Forhøjelse i brug af HTTPS i 2017 forventes også i 2018

2017 var et begivenhedsfuldt år for SSL og online sikkerhed. Nogle udviklinger vil også have en betydelig indvirkning i det kommende år. 2018 lover at være et spændende og dynamisk år. Lad os se på hvad der skete og hvad der kommer til at ske.

Stimulering af HTTPS

En fælles tråd i 2017 er stimuleringen af ​​brugen af ​​HTTPS af browsere og regeringer og udstedelse af gratis certifikater i integrerede løsninger som cPanel. Google overvåger brugen af ​​HTTPS på de top websteder over hele verden. I Holland rapporterer Pulse regelmæssigt over udviklingen og brugen af ​​HTTPS i den offentlige sektor. Foruden overvågning har browsere som Google Chrome og Mozilla Firefox strammet deres browser advarsler flere gange. I øjeblikket er der en aktiv advarsel for ikke-SSL-websites med en 'Ikke sikker' besked på alle usikrede websider, der indeholder indtastningsfelter.

Hvad er resultaterne?

I februar sidste år viste browsere for første gang, at mere end halvdelen af ​​alle websider blev indlæst via HTTPS. Ved udgangen af ​​2017 var dette steget til 66% af alle pageloads via Firefox og 69% af pageloads via Chrome. I begyndelsen af ​​januar 2018 målte Qualys en andel på næsten 65% sikrede hjemmesider, mens 12 måneder tidligere var 51% af alle hjemmesider sikre. Alle lande og platforme viser en konstant stigning uden undtagelse.

Hos Xolphin ser vi en stigning i efterspørgslen efter DV certifikater, mens salget af OV certifikater er forblevet stort set uændret. Derimod ser vi en stigning på ca. 48% i udstedelser af ​​EV certifikater i 2017 i forhold til 2016.

Organisatoriske skift

Diskussionen mellem Google og Symantec og overtagelsen af ​​Symantec SSL-divisionen af ​​DigiCert er kendte emner. Siden december 2017 har DigiCert udstedt Symantec, GeoTrust og Thawte certifikater. I 2018 vil de fokusere på genudstedelse af alle certifikater udstedt inden 1. december 2017. I oktober 2017 købte en stor investor en majoritetsandel i Comodos certifikatafdeling.

Tekniske udviklinger

Mange teknikker og initiativer har tilføjet ekstra kontrol og sikkerhed til HTTPS brugen. Ikke alle teknikker har vist sig at være lige nyttige i praksis. For eksempel har Google meddelt, at de vil stoppe med at støtte Public Key Pinning inden udgangen af ​​marts 2018, fordi der nu findes bedre alternativer, såsom at bruge Certificate Transparency i kombination med CAA poster. Fra september 2017 er alle CA'er forpligtet til at kontrollere CAA posten. Brug af Certificate Transparency skulle være obligatorisk for Domain og Organization validerede certifikater inden oktober 2017, men denne frist er udskudt til april 2018.

CA/Browser forummet har vedtaget et forslag om yderligere begrænsning af varigheden af ​​SSL certifikater. Fra 1. marts 2018 kan alle SSL certifikater have en maksimal løbetid på 825 dage (2 år).

HSTS (HTTP Strict Transport Security) bruges i stigende grad som standard ved HTTPS, således at brugen af ​​en sikker forbindelse håndhæves. I begyndelsen af ​​januar anvendte mere end 15% af de SSL-sikrede websteder HSTS. Anvendelsen af ​​Perfect Forward Secrecy er også steget fra 29,6% til 37% i det forløbne år. Brug af HTTP/2-protokollen voksede gradvist fra 12% til mere end 22% i 2017. For at kunne bruge HTTP/2 kræver de fleste browsere brug af HTTPS for at fremme brugen af ​​SSL.

Hvad sker der i 2018?

Fra januar i år kræver Mozilla at alle nye Firefox-funktioner bruger ​​HTTPS. Google har meddelt at kræve HTTPS for alle websider fra juli i år.

Fra maj vil den nye europæiske lov om beskyttelse af privatlivets fred (GDPR) træde i kraft, hvorved usikker datahåndtering vil blive overvåget og irettesat hårdere. Dels på grund af dette forventes det, at brugen af ​​HTTPS vil vokse endnu mere, og brugen af ​​sikre forbindelser bliver standard.