Mistillit til en sertifikatleverandør kan føre til at nesten hundre norske nettsider ikke lenger vil fungere i flere av de største nettleserene.
Store nettsider, deriblant nettsidene til Sametinget og en del kommuner på Sørlandet risikerer å slutte å virke for mange brukere i neste uke. Årsaken er at de bruker løsninger fra en leverandør som Chrome og Firefox ikke lenger stoler på.
Disse to nettleserne har 62 prosent av markedet, ifølge Statcounter.
De berørte nettsidene bruker en sertifikatløsning fra IT-selskapet Symantec. Slike sertifikater sørger for at tilkoblingen mellom din nettleser og nettsiden du besøker er kryptert, og er grunnen til at du ofte får en grønn lås oppe i hjørnet av nettleseren når du er på en side som benytter seg av slike sertifikater.
Denne krypteringsmekanismen benyttes av alle større nettsider som vil verne om både sitt rykte og sikkerheten til brukerne.
Dessverre har Symantec hatt litt dårlig kontroll på hvilke sertifikater som genereres, og noen testsertifikater for anerkjente domener som Google.com har kommet på avveie.
Dette er potensielt sett ganske kritisk for de berørte nettsidene. Hvis sertifikatene havner i feil hender, kan ondsinnede aktører utgi seg for å være legitime nettsider. For deg som bruker kan dette blant annet føre til at du oppgir brukernavn og passord til en nettside som utgir seg for å være noen andre.
Da dette ble avdekket, tok Google og Mozilla, selskapene bak de populære nettleserne Chrome og Firefox, kontakt med Symantec, og forklarte at dette var helt uholdbart. De hadde rett og slett mistet tilliten til Symantec som sertifikatleverandør.
Symantec fikk et ultimatum: Rydd opp i egne systemer eller få alle sine sertifikater svartelistet. Symantec valgte å ikke rydde opp.
Symantecs systemer var rett og slett såpass kompliserte og uryddige, at kostnaden ved å rydde opp ble for stor til at det gav økonomisk mening. De valgte i stedet å selge sertifikatavdelingen til en konkurrerende aktør.
I september i fjor gikk både Google og Mozilla ut og forklarte at nettsider som benyttet seg av gamle sertifikater fra Symantec ikke kom til å fungere i deres nettlesere i løpet av våren.
Undersøkelser som NRK har gjennomført den 9. og 10. april, viser at 98 norske nettsider kommer til å slutte å fungere hvis eierne ikke gjør tiltak.
I løpet av de siste årene har utbredelsen av krypteringssertifikater gått vesentlig opp. Grunnene til dette er flere, men et økt fokus på personvern og sikkerhet kombinert med at det har blitt enklere å skaffe seg og installere disse sertifikatene, er nok blant hovedgrunnene.
Likevel viser våre undersøkelser at svært mange offentlige nettsider ikke benytter seg av krypteringssertifikater.
Flere offentlige nettsider er berørte
Våre undersøkelser viser at ni kommunale nettsider per 10. april benyttet seg av gamle Symantec-sertifikater. I tillegg har fant vi utdaterte sertifikater på Sametingets nettsider, flere kraftselskaper og kollektivtrafikkselskapet Skyss sine nettsider.
De ni kommunale nettsidene det er snakk om administreres av det interkommunale samarbeidet Digitale Vestre Agder (DDV).
I en epost til NRKbeta skriver John Erik Kristensen, som er administrativ koordinator i DDV, at de er klar over problematikken og er i ferd med å bestille nye sertifikater. Om to uker lanseres det nye nettsider for de aktuelle kommunene, og da skal sertifikatproblematikken være løst.
På spørsmål om hvorvidt dette betyr at de nevnte kommunale nettsidene kommer til å oppleve nedetid i overgangsperioden mellom nåværende og nye nettsider, svarer Kristensen at de nå har bestilt nye sertifikater for de ni kommunale nettsidene, samt for fire andre domener som de administrerer. Kristiansen skriver at de regner med at alt skal være i orden til den 17. april.
Også kollektivtrafikkselskapet Skyss sine nettsider var omfattet av denne problematikken, men da NRK tok kontakt, kunne pressekontakt Camilla Lundberg Berntzen informere om at de i løpet av gårsdagen har fått ryddet opp i problematikken, og nettsidene skal fungere som normalt.
NRK har varslet eierne av nettsidene som har dette problemet, slik at de får sjansen til å fikse det før endringen trer i kraft. Eiere av nettsider med sikkerhetssertifikater og HTTPS som vil sjekke om de er berørt, kan besøke sidene sine med Chrome Canary for å se om de får feilmeldinger.
Chrome har en markedsandel på over 57 prosent, ifølge Statcounter. Sammen med Firefox, som har omtrent 5 prosent av markedet, står disse to nettleserne for en absolutt majoritet av nettleserbruken på verdensbasis.
NRK har tatt kontakt med Sametinget, men ved publiseringstidspunkt har de ikke besvart våre henvendelser.