Sjekkliste for tilkobling til sikre, norske nettsteder

Publisert: 03.03.2016 | Sist endret: 04.03.2016

De fleste nettsteder har i dag sikker tilkobling, vist med hengelås i adresselinjen. Sikkerhetsbloggen presenterer her en sjekkliste for å verifisere hvor sikker denne tilkoblingen er.

For å sikre kommunikasjon over Internett benyttes krypterte kanaler. De to mest brukte kryptoprotokollene for dette er Internet Protocol Security (IPsec) og Transport Layer Security (TLS). Hovedforskjellen er hvilke andre protokoller som bruker disse og til hva.

For sikring av trafikk mot nettsteder og apper benyttes som oftest TLS. Når man bruker nettleser og kobler seg til et sikkert nettsted, indikeres dette som nevnt med en hengelås i adresselinjen. Avhengig av hvilken nettleser man benytter og hvilken type sertifikat nettstedet benytter, vises denne hengelåsen på ulike måter og med ulike farger.

I flere år har brukere blitt oppfordret til å sjekke at hengelåsen er på plass før man utveksler sensitiv informasjon. Nå oppfordrer Sikkerhetsbloggens lesere til å sjekke "tilstanden" til hengelåsen, ved å sjekke hvilke mekanismer som benyttes. Sikkerhetsbloggen introduserer derfor «Sjekkliste for tilkobling til sikre, norske nettsteder».

Sjekkliste for tilkobling til sikre, norske nettsteder:

  • Sjekk om norsk sertifikatutsteder benyttes
  • Sjekk om TLS 1.2 benyttes som tilkobling
  • Sjekk om AES benyttes for konfidensialitetsbeskyttelse

Sjekklistens innhold bør ikke komme som noen overraskelse, da alle tre anbefalingene har vært presentert på Sikkerhetsbloggen og i ulike dokumenter fra NSM.

  • Sikkerhetsbloggen anbefalte Buypass som (til nå, eneste sertifikatutsteder underlagt norsk lov) i dette blogginnlegget fra 2016-02-18.
  • Sikkerhetsbloggen anbefalte TLS 1.2, 1.1 og 1.0 i dette blogginnlegget fra 2015-03-16. NSM fraråder ikke TLS 1.1 og TLS 1.0, men ønsker at kun nyeste versjon benyttes.
  • NSM har anbefalt og krevd AES fra og med Standard Cryptographic Requirements som ble publisert i 2004. Siden har NSM Cryptographic Requirements og ulike innlegg på Sikkerhetsbloggen gjentatt kravet.

Dersom nettstedet ikke møter punktene i sjekklisten, anbefales det å ta kontakt med nettstedet og be dem lese dette blogginnlegget og stramme til sikkerheten.

Sikkerhetsbloggen har tidligere omtalt Qualys' SSL Server Test. For mer interesserte brukere, anbefales denne siden for å sjekke sikkerhetstilstanden til ulike nettsteder. Merk at et nettsted kan få god karakter uten at alle punktene over er møtt.

Hvordan skal man sjekke dette?

Ulike nettlesere har ulik måte å vise hvilke sertifikater og kryptomekanismer som benyttes.

Apple Safari

  1. Trykk på hengelåsen til venstre for adressen i adresselinjen
  2. I vinduet som dukker opp står hvilket sertifikat som benyttes

Merk at informasjon om hvilken forbindelse og kryptering som benyttes presenteres ikke i Safari.

Google Chrome

  1. Trykk på hengelåsen til venstre for adressen i adresselinjen
  2. Velg tilkobling i vinduet som dukker opp
  3. Øverst står hvilket sertifikat som benyttes, i midten står det om TLS benyttes og nederst står det hvorvidt AES benyttes

Microsoft Edge

  1. Trykk på hengelåsen til venstre for adressen i adresselinjen
  2. I vinduet som dukker opp står hvilket sertifikat som benyttes

Merk at informasjon om hvilken forbindelse og kryptering som benyttes presenteres ikke i Edge.

Microsoft Internet Explorer

  1. Trykk på hengelåsen til høyre for adressen i adresselinjen
  2. I vinduet som dukker opp står hvilket sertifikat som benyttes
  3. Velg Fil og deretter Egenskaper
  4. Tilkobling forteller hvorvidt TLS 1.2 og AES benyttes

Mozilla Firefox

  1. Trykk på hengelåsen til venstre for adressen i adresselinjen
  2. Trykk på pilen til høyre i vinudet som dukker opp
  3. Velg mer informasjon
  4. Ved Verifisert av står sertifikatutsteder
  5. Under Tekniske detaljer står det hvorvidt AES og TLS 1.2 benyttes
comments powered by Disqus