Datasäkerhet och Informationssäkerhet

Robert Malmgren AB

“Trust is good, control is better.”

2011/11/22

Användningen av SSL/TLS i Sverige

Vi har haft ett hobby-projekt och tittat lite på hur nätsäkerhetsprotokollet SSL (eller TLS) används i .SE-zonen, främst för webbtrafik. Dvs hur vanligt förekommande är det att alternativet "https" erbjuds istället för enbart den klassiska "http"-varianten.

Vi har tittat lite på statistik från EFF SSL Observatory som beskriver SSL-förekomsten i hela IPv4-adressrymden på det öppna Internet. För Sverige är det lite mer än 13k siter. Räknar man bort egenutgivna cert, utgångna certifikat, certifikat med trasiga tillitskedjor, certifikat för vissa specifika interna tjänster (citrix, webbmail), så återstår snabbt knappt hälften, ca 4400 webbplatser i .SE-zonen som erbjuder sina tjänster via SSL/TLS. Av totalt över 1.1 miljon. Det är knappt en halv procent (0.5%). Inte direkt imponerande siffror.

Vi har genomfört kontroller av ett antal webbar inom olika sektorer vid två tillfällen, en i början av året och en i slutet av året. Inga konstigheter (läs mixtrande med sidorna, hackande, pentest, edyl offensiva eller inträngande) aktiviteter har utförts, utan bara vanligt surfande mot http-varianten och sedan mot https-varianten (om sådan finns) och därefter kontroll av certifikatet, sidan och uppbyggnaden av sidinnehåll.

Eftersom vi valt betraktningsvinkeln "kan jag, om jag bryr mig om den personliga integriteten, min säkerhet som användare och mitt privatliv, nå webbtjänst X via SSL?", så tittar vi på SSL-användningen ur ett lite ovanligare perspektiv. Det vanliga upplägget är "SSL används när det finns pengar inblandade, tex e-handel eller e-banking", där motivationen är en annan - att skydda transaktionen. Motivet i vå kontroll var att se hur mycket tjänsteleverantörer eller demokratiska institutioner (politiska partier, fackföreningar eller media) egentligen avser att skydda sina webbesökare. Svaret på denna fråga är tyvärr mycket nedslående. Var de lite mer än 4000 webbplatser med certifikaten finns i .SE-zonen så är det i alla fall inte här. Inte på de vanliga åtkomstssätten för dessa webbsidor. Tråkigt tycker vi.

Här finns SweSSL-sidorna med beskrivning om projektet.

Här är en artikel i DN 2011-11-21 som beskriver det hela. Artikeln missar ett antal saker, bla så omnämns inte Andreas alls i artikeln trots att han också intervjuades. Det är lite extra tråkigt eftersom han är den stora drivkraften bakom projektet, vilket inte minst utmynnat i hans oförtröttliga arbete med HTTPS-everywhere regelsettet som en del av SweSSL-projektet.

Kopior av våra OH-bilder från Internetdagarna 2011 finns här


----
Written by Robban @ 2011-11-22