Den overveldende majoriteten av internettrafikken dirigeres nå via HTTPS-forbindelser, noe som ofte blir beskrevet som «sikker». Google har til og med begynt å advare brukere om at HTTP-nettsteder, som ikke bruker kryptering, anses som «ikke sikre». Gitt dette, hvorfor er det da fortsatt såpass mye skadelig programvare, phishing og annen risikabel aktivitet på nettet?
«Sikre» nettsteder tilbyr bare en kryptert forbindelse
Tidligere viste Chrome ordet «Sikker» og et grønt hengelåsikon i adressefeltet når du besøkte en nettside med HTTPS. Moderne utgaver av Chrome benytter et lite grått låsikon, og ordet «Sikker» er fjernet.
Dette skyldes delvis at HTTPS nå betraktes som den nye standarden. Alt forventes å være sikkert som en grunnregel, og derfor advarer Chrome deg kun om en tilkobling er «Ikke sikker» når du går inn på en side via en HTTP-tilkobling.
Fjerningen av ordet «Sikker» har også en annen årsak; det var litt misvisende. Det kunne virke som at Chrome gikk god for innholdet på nettstedet, som om alt på den aktuelle siden var «sikkert». Det er imidlertid ikke tilfelle. En «sikker» HTTPS-side kan være full av skadelig programvare eller være en falsk phishing-side.
HTTPS forhindrer avlytting og manipulering
HTTPS er en god ting, men det gjør ikke alt automatisk sikkert. HTTPS står for Hypertext Transfer Protocol Secure, og er i praksis HTTP-protokollen, men med et ekstra lag av sikker kryptering.
Denne krypteringen hindrer uvedkommende i å overvåke dataene dine under overføring, og forhindrer «mann-i-midten»-angrep, der innholdet på en side endres underveis før det når deg. Dette betyr blant annet at betalingsinformasjon du sender til en side ikke kan fanges opp.
Kort sagt sørger HTTPS for at forbindelsen mellom deg og den aktuelle nettsiden er kryptert og sikker, og ingen kan avlytte eller manipulere innholdet. Det er hele historien.
Det betyr ikke at en side er «sikker»
HTTPS er en nødvendighet, og alle nettsteder bør bruke det. Men det eneste det betyr er at du har en sikker forbindelse til den aktuelle siden. Ordet «Sikker» sier ingenting om innholdet på selve siden. Alt det betyr er at operatøren av nettstedet har kjøpt et sertifikat og etablert kryptering for å sikre forbindelsen.
For eksempel kan en skadelig nettside full av ondsinnet programvare bli levert via HTTPS. Dette indikerer kun at siden og filene du laster ned sendes via en sikker forbindelse, men selve innholdet er ikke nødvendigvis trygt.
På samme måte kan en kriminell registrere et domene som «bankoamerica.com», skaffe seg et SSL-krypteringssertifikat og lage en falsk kopi av Bank of Americas ekte side. Dette er da en phishing-side som viser hengelåsikonet for «sikker» forbindelse, men det eneste det egentlig betyr er at du har en sikker tilkobling til den falske siden.
HTTPS er likevel viktig
Til tross for den misvisende formuleringen nettlesere har brukt i årevis, er ikke HTTPS-sider egentlig «sikre» i seg selv. Overgangen til HTTPS hjelper med å løse enkelte problemer, men det stopper ikke skadelig programvare, phishing, spam, angrep mot sårbare sider eller andre former for svindel på nettet.
Likevel er overgangen til HTTPS et viktig fremskritt for Internett! Ifølge Googles statistikk, lastes 80 % av sidene inn i Chrome på Windows via HTTPS, og Chrome-brukere på Windows tilbringer 88 % av surfeaktiviteten på HTTPS-sider.
Dette gjør det vanskeligere for kriminelle å fange opp personlig informasjon, spesielt på offentlig Wi-Fi eller andre offentlige nettverk. Det reduserer også sjansen for at du vil oppleve et «mann-i-midten»-angrep på offentlig Wi-Fi eller andre nettverk.
La oss si at du for eksempel laster ned en .exe-fil fra et nettsted mens du er tilkoblet et offentlig Wi-Fi-nettverk. Hvis du er tilkoblet via HTTP, kan operatøren av Wi-Fi-nettverket endre filen og gi deg en annen, skadelig .exe-fil. Hvis du er tilkoblet via HTTPS, er forbindelsen sikker, og ingen kan manipulere nedlastingen.
Dette er en stor fordel! Men det er ingen fullstendig løsning. Du må fortsatt benytte deg av grunnleggende sikkerhetspraksiser på nettet for å beskytte deg mot skadelig programvare, oppdage phishing-sider og unngå andre problemer.
Bildekreditt: Eny Setiyowati/Shutterstock.com.