Stockholm Waterfront 25-26 november 2019

Farligt att slarva med certifikat

Det förekommer allt oftare att företag slarvar med certifikaten på sina webbplatser och därför riskerar att förleda användarna till ett farligt beteende. Det vill säga – de blir så vana med den typen av felmeddelanden som trasiga certifikat lämnat så att de slentrianmässigt klickar sig vidare, bara för att de måste vidare. Det kan handla om ett ogiltigt, återkallat eller felkonfigurerat certifikat vilket resulterar i olika typer av varningar till användaren om att inte fortsätta.

Ju fler som skaffar certifikat till sina webbplatser utan att veta vad det innebär och vad det kräver i form av uppdateringar och förnyelser, desto större blir ju problemet, helt klart.

Certifikaten tämligen värdelösa

.SE genomförde för andra gången en undersökning hösten 2008 av bl.a. detta fenomen. Resultatet redovisas i rapporten Hälsoläget. Av det fåtal verksamheter som har certifikat installerade på webbservrarna konstaterade vi då att en stor del använder sig av något annat än allmänt accepterade certifikatutfärdare, och ofta egenutfärdade, självsignerade certifikat. Det medför att webbplatsens besökare inte kan verifiera att de har kommit rätt. Därmed är certifikaten tämligen värdelösa.

De allra flesta användare vill ju bara att det ska fungera, och de får mycket riktigt ett meddelande så fort läsaren får ett certifikat som inte finns inlagt i förväg som utfärdat av en s.k. Trusted Root Certification Authority. Det allra vanligaste är ju att man klickar sig förbi och fortsätter med det man skulle göra, vilket onekligen är ett riskbeteende om det inte är så att du _vet_ att det är OK ändå.

I Internet Explorer 7 får du ett rött adressfält och ett i mina ögon felaktigt felmeddelande.

Felmeddelandet ”The security certificate presented by this website was not issued by a trusted certificate authority.” som man får från Internet Explorer borde ha tillägget ”listed in this browser”, eftersom det är det det handlar om.

Mozilla Firefox mer korrekt och relevant

Beskedet från Mozilla Firefox (som inte markeras med rött men ger ett felmeddelande) är mer korrekt och relevant. Det säger ”Webbplatsen är certifierad av en okänd utfärdare” och med ett antal förslag till orsaker, bl.a. ”Webbläsaren känner inte igen den Certifikatutfärdare som utfärdat certifikatet till denna webbplats.”

Det behöver alltså inte vara något _fel_ på certifikatet, bara för att det inte går att verifiera. Men för tjänster riktade mot den breda allmänheten bör den som erbjuder tjänster givetvis välja en utfärdare som faktiskt finns med i de vanligaste webbläsarna. Listan skiljer sig åt mellan webbläsare dessutom. Så det som inte går att verifiera i den ena läsaren, kan gå utmärkt att verifiera i en annan.

Konsekvenserna av en felaktig eller slarvig användning av certifikat hos den som har tjänster på webben bidrar till att undergräva trovärdigheten av de säkerhetslösningar som ändå finns att tillgå. Och det är kontraproduktivt, för att inte säga dumt.