Google vil nå advare brukere om å besøke en rekke norske nettsider. Til NRKbeta oppgir mange av nettsidene at de ikke var klar over at de sto i fare for å svartelistes.
Google startet tirsdag en gradvis utrulling av en ny versjon av nettleseren Chrome. For over 200 norske nettsider vil det bety at de svartelistes av Chrome grunnet en feide mellom Google og Symantec om såkalte sikkerhetssertifikater.
Chrome, som vil advare brukerne sine om å besøke disse svartelistede sidene, har over halvparten av all nettlesertrafikk i Norge. Blant annet benyttes en rød varseltrekant og det står at «angripere muligens prøver å stjele informasjon om deg» som kredittkortinformasjon, passord, og meldinger:
Nettsiden er dermed utilgjengelig uten å omgå sikkerhetsmekanismene som sertifikatene brukes til, og det understrekes at dette gjøres på egen risiko.
Den britiske sikkerhetsforskeren Scott Helme gjennomførte for to uker siden et skann av de én million øverst rangerte nettsidene i verden, noe som avslørte at 1139 toppdomener var utsatt for svartelisting. Siden har mange av disse nettsidene blitt fikset, skriver TechCrunch.
Det var basert på disse funnene at NRK har gjort et skann som tar for seg norske domener.
Mandag var status at 246 nettsider lå an til å bli svartelistet, og da NRKbeta tok kontakt med flere av de største domene oppga flere at de var helt ukjent med problemet.
– Det skulle ikke være slik at man må bli oppringt for å få orden i sysakene, sier Ida Halvorsen til NRKbeta.
Hun er kommunikasjonssjef ved Nationaltheatret, og kunne i løpet av tirsdag fortelle at de har fått på plass en løsning.
Haugesund kommune ble også kontaktet mandag, der oppga Morten Meland at kommunen jobbet med å få det på plass så fort som mulig. Seks mindre kommuner var da også i fare med å bli svartelistet, og alle kommunene har ved publiseringstidspunkt ikke fornyet sine sikkerhetssertifikater. Torsdag formiddag oppga Haugesund kommune at de hadde fornyet sitt sertifikat.
Etter å ha blitt kontaktet av NRKbeta har bokforlaget Aschehoug, Visa, og nettbutikken Gymgrossisten fornyet sine sertifikater.
Hva er greia?
Hele konflikten sporer seg tilbake til en bekymringsmelding på Mozilla sin epostliste for sikkerhet. Der ble det etter hvert stilte spørsmål med hvordan selskapet Symantec delte ut sine sikkerhetssertifikater. Disse sertifikatene brukes til å verifisere at du snakker med rett nettside.
En etterforskning viste, ifølge Google, at Symantec hadde gitt andre organisasjoner muligheten til å utstede slike sertifikater uten at de hadde gode nok sikkerhetsrutiner.
Istedenfor å rydde opp valgte Symantec å selge hele sertifikat-virksomheten sin til en konkurrent. Virksomheter som har benyttet sertifikater fra Symantec blir derfor gradvis svartelistet av nettleseren Mozilla Firefox og Google Chrome, og det kan virke som mange ikke har fått med seg konsekvensene av konflikten.
Det heldigvis ikke vanskelig å bytte sikkerhetssertifikat og oppgaven tar bare noen timer, men det kan sette en støkk i besøkende at nettleseren advarer dem mot å besøke nettsiden.
Mozilla skriver selv at de har planer om å svarteliste alle Symantec-sertifikater, men vil vente til flere nettsider har byttet sertifikater.
En del av en større bevegelse
De siste årene har nettlesere tatt flere steg for å gjøre internett sikrere. En del av dette arbeidet har gått ut på å stille strengere krev til bruk av kryptering (HTTPS) og å vise brukere at en nettside som «ikke sikker» i adresselinjen om HTTPS mangler.
– Uheldig
Øyvind Grinde, som er seksjonssjef i Direktoratet for forvaltning og ikt (Difi), mener det er positivt at nettleserne i varsler brukerne om at nettsider potensielt er usikre. Difi anbefaler i dag alle offentlige nettsider å ta i bruk kryptering (HTTPS), og oppgir at de arbeider for å gjøre det obligatorisk blant offentlige nettsider.
Hvor alvorlig mener dere det er at norske kommuner lar sine sikkerhets-sertifikater bli svartelistet?
– Det er uheldig og det går på tilliten til det offentlige om man som innbygger møter tjenester som ikke fungerer som de skal, sier Grinde.
– For brukere som ikke er teknisk kyndige kan en slik advarsel skape usikkerhet, og det kan gjøre at de ikke får besøkt nettsiden.
Man kan selv undersøke om en nettside er i fare for å svartelistes ved å benytte nettleseren Google Canary eller ved å benytte utviklerverktøyet i en ordinære Chrome-nettleser.
***
Saken er oppdatert med informasjon om at Haugesund kommune i ettertid har fornyet sitt sertifikat.