Det har länge höjts röster om att man bör använda protokollet https för att kryptera trafik till och från webbsajter. När Edward Snowden gjorde sina avslöjanden för fyra år sedan tog uppmaningarna fart på ordentligt. Nu börjar de hörsammas på allvar.
Antalet sajter som använder https ökar snabbt. Data som publicerats om användningen av webbläsarna Chrome och Firefox visar att över 50 procent av trafiken på webben numera är krypterad och det gäller både datorer och mobile enheter. Det är en ökning med över tio procentenheter sedan ett år tillbaka, skriver IDG News.
Det mesta av den trafik som statistiken gäller går till och från ett fåtal populära sajter, så det finns fortfarande många sajter som inte använder https. Men andelen ökar snabbt.
Säkerhetsexperten Scott Helme undersöker användningen av https på de en miljon mest besökta sajterna i världen. I februari använde 20 procent av dem https, vilket kan jämföras med 14 procent i augusti. Det är en ökning med hela 43 procent på sex månader.
Läs också: Årets värsta bugg? Massiv miss hos Cloudflare ställer till det
Det finns flera anledningar till den snabba ökningen, förutom den grundläggande att https ger flera fördelar vad gäller säkerhet. Implementationsbesvären har minskat, det har blivit billigare och den negativa påverkan på prestanda har minskat.
Varför ska man då använda https? Ett skäl är skydd mot tredjepartsattacker, så kallade man-in-the-middle-attacker, alltså att någon snappar upp och till och med manipulerar kommunikation. Ytterligare ett skäl är att Google prioriterar sajter som använder https i sina sökresultat.
Lägg till det att webbläsare som Chrome och Firefox varnar för vissa formulär i vilka https inte används. I Chrome blockeras även sajter som inte använder https från flera funktioner, till exempel geografisk positionering. Utvecklarna av Chrome planerar dessutom att visa varningar om att sajter som inte är krypterade är osäkra.
Att det historiskt varit krångligt att implementera https har haft flera orsaker, till exempel undermålig dokumentation. Ännu värre är att svagheter i implementationer upptäckts, bland annat på grund av nya attacker, vilket gjort att existerande installationer haft brister. Och en dålig installation är sämre än ingen alls, eftersom den ger en falsk känsla av trygghet.
De här problemen betas av, ett efter ett. På sajter som Qualys SSL finns det till exempel dokumentation och testverktyg.
Ett problem som länge påverkar användningen av https är att det upplevs som om protokollet påverkar prestanda negativt, till exempel vad gäller laddningar av sidor. Men mjukvara för både servrar och klientenheter har förbättrats, så idag är påverkan på prestanda försumbar.
När Google aktiverade https på Gmail 2010 uppmättes en ökad processorbelastning på servrarna på en procent, det krävdes tio kB extra minne per anslutning och nätverkstrafiken ökade med mindre än två procent. Det krävdes ingen extra hårdvara för Google för att börja köra https på Gmail.
Och om man ska dra nytta av https2 för webbtrafik, vilket ger snabbare surfning, måste man införa https på sajten eftersom leverantörerna av webbläsare kräver det. Så man kan kanske säga att det faktiskt går snabbare att surfa med https.
Läs också: Ännu mer tjat om https i Googles webbläsare – och det ger resultat
Tidigare har det kostat att skaffa och förnya de digitala certifikat som krävs för https, vilket framför allt varit ett hinder för små företag och ideella organisationer. Men det bör inte längre vara ett problem, åtminstone inte om man inte behöver utökade certifikat, så kallade ev-certifikat (extended validation). Den ideella organisationen Let's Encrypt som grundades förra året har en automatiserad process för att dela ut certifikat av typen dv (domain validation) gratis. Dessutom delar leverantörer som Amazon ut certifikat gratis. Det samma gäller för sajter som körs på Wordpresstjänsten.
De båda typerna av certifikat, dv och ev, ska erbjuda samma säkerhetsnivå, men ev-typen kräver en striktare verifiering av organisationen som ansöker om ett certifikat och dessutom kan användare se organisationens namn i sina webbläsare när de surfar till en sådan sajt.
Ett annat problem är de säkerhetslarm som aktiveras av att innehåll som hämtats via okrypterade anslutningar visas på sajter som kommunicerar via https. Men de här problemen minskar, eftersom allt fler tredjepartssajter, till exempel annonsnätverk, börjar använda https. Det finns dessutom olika lösningar för att hantera problemet.
Kontentan är att skälen för att inte använda https minskar.
Fotnot: Det krävs trots allt en del jobb för en övergång till https, vilket vi på IDG märkt. Arbetet med att implementera https på våra sajter pågår.
