Nettstedene risikerer dette etter at Google kunngjorde sine planer om å merke alle nettsteder som sendes ukryptert over internett.
Fra og med juli i år vil nettsider som ikke bruker kryptering og HTTPS-adresser få følgende tekst foran adressen: Ikke sikker
(eller på engelsk «Not secure»)
Skatteetatens sider er én flere store sider som risikerer dette.
(Se flere eksempler lengre ned i saken)
Google gjør dette som et ledd i en lengre prosess mot et sikrere internett. Prosessen innebærer at nettleserne krever krypterte tilkoblinger for å beskytte brukerne av nettleseren Chrome.
– De siste årene har vi beveget oss mot et mer sikkert internett ved å sterkt anbefale innføring av HTTPS, skriver Emily Schechter i Chromes sikkerhetsteam på en offisiell Google-blogg.
Kryptert overføring av nettsider sikrer ektheten til sidene, at de ikke manipuleres på veien over internett og at ingen spionerer på brukernes aktivitet.
Hvis nettsidene ikke er kryptert, kan en tredjeperson lage en svindelside når du er på åpne nettverk som flyplasser og hotell. Denne siden kan ha riktig adresse og se helt lik ut som den siden du vil gå til – uten at det er mulig for deg å oppdage.
– Som en vanlig nettbruker tenker du kanskje ikke over at en ondsinnet person et sted mellom din datamaskin og serveren til tjenestene du bruker kan lese alt som kommuniserer uten HTTPS. Det kan inkludere passord, kredittkortinformasjon, helseinformasjon og mye mer. Informasjon du kanskje ikke vil at hvem som helst skal ha tilgang til, forklarer Schechter i et foredrag.
Slik vil Chrome merke nettsider som overføres uten kryptering fra juli 2018.
Norske sider henger etter
Bevegelsen mot mer kryptering på internett skjøt virkelig fart etter Snowden-avsløringene i 2013, og har bare økt de siste årene.
Nettleserne Chrome og Firefox har i den prosessen vært pådrivere der de har holdt tilbake ny og avansert funksjonalitet slik at den bare kan brukes på sikre tilkoblinger. De har aktivt merket sider som sender sensitiv informasjon som passord eller kredittkortinfo uten kryptering.
I 2016 skrev NRK om hvordan offentlig eide nettsider i Norge hang etter i innføringen av slike sikre tilkoblinger.
Siden den gang har bruken av slik kryptering blant alle nettbrukere målt av Firefox økt fra 44,2 prosent til 69,7 prosent i dag.
Til sammenligning har bruken på de norske offentlige nettstedene som NRK overvåker økt fra rundt 5 prosent til like over 25 prosent.
Så mange offentlige nettsteder har ikke innført teknologien. Blant dem er det også noen store offentlige nettsteder med svært mange brukere.
De risikerer nå å bli merket som «Ikke sikker» i Chrome når nettleseren innfører nye krav i sommer.
Det viser en fersk gjennomgang NRK har gjort. Blant de rundt 40 største nettstedene er det også flere sider som ikke har tatt overgangen. Dette er sider med medlemskap i Forum for store offentlige nettsteder.
Blant dem er:
- www.skatteetaten.no
- www.ssb.no
- www.uio.no
- www.uib.no
Skatteetaten planlegger å fikse problemet før sommeren
NRK har tatt kontakt med alle de fire store offentlige institusjonene bak disse nettstedene for å spørre om hvorfor de ikke har innført kryptering som standard. Vi har også spurt hva de tenker om at de risikerer å bli merket som ikke sikre for alle Chrome-brukere.
Skatteetaten svarer positivt på henvendelsen.
Sikkerhetsdirektør Svein Mobakken i Skatteetaten
Foto: Skatteetaten– Først og fremst ser vi positivt på at det er fokus på økt sikkerhet generelt. Det er en økende problemstilling, sier sikkerhetsdirektør i Skatteetaten, Svein Mobakken til NRK.
Han forteller samtidig at sidene til skattemyndighetene støtter slik kryptering, men at de har valgt å ikke skru det på som standard ennå på alle sidene sine. Dette fordi de er redde for at noen skal bli stengt ute.
– Grunnen til at dette fortsatt er mulig er fordi ca. 20 prosent av trafikk mot skatteetaten.no går via nettleseren IE. Mange av disse er utdaterte versjoner og vil ikke kunne nå nettsiden dersom vi tvinger de over på HTTPS, sier Mobakken.
Sikkerhetsdirektøren forteller at de har planer om å lansere nye tekniske løsninger. Da vil de utbedre også det som gjelder kryptering.
– Vil dere ha på plass de nye løsningene før Chrome innfører denne nye merkingen?
– Når det gjelder våre nye nettsider, er lansering av disse estimert i god tid før juli 2018, svarer Mobakken.
Utvikling der kryptering blir det vanlige
Tidligere var kryptering av oppkoblinger til nettsteder mest knyttet til banker, nettbutikker og andre sider der det ble utvekslet informasjon om penger eller annen sensitiv informasjon.
Nå anbefales det å innføre teknologien for alle nettsteder – blant annet fordi det sikrer ektheten og reduserer faren for manipulering over nettet.
Norske myndigheter har også innført HTTPS som en formell anbefaling, etter NRKs saker. Den gjelder for alle nettsteder eid av offentlige etater.
Samtidig har det også blitt betydelig enklere å få innført HTTPS på et nettsted. En del leverandører har innført løsninger slik at kundene automatisk får slike krypterte, sikre tilkoblinger uten å selv måtte gjøre mye.
Og sikkerhetssertifikater som trengs på serverne har blitt billigere og enklere å få tak i. Blant annet har aktøren Let's Encrypt kommet på banen med gratis sertifikater som tidligere kunne koste tusenlapper. De og andre har også utviklet løsninger for automatisering slik at drift av HTTPS på servere blir enklere.
– Let’s Encrypt har gjort en god jobb med å standardisere løsninger og legge til rette for automatisering, sier Mads Henriksveen i Buypass til NRK.
Buypass er den eneste rent norske leverandøren av slike sikkerhetssertifikater. De har lang erfaring med å legge til rette for sikre krypterte tilkoblinger.
Mange store offentlige virksomheter bruker tjenestene deres, og de jobber nå også med løsninger som er gratis og automatiserte som Let's Encrypt.
– Vi har jobbet med en slik løsning ganske lenge, men er ikke helt i mål ennå. Vi håper å kunne lansere det snart, sier Henriksveen om automatiseringsløsninger.
Teknikken kalles ACME og er utviklet som en egen åpen standard som alle leverandører kan bruke. For dem som drifter nettløsninger innebærer det at de kan sette det opp én gang. Etterpå kan de automatisk få nye sertifikater når det trengs.
– Vi liker jo automatisering som vil kunne gjøre det enklere for brukerne og de som skal sette opp dette for dem, sier den fagansvarlige i Buypass.
Også i den norske mediebransjen har det vært en utvikling på feltet.
Da NRK begynte å skrive om temaet for et par år siden var det bare ett eller to av de store medie-nettstedene som hadde innført kryptert forbindelse for hovedsiden sin.
Av de ti største nettstedene fra norske mediebedrifter (målt av TNS) har nå ni innført sikker tilkobling med HTTPS.
Under sees siste status fra NRKs skanning av over 9.000 offentlig eide domener for bruk av HTTPS (sist oppdatert 11. februar 2018):