Sikrere mot id-tyveri

De nye EV SSL-sertifikatene, som nå er på vei ut i markedet, gjør det vanskeligere å stjele personlig informasjon over internett.

Publisert Sist oppdatert

Identitets-tyveri, eller phishing, er en av sikkerhetsutfordringer på internett som fortsatt skaper store problemer for mange mennesker. Folk med urent mel i posen får intetanende nett-surfere til å gi fra seg personlig informasjon, som personnummer og kontonummer. Denne informasjonen blir så brukt til svindel i form av å utstede nye kredittkort eller konti som blir tømt.

Den mye brukte krypteringsprotokollen SSL (Secure Sockets Layer), og etterfølgeren TLS (Transport Layer Security), reduserer faren for identitetstyveri. Https:// i adressefeltet, og en hengelås et eller annet sted i nettleservinduet, viser at kommunikasjonen mellom bruker og nettsted er kryptert, noe som gjør det svært vanskelig å avlytte linjen.

Godkjenner selskap

Problemet med de standard SSL-sertikatene som ligger til grunn for krypteringen er at hvem som helst kan kjøpe dem. Det betyr at det ikke er noe i veien for at en kjeltring kan kjøpe et sertikat og opprette en web-side som er identisk med en seriøs side, men med en litt annen adresse.

Siden brukeren ser hengelåsen, tror han det er trygt å legge inn sin personlige informasjon. I stedet er det etablert en trygg forbindelse til et utrygt nettsted.

For å hindre at "hvermansen" kan kjøpe SSL-sertifikater, har organisasjonen Certification Authority/Browser Forum (CAB Forum) etablert en ny type sertikater som kalles EV (Extended Validation) SSL. For å få kjøpt et EV SSL-sertifikat må kjøper gjennomgå en godkjenningsprosedyre som skal sikre at sertifikater ikke blir brukt til ulovlig virksomhet.

Mikke Mus

- I dag er det enkelt å kjøpe det vi kan kalle "Mikke Mus-sertifikater" på nettet. Ingen sjekker hvem du er, sier Kent Thoresen, salgsdirektør i Commfides.

Commfides er ifølge Thoresen det eneste selskapet som har norsk support til SSL-sertifikater. Commfides er også registrert hos Post- og teletilsynet som registrert tilbyder av kvalifiserte PKI-sertifikater. På vegne av " Root CA-en" (Certificate Authority) Comodo og Geotrust selger selskapet nå også EV SSL-sertifikater.

Også Verisign, som er den klart største leverandøren av SSL-sertifikater, har begynt å forhandle EV SSL.

Mangler forståelse

- Folk er ikke i nærheten av å skjønne SSL. For brukeren er hengelåsen det eneste holdepunktet. Men det er ikke hold i hengelåsen, sier salgssjef Jan Strøm i Commfides.

Ifølge Strøm er tilliten til de gamle sertifikatene ødelagt. Nå håper sertifikat-utstederne at EV SSL skal gjennopprette tilliten, og gjøre det sikrere å foreta transaksjoner og å oppgi personlige opplysninger på nettet.

- Med den nye løsningen går en tredjepart god for at mottageren er den han gir seg ut for å være, understreker salgssjefen.

Grønn adresse

Utviklingen av EV SSL har skjedd i tett samarbeid med nettleser-produsentene. Blant annet har Operas Yngve Pettersen vært en av foregangspersonene for at brukeren på en enkel måte skal kunne skille mellom sikre og usikre nettsteder.

Løsningen er blitt at hele eller deler av adressefeltet i de mest brukte nettleserne, som Internet Explorer, Opera og Firefox, blir farget grønt når går inn på en nettsted med EV SSL-sertifikat. Det vil si, ingen av nettleserne har foreløpig implementert denne funksjonen.

Trenger utbredelse

Datatilsynet har tidligere anbefalt bruk av SSL-kryptering når personopplysninger skal oppgis på internett. Tilsynet regner nå med at mange seriøse aktører vil gå over til EV SSL, og mener at de nye sertifikatene er et skritt i riktig retning.

Ifølge avdelingsdirektør Leif Aanensen har manglende godkjenning av sertifikat-innehaverne vært et problem.

-- EV SSL-sertifikatene vil løse den typen problemer, sier Aanensen.

En forutsetning for at Datatilsynet skal gå ut med en anbefaling om EV SSL, er at tilstrekkelig mange nettlesere støtter standarden.

-- Vi vil helt sikkert anbefale EV SSL på et eller annet tidspunkt, fastslår avdelingsdirektøren.

Ifølge sikkerhetssjef Ole Tom Seierstad i Microsoft vil Internet Explorer 7 bli oppdatert i løpet av januar. Opera har ifølge pr-sjef Thomas Ford foreløpig ikke bestemt seg for når nettleseren vil støtte EV SSL.

Nettsteder med standard SSL-sertifikater vil bli markert med gult, mens adressen til nettsteder med ugyldige sertifikater farges rød. Private og andre ikke-validerte sertifikater, som blant annet brukes til lukkede vpn-forbindelser, kan som før installeres.

Dette er Extended Validation SSL (EV SSL):

Ny type sertifikater som i tillegg til å kryptere forbindelsen mellom et nettsted og brukeren, også garanterer at nettstedet har godkjent av en sertifikat-utsteder (Certification Authority, CA).

Standarden er utviklet av Certification Authority/Browser Forum (CAB Forum), som er et samarbeidsorgan mellom sertifikatutstedere og nettleserprodusenter.

Microsoft Internett Explorer 7 vil etter en oppdatering i slutten av januar vise EV SSL-nettsteder med grønt adressefelt (i tillegg til https og hengelås). Også Opera og andre nettleserselskaper vil støtte EV SSL i løpet av våren.

(www.cabforum.org )