FBI varnar för övertro på att HTTPS är säkert

Nu varnar amerikanska FBI för att protokollet Hypertext Transfer Protocol Secure (HTTPS) inte är en garant för att en webbsida verkligen är säker.

Protokollet innebär att det finns en krypterad och säker anslutning till en server, men däremot säger det ingenting om att själva servern är säker. Bakom en HTTPS-adress kan det mycket väl finnas bedragare.

Problemet med osäkra och oseriösa webbsidor som använder HTTPS har tilltagit på senare tid. En bidragande orsak är att HTTPS sedan år 2015 premierats i webbsökningar och setts som en positiv signal av sökmotoralgoritmer. Dessutom har Google Chrome, Firefox och Edge börjat markera sidor utan HTTPS som osäkra. Det förstärker omvänt intrycket att HTTPS är säkert.

Enkelt att arbeta bakom HTTPS – också för kriminella

Utvecklingen har samtidigt drivits på av att det är enkelt också för oseriösa aktörer att skaffa det TLS/SSL-certifikat som krävs för att kunna använda HTTPS. Dessutom finns det alltid en risk att en trovärdig avsändare som använder HTTPS tagits över av kriminella.

– Uppfattningen att en webbsida med HTTPS i sin webblänk är säker har gynnat cyberkriminella. Det är fortfarande viktigt att kommunikationen är säker och inte kan avläsas av obehöriga. Problemet uppstår snarast när det bakom HTTPS-adressen finns kriminella som använder den som en plattform för exempelvis nätfiske, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– På ett sätt kan man säga att IT-branschen har sig själv att skylla över utvecklingen. Under lång tid har budskapet varit att en webbsida med HTTPS är säker. För en lekman är det inte så enkelt att följa med i utvecklingen så det finns ett stort behov av att informera och göra fler införstådda med begränsningarna, säger Per Söderqvist.