HTTPS - kryptering og sertifikater

Sikker kommunikasjon mellom nettsted og brukere er viktig for både konfidensialitet og integritet. Nå er referansekatalogen oppdatert, og her får du noen ekstra tips for å etablere HTTPS i henhold til anbefalingen.

Publisert: 24. okt 2018, Sist endret: 11. jan 2019

Nylig la vi ut en artikkel om at anbefalingen for sikker kommunikasjon mellom bruker og nettsted (HTTPS) er oppdatert. Anbefalingen finner du i referansekatalogen under bruksområdet Grunnleggende datakommunikasjon. Dette er en oppfølging med omtale av noen utfordringer vi har observert.

Sikker kommunikasjon

Den tekniske løsningen som brukes for sikker kommunikasjon mellom nettsted og bruker er en kommunikasjonsprotokoll som heter Transport Layer Security (TLS).  Denne har kommet i flere versjoner, den nyeste versjonen er TLS 1.3 som formelt ble publisert som en foreslått standard av organisasjonen IETF (Internet Engineering Task Force) 28. august 2018 (også omtalt som RFC 8446).

Det er viktig å være oppmerksom på at i 2020 vil nettlesere fra Apple, Google, Microsoft og Mozilla ikke lenger støtte de tidligste versjonene TLS 1.0 og TLS 1.1 (hhv. 20 og 12 år gamle). Disse gamle versjonene har flere alvorlige sårbarheter og bør ikke brukes lenger.

Sertifikater

Digitale sertifikater benyttes for å etablere sikre forbindelser. For at et nettsted skal være i stand til å tilby sikker kommunikasjon mellom nettsted og bruker (HTTPS) er det nødvendig å ha et gyldig sertifikat for domenenavnet til nettstedet. Et sertifikat har en angitt gyldighetsperiode og må fornyes regelmessig. Sertifikatene må kjøpes fra en tiltrodd sertifikatutsteder.

Veiledere fra NSM

Nasjonal sikkerhetsmyndighet (NSM) har en veileder om Sikring av kommunikasjon med TLS .

For mer informasjon om å sette opp HTTPS har NSM en veiledning om Hypertext Transport Protocol Secure.

Det kan forekomme at sertifikater blir ugyldige før gyldighetsperioden er utløpt. Derfor er det viktig å følge med på meldinger fra sertifikatutsteder og eventuelle tilbakemeldinger fra brukere. Difi anbefaler å regelmessig teste sine egne tjenester. Qualys tilbyr en gratis SSL Server Test som gir et godt bilde av status for sertifikater.

For tiden er det flere nettsteder som ikke har fått med seg at sertifikatutstederen DigiCert i oktober 2017 overtok den virksomheten selskapet Symantec hadde som sertifikatutsteder. Fra og med 13. september 2018 var alle sertifikater ustedt av Symantec ugyldige, og de som ikke har byttet vil oppleve at brukere får problemer med tilgang til tjenestene etter hvert som nye versjoner av nettlesere ikke lenger godtar de gamle sertifikatene.

Server Name Indication (SNI)

«Server Name Indication» (SNI) er en utvidelse av nettverksprotokollen TLS som løser utfordringen som oppstår når flere tjenester med forskjellige navn deler samme IP-adresse og portnummer. Utvidelsen SNI er en del av standarden RFC 6066 «Transport Layer Security (TLS) Extensions: Extension Definitions». Dersom du bruker TLS 1.3 er det en obligatorisk del av denne standarden å ha etablert utvidelsen SNI.

Dersom du fremdeles bruker en eldre versjon av TLS er det uansett nødvendig å ha etablert SNI dersom flere tjenester deler samme IP-adresse og portnummer. Det vil for eksempel være tilfelle dersom flere nettsteder har samme vertsmaskin, eller dersom et nettsted har flere alternative navn. Er ikke SNI på plass vil brukerens nettleser sannsynligvis få feil sertifikat og som følge av dette varsle brukeren om at nettstedet har sikkerhetsutfordringer.

Deldette

Kontakt