Vad på internet går att lita på?

Det kryllar av artiklar och nyheter om vad man bör undvika på nätet, hur man känner igen skadliga länkar och säkrar sin digitala närvaro. Men om vi vänder på steken - vad kan man egentligen lita på på internet? Hur fungerar tillit på internet och vem är det som ser till att den efterlevs? Vad betyder egentligen det där gröna hänglåset vid adressfältet i webbläsaren?

Djupt inne i den snåriga skog som är din webbläsares inställningar finns en liten flik som heter Certifikat eller Certificates på engelska.

Ditt operativsystem och din webbläsare kommer skeppad med ett hundratal förinstallerade s.k. root-certifikat. Ett root-certifikat skapas och ägs av en Certificate Authority (CA) som i sin tur utfärdar de certifikat som används av allehanda webbsidor och tjänster. Vill du skaffa ett eget certifikat får du generellt hosta upp en slant för ett tidsbegränsat certifikat och vissa Certificate Authorities gör ytterligare koll på att du är vem du utger dig för att vara, att ditt företag är legitimt etc. Det går också att utfärda egna, självsignerade certifikat som du importerar i din webbläsare - ditt företag kan exempelvis tillhandahålla egna certifikat som de distribuerar till sina anställda.

Certifikaten används sedan till att upprätta en krypterad anslutning mellan klienten (du) och servern (webbtjänsten). När du upprättar en anslutning till en webbtjänst sker en så kallad handskakning där en nyckel skapas som är unik och bara kan läsas av dig och servern och generellt endast gäller under din inloggade session. I praktiken innebär detta att onda skurkar som sitter och avlyssnar trafiken mellan dig och webbtjänsten inte kan se vad det är som skickas. Observera att skurkarna fortfarande kan se att det skickas data mellan dig och tjänsten, och att de kan se ungefär vilken storleksordning av data det rör sig om.

Notera också att även om informationen som skickas under transport är att betrakta som säker så är det inte säkert att webbtjänsten går att lita på. Det går att sätta upp en skurkaktig tjänst som efterlever alla säkerhetsrekommendationer , så att ingen utomstående kan se vad som skickas, men servern själv får ta del av precis allt innehåll. Det skulle exempelvis gå att klona en hemsida, få den att se likadan ut som den riktiga sidan och tillhandahålla ett legitimt, fast separat certifikat. Du kommer då att se samma hänglås, en likadan sida men en annan URL. Det går visserligen att inspektera certifikatet och verifiera om de skiljer sig åt eller ej - men vem gör det?

Den som använder en webbläsare som exempelvis Mozilla Firefox är alltså utlämnad åt att lita på alla de root-certifikat som skeppats med webbläsaren. Det innebär också att du litar på alla de certifikat som varje CA utfärdat, dvs alla de hemsidor som är kunder åt CA:t. För den som inte själv inspekterar certifikaten är det alltså i det här fallet Mozilla som är i toppen av den långa kedjan av tillit.

Det gröna hänglåset innebär alltså att anslutningen mellan dig och den tjänst du surfat in på är krypterad, och att någon som avlyssnar däremellan inte kan se vad som skickas. Även om det absolut är att föredra gentemot okrypterade anslutningar (med rött, öppet hänglås), så är det inte att betrakta som en allmän trygghetssymbol; du behöver fortfarande vara försiktig med vilka sidor du besöker.

Fyra saker att tänka på för dig som surfar:

1. Verifiera att ett grönt hänglås syns i adressfältet på din webbläsare. Tänk på att aldrig ge ifrån dig viktig information såsom kreditkortsnummer eller inloggningsuppgifter om du inte ser det gröna hänglåset. Finns det inget hänglås så kan du försöka säkerställa att det står https:// istället för http:// framför domännamnet.

2. Trots att andelen webbtjänster som stödjer HTTPS ökar stadigt, så gör långt ifrån alla det. Webbläsartillägg som exempelvis HTTPS Everywhere tvingar de tjänster som erbjuder både HTTP och HTTPS att välja det senare. Du har också möjligheten att blockera all trafik över HTTP.

3. Lägg inte till ej betrodda källor utan att vara säker på var de kommer ifrån. Ett importerat certifikat gör inte bara den sidan du vill besöka betrodd utan kan även användas för att signera certifikat för andra sidor. Det är isåfall bättre att göra ett enskilt undantag än att importera certifikat du inte litar på.

4. Håll koll på adressfältet även om hänglåset är grönt. Särskilt om du ska handla över internet, skicka inloggningsuppgifter eller något annat som du inte vill ska hamna i orätta händer. Kontrollera en extra gång så att webbadressen (även kallad URL) ser ut som den ska. Webbadressen består alltsom oftast av företagsnamnet och en toppdomän - exempelvis .com eller .se. Ibland förekommer subdomäner - alltså ett ord före företagsnamnet. Dessa tillhör också företaget och kan ses som säkra.

Exempel:
bloggnamn.blogg.se där bloggnamn är subdomänen, blogg är domännamnet och .se är toppdomänen. Håll utkik om domännamn och toppdomänen ändras - t.ex. bloggnamn.bl0gg.se eller bloggnamn.blogg.se.com.

Sökvägen, eller path som det kallas på engelska, är det som kommer efter toppdomänen och går i allmänhet att lita på eftersom det tillhör samma domän.

Exempel:
https://www.sentor.se/tjanster/