Google Chrome går all-in på https

Från och med Chrome 68 som släpps i början på Juli så kommer samtliga webbsidor som ej använder https att markeras som osäkra. Följande bild påvisar nuvarande samt hur det ser ut efter ändringen:

Och att Google väljer att göra denna ändring är så klart bra för den globala säkerheten på internet.

  • Över 68% av all surf på Android samt Windows använder krypterad https
  • Över 78% av all surf på macOS samt Chrome OS använder krypterad https
  • 81 av topp 100-sajterna i världen använder https som standard

ROBOT-attacken

En ny sårbarhet har uppdagats i flertalet TLS/SSL implementationer. ROBOT är en förkortning och står för Return Of Bleichenbacher’s Oracle Threat.

Attacken kort i korthet ut på att en 19 år gammal sårbarhet i RSA utnyttjas för att lista hur den privata TLS-nyckeln ser ut. Flertalet stora leverantörer såsom F5, Citrix och Cisco har släppt patchar till sina produkter som åtgärdar denna sårbarhet.

Nedan följer en lista med samtliga identifierade sårbara produkterna:

F5 BIG-IP SSL vulnerability CVE-2017-6168
Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382
Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427
Cisco ACE Bleichenbacher Attack on TLS Affecting Cisco ProductsEnd-of-Sale and End-of-Life CVE-2017-17428
Cisco ASA Bleichenbacher Attack on TLS Affecting Cisco Products CVE-2017-12373
Bouncy Castle Fix in 1.59 beta 9Patch / Commit CVE-2017-13098
Erlang OTP 18.3.4.7OTP 19.3.6.4OTP 20.1.7 CVE-2017-1000385
WolfSSL Github PR / patch CVE-2017-13099
Palo Alto Networks PAN-OS exposure to ROBOT attack (unfixed)
IBM Domino Twitter source (Dirk Wetter) (unfixed)
MatrixSSL Changes in 3.8.3 CVE-2016-6883
Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081

Nu flaggar Chrome för osäkra sajter

Sajter som inte använder https får nu en liten i-symbol bredvid adressen i webbläsaren. Om användaren sedan trycker på i-symbolen så framgår det att sajten är osäker:

Därför bör du installera ett SSL-certifikat för att istället få en symbol som visar på att sajten är säker.

Detta är ett av många små förändringar som Google gör i sin satsning att göra webben säkrare.

Varningar från Google Chrome i oktober

Google Chrome kommer att från version 62 som släpps i oktober 2017 att börja att varna för sajter där information skickas okrypterat utan SSL-certifikat (https).

Tidigare från Januari 2017 så varnar Chrome för lösenord och andra känsliga uppgifter som skickas okrypterat men med denna uppdatering från Oktober så kommer ännu fler sajter flaggas.

Passa på redan nu att köpa och installera ett SSL-certifikat för att undvika att tappa besökare och kunder på Er hemsida.

Skärmdump hur det kan se ut när en sajt flaggas av Chrome:

Google Chrome 62

Svenska Företag som Google Varnar!

Bli säker på nätet och beställ SSL-Certifikat på https.se redan idag!

Över hälften av Sveriges 100 största företags hemsidor bedöms av Google som osäkra. Däribland giganter som H&M, Ikea, Volvo och ICA, skriver Svenska Dagbladet (refererat i en artikel från Aftonbladet nedan)

Enligt Google har HTTP-sidor bristande säkerhet. När du laddar ner en hemsida över HTTP kan någon annan på nätverket se eller ändra sidan innan den når dig. Med HTTPS ska förbindelsen däremot inte kunna avlyssnas och användaren ska kunna lita på att webbservern är densamma som den utger sig för att vara.

Läs mer om detta på Aftonbladet: http://www.aftonbladet.se/minekonomi/a/1lgbJ/svenska-foretagsjattarna-som-google-varnar-for


Nyare ägare på https.se

Miss Hosting är nu nya ägare av tjänsten https. Triop AB som tidigare var ägare väljer att fokusera på konsultverksamhet inom cybersäkerhet.

Miss Hosting har många års erfarenhet av supportärenden och SSL-certifikat inom dess nätverk av tjänster såsom webbhotell, VPS och domäner.

Jonas Lejon som är VD på Triop kommenterar:

Jag ser Miss Hosting som en perfekt organisation att driva vidare och utveckla https.se

Google Chrome markerar sajter som osäkra

Från och med Januari 2017 så har Google genomfört en visuell förändring i sin webbläsare Chrome.

Förändringen ser ut enligt nedan bild och gäller för sajter som inte har SSL-certifikat (https) och där du som besökare kan logga in eller skicka in kreditkort.

Google tar bort StartCom samt WoSign

Google meddelade på måndagen att det har beslutat att misstro certifikat från WoSign och StartCom på grund av deras oförmåga att upprätthålla den höga standard som förväntas av certifikatutfärdare (CA). Detta innebär att root-certifikatet i webbläsaren Google Chrome  kommer att raderas för dessa två utfärdare.

Detta gäller certifikat som är utfärdade efter Oktober 21 och från och med Chrome version 56.

Även Apple samt Mozilla har meddelat att de ej litar på StartCom samt WoSign och avser att ta bort dessa.

Problem med telefonin

Uppdatering 2016-10-23: Nu fungerar telefonin som vanligt igen.

Vi har för närvarande problem med telefonväxeln. Det går därför att inte nå oss via telefon just nu.

Därför rekommenderar vi E-post: support@https.se tillsvidare.

SSLLabs A+ på https.se

Efter ett uppdatering av vårat eget certifikat på https.se så har vi haft ett sämre betyg enligt den skala som SSL Labs använder för att räkna. Vi har dock nu uppdaterat vår konfiguration så vi nu har högsta betyg igen:

SSLLabs