Sista problemet för Endast HTTPS

Nu för tiden ska alla webbplatser stödja säkra anslutningar, det vill säga ha ett hänglås i adressfältet. Då kan besökaren lita på att webbsidan som visas är den rätta, att inget innehåll har bytts ut på vägen och att ingenting som skickas till webbplatsen kan avlyssnas av angripare. Fram till mitten av 10-talet var det många webbplatser som saknade stöd för säkra anslutningar eftersom det krävde ett certifikat, som i sin tur kostade pengar. Let’s encrypt-projektet rådde bot på detta, och nu kan alla webbplatsägare få kostnadsfria certifikat som är lika säkra som betalalternativen.

Idag finns det således inga skäl för en webbplats att inte stödja säkra anslutningar. Nästintill alla webbplatser stödjer också det. Om en webbplats inte stödjer säkra anslutningar är troligtvis något fel. Både Chrome och Firefox har därför en inställning som kallas Endast HTTPS. Den gör att användaren möts av en helskärmsvarning ifall webbläsaren inte lyckas upprätta en säker anslutning. Denna inställning är inte påslagen som standard. Det finns nämligen ett problem kvar att lösa.

Problemet med redirect-servrar

Även om nästintill alla webbplatser stödjer säkra anslutningar är det många organisationer som slarvar med säkerheten på sina ”redirect-servrar”. Det är servrar som skickar vidare besökarna till en annan webbplats. Sådana servrar används exempelvis av multinationella bolag. De kan ha registrerat en domän för varje land, men i stället för att ha webbplatser på varje domän skickar de vidare besökarna till en gemensam .com-domän. Ikea är ett exempel på sådant bolag. När besökare går till ikea.se skickas de vidare till www.ikea.com. Webbplatsen på www.ikea.com stödjer säkra anslutningar. Problemet är att redirect-servern på ikea.se inte gör det. Om besökaren har aktiverat webbläsarens Endast HTTPS-läge möts besökaren därför av en varning.

Google Chrome säger att anslutningen till ikea.se inte är säker.
Google Chrome varnar för att webbläsaren inte kan upprätta en säker anslutning till ikea.se.

Samma problem är vanligt förekommande på klickräkningsservrar som många nyhetsbrevstjänster använder för att se vilka prenumeranter som klickar på länkar.

Mozilla Firefox säger att säker webbplats inte är tillgänglig.
Mozilla Firefox varnar för att webbläsaren inte kan upprätta en säker anslutning till nyhetsbrevstjänstens klickräkningsserver.

Meddela berörda webbplatser

Vi vill så snart som möjligt kunna rekommendera alla läsare att aktivera Endast HTTPS-läget i sina webbläsare. Att göra det redan idag är dock problematiskt. Eftersom så många webbplatsägare slarvar med säkerheten på sina redirect-servrar kommer användarna som har aktiverat Endast HTTPS-läget att mötas av varningar på nästintill daglig basis. Det riskerar göra att användarna slutar ta varningarna på allvar.

Vi vill därför inledningsvis rekommendera våra tekniska läsare att aktivera Endast HTTPS-läget i era webbläsare och att meddela berörda webbplatsägare när ni stöter på bråkande redirect-servrar (ni kan skicka en länk till denna webbsida). Om webbplatsägarna själva har Endast HTTPS-läget avstängt är de troligtvis inte ens medvetna om problemet. Eftersom webbläsaren sparar undantagen kan det också hända att de har klickat sig förbi varningen en gång och sedan glömt bort den.

Aktivera Endast HTTPS-läget

Du aktiverar Endast HTTPS-läget i Google Chrome genom att öppna Inställningar, klicka på Säkerhet och Integritet, välja Säkerhet och slå på Använd alltid en säker anslutning. Du kan gå direkt till den aktuella inställningssidan genom att skriva chrome://settings/security i webbläsarens adressfält.

Funktionen "Aktivera endast HTTPS-läge i alla fönster" är aktiverad i Google Chrome.
Aktivera ”Endast HTTPS-läget” från Google Chromes inställningssidor.

I Mozilla Firefox gör du samma sak genom att öppna Inställningar, klicka på Sekretess & säkerhet och kryssa i Aktivera endast HTTPS-läge i alla fönster. Du kan gå direkt till den aktuella inställningssidan genom att skriva about:preferences#privacy i webbläsarens adressfält.

Både Microsoft Edge och Apple Safari kommer att få stöd för Endast HTTPS-läget i framtiden. Det finns redan en experimentell funktion för detta i båda webbläsarna.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Aram Rassam

    Tack för att ni delar!
    De flesta webbsidor som inte har säker anslutning är på grund av att de har köpt webbsidan eller byggt snabbt och har inte hunnit att lägga till sånt!

    1. Karl Emil Nikka

      Ja, det finns säkert flera skäl. Anledningen till att jag lyfter det är att det inte bara berör små bloggar utan även betydelsefulla webbplatser som Svea hovrätts. Det verkar som att många webbutvecklare missar detta eftersom de inte själva har Endast HTTPS-läget aktiverat.

Kommentar