Firefox får opportunistisk kryptering

Artiklen blev oprindeligt publiceret den 30/3/2015

Websider kan blive krypteret uden at bruge HTTPS med funktionen opportunistisk kryptering. Firefox indfører den i den kommende version 37.

Formålet med opportunistisk kryptering er at gøre det muligt at beskytte web-kommunikation mod aflytning uden at indføre fuld HTTPS (Hypertext Transfer Protocol Secure).

Det fungerer ved, at browseren i sin kommunikation med serveren indikerer, at den understøtter opportunistisk kryptering. På serversiden kører der foruden den normale webserver også en, der tilbyder krypteret kommunikation. Den sender de ønskede information i krypteret form til browseren.

Opportunistisk kryptering er uden autentifikation. Der er ingen garanti for, at browseren kommunikerer med den rigtige server. Det er der ved HTTPS, hvor serveren præsenterer et signeret certifikat, der dokumenterer dens identitet.

”Hvis du kan køre HTTPS, skal du gøre det. Kun HTTPS beskytter mod man-in-the-middle-angreb,” skriver sikkerhedsforsker Patrick McManus, der har programmeret funktionen til Firefox.

Han mener, at opportunistisk kryptering kan være nyttig i tilfælde, hvor det er vanskeligt at skifte over til HTTPS.

Funktionen kræver, at serveren kører HTTP/2.

Links

• Opportunistic Encryption For Firefox, blogindlæg af Patrick McManus
• Trying out TLS for HTTP:// URLs, blogindlæg af Mark Nottingham
• There is a place for unauthenticated key exchange, but don't tell anyone, artikel af Martijn Grooten