“Anslutningen är inte privat. Det är möjligt att hackare försöker stjäla dina uppgifter.” Det är inte det meddelande man förväntar sig att få när man knappar in adressen till Wikipedia, Kickstarter eller Propublica i webbläsaren.
Men det var precis det felmeddelandet som jag och andra plötsligt möttes av med start igår.
Först var min teori att vi faktiskt var utsatta för en attack av något slag. Inte nödvändigtvis riktad mot oss personligen, utan då troligare mot alla som besökte de webbplatserna.
Så används certifikat på webben #
Felmeddelandet rör de så kallade certifikat som används för att kryptera trafiken på webben. Det är certifikaten som gör om HTTP till HTTPS.
Med HTTPS blir informationen som skickas mellan en server på webben och webbläsaren i din dator eller mobiltelefon krypterat. Det innebär att ingen annan kan se vad som skickas och inte heller manipulera innehållet i trafiken. Det är bland annat därför som du ska titta efter hänglåset upp i adressfältet i din webbläsare innan du fyller i ditt kreditkortsnummer på en webbplats.
Men krypteringen ökar också sannolikheten för att du faktiskt är ansluten till rätt webbserver. Eftersom certifikaten är kopplade till specifika webbadresser går det inte att hur som helst ta ett certifikat från en webbplats och använda det på en annan.
Krypteringen är också ett sätt att stärka användarnas integritet. Även om det inte är uppenbart känslig information som skickas kan det ändå finnas anledning att hålla den hemlig, eftersom den helt enkelt är privat eller personlig. Det är anledningen till att jag krypterar den här webbplatsen och varför jag tycker att fler tidningar borde göra det.
“En ogiltig utfärdare” #
Det är alltså bättre när en webbplats använder HTTPS än när den bara använder HTTP. Bland annat därför att webbläsaren kan varna när något ser misstänkt ut.
I webbläsaren går det att klicka sig vidare när det generella felmeddelandet dyker upp, för att få reda på exakt vad webbläsaren inte gillar med det certifikat den har tagit emot.
Det fel jag oftast snubblat över gäller certifikat som inte längre är giltiga. Certifikaten skapas alltid med en viss livslängd, och sedan måste någon komma ihåg att byta ut dem efter X antal månader. Glömmer teknikerna bort det får användarna felmeddelanden i sin webbläsare.
Men den här gången handlade det om något annat: “Certifikatet har en ogiltig utfärdare,” löd felmeddelandet i den bild som en av mina vänner la upp på Facebook. Men när jag testade samma webbplats, svenska Wikipedia, fick jag inget felmeddelande alls.
Det var här jag började misstänka att det trots allt handlade om något mer än bara mänskligt schabbel.
Sen gick det någon timme, och fick för första gången upp samma felmeddelande från en annan sajt. Men med samma utfärdare, alltså företag som står som garant för att certifikatet är äkta: GlobalSign.
Den mänskliga faktorn #
Samma fel på två olika webbplatser som snart blev tre. Och med samma utfärdare också på den senaste. Så nej, vi är inte utsatta för en omfattande attack. En snabb sökning ledde mig till GlobalSigns twitterkonto där det var ganska tätt mellan förklaringar och ursäkter.
Tilltron i certifikaten byggs upp av förtroendekedjor, där de används för att signera varandra. Det GlobalSign lyckats med var att dra tillbaka ett av de certifikat de använde för att signera kundernas certifikat med1. Med resultat att webbläsarna inte längre litar på dem, utan istället visar en varning för användaren.
GlobalSign har rättat till felet, men så som internet fungerar kommer vi få leva med det i ytterligare några dagar. För att webbsidor ska laddas så snabbt som möjligt mellanlagras de nämligen i så kallade content delivery networks. Istället för att en webbsida hämtas direkt från webbservern när du vill besöka den hämtas den ofta från en mellanliggande server där kopiorna av den uppdateras med jämna mellanrum.
Det stora problemet #
Att några sajter under några dagar inte kommer att fungera som de ska är problematiskt nog. Men det allvarliga är vad sånt här schabbel gör för nätanvändarnas tilltro till de felmeddelanden de möts av i webbläsaren. “Ignorera aldrig en varning om ett felaktigt certifikat” brukar säkerhetsexperter säga. Jag också, när jag föreläser om digitalt källskydd för journalister.
Men om de flesta fel som användarna dyker på beror på den mänskliga faktorn – gamla certifikat som inte uppdaterats eller brutna förtroendekedjor – är det då rimligt att kräva av användarna att de ska ta varningarna på allvar?
Svaret är nej.
Samtidigt vet vi ju alla att situationen på nätet, för integritet och med nätkriminalitet, inte håller på att ljusna. Att då degradera värdet i varningarna på det här sättet är fruktansvärt olyckligt.
- Mer om de tekniska detaljerna hos The Register. ↩︎