webbplatscertifikat. Den vanligaste typen är så kallade DV-certifikat eller domänvaliderande certifikat. Webbplatser som har sådana certifikat (och är korrekt konfigurerade) stödjer säkra anslutningar, vilket indikeras med hänglåset i webbläsarens adressfält.

En annan typ av certifikat kallas EV-certifikat eller Extended Validation-certifikat. Sådana certifikat kan inte automatutfärdas och är därför fortfarande förknippade med en årlig kostnad (några tusenlappar per år). Poängen med ”extended validation” är att certifikatutfärdaren genomför en utökad kontroll av webbplatsens bakomliggande organisation. Webbplatser som har sådana certifikat får därför både ett hänglås och organisationens namn i webbläsarnas adressfält.

Meningslösa EV-certifikat

Eftersom certifikatutfärdarna kontrollerar organisationerna som efterfrågar EV-certifikat är det svårt för bedragare att få tag i den typen av certifikat. Jämför det med DV-certifikat som, tack vare automatiseringen, kan utfärdas till nätfiskewebbplatser och andra bluffwebbplatser. Läs mer om detta i artikeln Det missförstådda hänglåset (som också finns som videoversion).

Tanken med EV-certifikat är således god, men principen lider av en uppenbar brist i praktiken. Användarna har ju ingen aning om huruvida webbplatserna som de besöker ska ha ett EV-certifikat eller inte. Vi på Nikka Systems har exempelvis inget EV-certifikat.

Låt oss demonstrera problemet med ett konkret exempel. Här följer de tio mest besökta webbplatserna i Sverige. Försök att dra dig till minnes om vilka av dessa webbplatser har organisationsnamnet i adressfältet likt Bokus hade på den tidigare bilden.

1. Google
2. Youtube
3. Reddit
4. Wikipedia
5. Twitch
6. Facebook
7. Vklass
8. Bing (Live)
9. Blocket
10. Aftonbladet

Av dessa webbplatser är det bara Blocket som har ett EV-certifikat och sitt namn i adressfältet. IT-jättarna Google, Facebook och Microsoft saknar det. Därmed faller hela poängen med EV-certifikat. Om inte alla webbplatser har EV-certifikat kommer användarna aldrig veta om det bara ska vara ett hänglås eller både ett hänglås och ett organisationsnamn i adressfältet.

Certifikatutfärdarna hävdar självfallet att EV-certifikat fyller en viktigt säkerhetsfunktion. Deras affärsidé håller trots allt på att gå i graven, inte minst efter att de förlorade försäljningen av vanliga DV-certifikat. Automatisering var dock det som krävdes för att vi skulle få stöd för säkra anslutningar. 2014 var det enbart en fjärdedel av alla webbplatsbesök som gjordes över säkra anslutningar. Fyra år senare hade automatiseringen gjort att förhållandet var det rakt motsatta (endast en fjärdedel av alla webbplatsbesök gjordes över osäkra anslutningar). Läs mer om detta i Bli säker-boken.

Google ger EV-certifikaten dödsstöten

Varenda gång undertecknad har fått frågan om det är värt att skaffa ett EV-certifikat till sin webbplats har jag svarat nekande. Det är superviktigt att ha ett certifikat och att stödja säkra anslutningar, men mer än så behövs inte. Idag sätter Google äntligen punkt för diskussionen, vilket de gör genom släppet av Google Chrome 77.

En av de stora nyheterna i Google Chrome 77 berör adressfältet. Från och med nu visar Chrome enbart hänglåset (utan organisationsnamn) oavsett vilken typ av certifikat webbplatsen har. Informationen om certifikatet dyker enbart upp när någon klickar på hänglåset.

Genom detta agerande framhävs istället domänen tydligare, vilket trots allt är det viktiga. Så länge webbplatsbesöket sker över en säker anslutning kan användaren lita på att webbplatsen som visas tillhör domänen som står i adressfältet. Ju tydligare domänen framhävs, desto större är sannolikheten att användaren märker om det är fel domän som står där. Det ger säkerhet på riktigt, till skillnad från EV-certifikat som bara kostar onödiga pengar. Certifikatutfärdarna får helt enkelt skala ned och tjäna pengar på andra typer av certifikat som fortfarande behövs. Annars går deras skrå samma öde tillmötes som mjölkbuden gjorde en gång i tiden. Kylskåpen gjorde mjölkbuden överflödiga.