Artikel top billede

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikker

Den ekstremt udbredte protokol til sikre internet-tjenester, HTTPS, rummer en række alvorlige og grundlæggende sårbarheder, advarer sikkerhedsforskere.

En række sikkerhedsforskere angriber HTTPS-protokollen, der bruges til krypteret web-trafik - eksempelvis når nu går ind på netbanken, indberetter nye oplysninger til Skat eller handler i en online-butik.

Det er forskere fra universitetet i Amsterdam og i Delft, der står bag en længere rapport om HTTPS-markedet.

Her skriver de blandt andet, at HTTPS (Hypertext Transfer Protocol Secure) har udviklet sig til en de fakto standard for sikker web-browsing.

"På samme tid har meget omtalte sikkerhedsbrister - som DigiNotars databrud, Apples #gotofail og OpenSSL's Heartbleed - blottet systematiske sikkerheds-sårbarheder i HTTPS for et globalt publikum," skriver forskerne og nævner samtidig, at også Edward Snowdens afsløringer har påvist overvågnings-huller i HTTPS.

"HTTPS er kort fortalt en absolut kritisk, men grundlæggende fejlbehæftet teknologi til cybersikkerhed," står der i rapport.

Derfor er der klare problemer

HTTPS, der er HTTP-protokollen i forening med SSL/TLS, skal blandt andet hindre man-in-the-middle-angreb, men det er ikke første gang, at denne sikkerheds-model kritiseres.  

Det er allerede et par månederne siden, at forskerne fra Holland fremlagde deres resultater, men netop i disse dage kører debatten om HTTPS på flere forskellige sikkerheds-fora, blandt andet på bloggen hos den anerkendte sikkerhedsekspert og kryptograf Bruce Schneier.

Det skyldes ikke mindst, at sikkerhedsforskerne peger på, at det er i selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, at sikkerheden halter.

Her tænkes ikke mindst på de problemer, der har været hos hollandske DigiNotar, ligesom også virksomheder som Comodo og Verisign ifølge rapporten har oplevet databrud.

Fire grundlæggende problemer

Forskerne peger her på fire grunlæggende problemer ved det måde, HTTPS-markedet kører på i dag:

"Nylige databrud hos CA'er (certificate authority) har blottet adskillige systematiske sårbarbarheder og markeds-fejl, der stammer fra den nuværende autentificerings-model til HTTPS:"

"Sikkerheden i hele systemet rammes, hvis bare en af de hundredvis af CA'er kompromitteres ("det svageste led"); browserne kan ikke ikke tilbagekalde tilliden til store CA'er ("for stor til at fejle"), CA'er kan skjule sikkerheds-problemer ("asymmetrisk information"), og ultimativt rammes kunder og slutbrugere af ansvaret og skaderne ved sikkerheds-problemer ("negative eksterne virkninger").

Computerworld følger op på sagen senere med et interview med en dansk sikkerhedsforsker. 

Læs også:

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Sådan kommer dit website sikkert til tops i Google-søgninger

Efter ny kritisk sårbarhed: Drop nu SSL




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere