Artikel top billede

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikker

Den ekstremt udbredte protokol til sikre internet-tjenester, HTTPS, rummer en række alvorlige og grundlæggende sårbarheder, advarer sikkerhedsforskere.

En række sikkerhedsforskere angriber HTTPS-protokollen, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Det er forskere fra universitetet i Amsterdam og i Delft, der står bag en længere rapport om HTTPS-markedet.

Her skriver de blandt andet, at HTTPS (Hypertext Transfer Protocol Secure) har udviklet sig til en de fakto standard for sikker web-browsing.

"På samme tid har meget omtalte sikkerhedsbrister - som DigiNotars databrud, Apples #gotofail og OpenSSL's Heartbleed - blottet systematiske sikkerheds-sårbarheder i HTTPS for et globalt publikum," skriver forskerne og nævner samtidig, at også Edward Snowdens afsløringer har påvist overvågnings-huller i HTTPS.

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed," står der i rapport.

Derfor er der klare problemer

HTTPS, der er HTTP-protokollen i forening med SSL/TLS, skal blandt andet hindre man-in-the-middle-angreb, men det er ikke første gang, at denne sikkerheds-model kritiseres.  

Det er allerede et par månederne siden, at forskerne fra Holland fremlagde deres resultater, men netop i disse dage kører debatten om HTTPS på flere forskellige sikkerheds-fora, blandt andet på bloggen hos den anerkendte sikkerhedsekspert og kryptograf Bruce Schneier.

Det skyldes ikke mindst, at sikkerhedsforskerne peger på, at det er i selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, at sikkerheden halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

Fire grundlæggende problemer

Forskerne peger her på fire grunlæggende problemer ved det måde, HTTPS-markedet kører på i dag:

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS:"

"Sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres ("det svageste led"); browserne kan ikke ikke tilbagekalde tilliden til store CA'er ("for stor til at fejle"), CA'er kan skjule sikkerheds-problemer ("asymmetrisk information"), og ultimativt rammes kunder og slutbrugere af ansvaret og skaderne ved sikkerheds-problemer ("negative eksterne virkninger").

Computerworld følger op på sagen senere med et interview med en dansk sikkerhedsforsker. 

Læs også:

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere