Hänglåset i webbläsaren är en av de mest missförstådda sakerna på webben. 2019 spelade jag in ett videoklipp om just detta. Se klippet Det missförstådda hänglåset eller lyssna på avsnitt 21 av Bli säker-podden.
Hänglåset i webbläsarens adressfält garanterar att webbsidan som visas hör ihop med adressen som står i adressfältet. Hänglåset garanterar också att ingen obehörig har ändrat i innehållet på webbsidan (se Flygplans-wifi visar behovet av säkra anslutningar) samt att ingen som avlyssnar nätverket kan se vad som skickas till och från webbservern. Detta är det enda som hänglåset garanterar.
Hänglåset är alltså på intet vis någon garanti för webbplatsens legitimitet eller att dess innehåll är säkert. Det är dock lätt att misstolka hänglåsets innebörd som att så vore fallet. En Google-undersökning från 2022 visade att 89 % av respondenterna hade felaktiga uppfattningar kring hänglåsets innebörd.
Denna utbredda missuppfattning spelar angriparna i händerna. Angripare kan få klonade, lösenordsstjälande och skadeprogramsspridande webbplatser att verka mer legitima genom att poängtera att de har ett hänglås i adressfältet.
Hänglåset tillkom en gång i tiden för att visa vilka webbplatser som stödde säkra anslutningar. På den tiden var det nämligen ovanligt. Standard var att besöka webbplatser över osäkra anslutningar, och så var fallet fram till att Let’s encrypt slog igenom i mitten av 10-talet. Let’s encrypt gjorde att alla webbplatsägare kunde kostnadsfritt lägga till stöd för säkra anslutningar. Det förändrade allt. Januari 2014 var det bara en fjärdedel av världens webbplatsbesök som gjordes över säkra anslutningar (källa: Firefox Telemetry). Nu har andelen klättrat uppemot 99 % (källa: Chrome Telemetry).
Hänglåset har därmed successivt spelat ut sin roll. I takt med att säkra anslutningar har blivit standard har Google också tonat ned sättet som säkra anslutningar indikeras. Backar vi tillbaka till 2018 så skrev jag artikeln Chrome indikerar säkra webbplatser på nytt sätt. Då skulle Google gå från att indikera säkra anslutningar med ett grönt hänglås och texten ”Säker” till ett grått hänglås utan text.
Nu tar Google ytterligare ett steg. I samband med släppet av Chrome 117 kommer Google att byta ut hänglåsikonen mot en inställningsikon. Den slutliga designen är inte spikad, men skärmavbilden här under visar det preliminära utseendet baserat på dagens förhandsversion av Chrome (Chrome Canary).
I ett blogginlägg skriver Googles Chromium-team att den nya ikonen är neutral och inte associeras till webbplatsens trovärdighet. Att det blev just en inställningsikon förklaras av att hänglåsikonen redan idag används för att komma åt webbplatsinställningarna. Google meddelar också att osäkra anslutningar kommer att fortsätta indikeras.
Chrome 117 släpps i september 2023 om allt går enligt plan. Av historien att döma kommer övriga webbläsartillverkare att följa efter i Googles fotspår och låta det numera förlegade hänglåset gå i pension.
Tips! Läs även Sista problemet för Endast HTTPS.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.