NSM har publisert anbefalinger om bruk av HTTPS

Publisert: 10.06.2016

Gjennom et prosjekt i NSM har det blitt utarbeidet en rapport om bruk av HTTPS for offentlige nettsteder i Norge. Rapporten er ferdigstilt og kan lastes ned fra Sikkerhetsbloggen.

På bakgrunn av oppdrag fra Justis- og beredskapsdepartementet (JD) har NSM vurdert hvorvidt offentlige nettsteder bør benytte kryptering (HTTPS) for autentisering av offentlige nettsteder, og integritets- og konfidensialitetsbeskyttelse av overføringen av informasjon mot disse nettstedene.

Rapporten er tilgjengelig i sin helhet her og anbefalingen fra rapporten gjengis under:

NSM mener at alle offentlige tjenester på web alltid skal benytte HTTPS. Dette vil gi både autentisering av tjenesten og integritets- og konfidensialitetsbeskyttelse av informasjonen som overføres.

Autentisering av en tjeneste er avgjørende for å bekrefte at man utveksler data med korrekt tjeneste. Ved å ivareta integritetsbeskyttelse vet man at den samme informasjonen som ble sendt av avsender også når mottaker, det vil si at det ikke er gjort endringer i informasjonen under overføringen. Konfidensialitetsbeskyttelse gjør at uvedkommende ikke får innsyn i informasjonen som sendes.

For at HTTPS skal sikre kommunikasjonen må HTTPS benyttes på en sikker måte. NSM anbefaler at tiltrodde sertifikater benyttes sammen med moderne kryptografiske protokoller og mekanismer, og at systemet konfigureres korrekt. NSMs anbefalte implementering er beskrevet i kapittel 5.

NSM anbefaler også at private og kommersielle aktører benytter HTTPS for deres tjenester.

NRK har intervjuet NSMs Bente Hoff om våre anbefalinger om bruk av HTTPS.

comments powered by Disqus