Usikre offentlige nettsider // HTTPS usage on government domains in Norway
NRK gjennomgikk 11 926 nettside-domener eid av det offentlige i Norge for bruk av sikker tilkobling over HTTPS. Undersøkelsen avdekket svært lav utbredelse på 4% og over hundre nettsteder med usikkert oppsett til tross for at de hadde teknologien.
//
English summary:
Norwegian Broadcasting Corp. (NRK) tested 11.926 government owned domains in Norway for HTTPS usage using the SSL Labs API. Only 4% of the active domains had implemented such secure connections for their visitors. The tests also revealed 102 sites with lacking or outdated configurations granting them an F score by SSL Labs – including military web services and a site for reporting serious crime to national police.
Her er en liste over nettartiklene laget etter undersøkelsen:
- nrk.no: Ba om bombetips på sårbar nettside
- nrk.no: Slik gjør du livet litt surere for nettsvindlere
- nrk.no: Usikkert nett – lav utbredelse av HTTPS
- nrk.no: Offentlige nettsteder bakpå også innen andre sikkerhetsstandarder
- nrk.no: Difi vurderer nye HTTPS-anbefalinger etter NRK-saker
NRK brukte Brønnøysundregistrene, databaseoppslag i det norske domeneregisteret og API-tilgang til en testtjeneste for å gjøre undersøkelsene av kryptering på offentlige nettsteder.
Beskrivelsen under ble opprinnelig publisert på NRKbeta.
Av ren nysgjerrighet mens en vi lekte med oppsett av egne personlige nettsider testet vi i 2015 en del offentlige nettsteder med åpne testløsninger på nettet.
SSL Labs er en nettjeneste for å sjekke hvordan HTTPS-kryptering er satt opp.
HTTPS-kryptering er er den teknologien som sikrer at informasjon sendes sikkert og kryptert mellom nettleseren på en datamaskin/mobiltelefon/nettbrett til serveren som drifter nettstedet.
For folk flest er det snakk om hengelåsen i adressefeltet når man besøker nettbanken eller Facebook.
I våre små eksperimenter i 2015 fant vi litt overraskende at flere nettsteder drevet av det offentlige hadde satt opp HTTPS, men likevel fikk strykkarakter og bokstaven F i testen hos SSL Labs.
Videre undersøkelser viste at testen var ganske anerkjent. Både det norske Direktoratet for forvaltning og IKT (Difi) og Det hvite hus anbefalte og brukte testen. Dårlige karakterer betød stort sett at maskinene som drev nettstedet var dårlig satt opp eller ikke oppdatert med de siste sikkerhetsoppdateringene.
Etter å ha funnet en håndfull slike dårlige eksempler bestemte vi oss for å gjøre en litt bredere undersøkelse.
Skaffe oversikt over offentlige nettsteder
Tanken var at vi ønsket å teste et større utvalg nettsteder eid av det offentlige i Norge.
Først tok vi derfor kontakt med Difi og spurte om de hadde en liste over offentlige nettsteder siden de selv anbefalte testen, og drev med vurdering av nettsteder og nettjenester. Svaret var at de ikke hadde noen fullstendig oversikt liggende.
NRK måtte dermed gå til andre kilder.
Vi visste fra før at de aller fleste .no-domener er koblet til virksomheter registrert i Brønnøysundregistrene.
Vi valgte derfor å gå til dataene i Enhetsregisteret, og hentet ut alle registrerte virksomheter under sektorkodene 6100 – Stats- og trygdeforvaltning, 6500 – Kommuneforvaltningen, 1100 – Statens forretningsdrift, 3900 – Statlige låneinstitutter mv.
Fra registeret fikk vi da en liste på rundt 2 500 virksomheter med organisasjonsnummer.
Listen inneholdt alle kommuner, fylkeskommuner, departementer og statlige direktorater. Samtidig inneholdt den også mange mindre organer som f.eks. mindre kommunale foretak eller kirkelige sogn.
Oppslag basert på organisasjonsnummer
Siden vi visste at domeneregisteret hos Norid inneholdt et felt for organisasjonsnummer for å vise hvem som eier domenet hadde vi et håp om at ei kjøring i en database kunne hjelpe oss.
Vi tok derfor kontakt med Norid som forvalter registeret over .no-domener, og spurte:
«Jeg vurderer å gjøre en undersøkelse som journalist rundt bruken av kryptering (https/tls) på offentlige nettsteder i Norge.
I den sammenheng hadde det vært veldig fint om Norid kunne vært behjelpelige med å gjøre en direkte spørring i databasen over domeneeierskap (whois) basert på en liste organisasjonsnummer jeg kan gi dere. Er dette mulig?»
Etter litt fram og tilbake var svaret ja.
Vi sendte over ei Excel-fil med rundt 2 500 organisasjonsnummer. Tilbake fikk vi ei Excel-fil med 11 344 domener og hvilket organisasjonsnummer i vår oversikt det tilhørte. Norid hadde også lagt med info om domenet var signert med den nye sikkerhetsstandarden DNSSEC.
Slik så regnearket ut etter databaseoppslaget hos Norid.
Med denne informasjonen kunne vi enkelt sammenstille våre data fra Brønnøysundregistrene og Norid i et databaseprogram siden de hadde organisasjonsnumrene felles.
I tillegg til informasjonen fra Norid fikk vi hentet ut inforasjon om alle domener under .kommune.no/.herad.no fra KS og om .dep.no/.stat.no fraDSS siden de ikke ligger i Norids base. Vi hentet også ut noen stikkprøver fra domener under .mil.no ved å lete på Google etter kjente adresser for søkemotoren.
Til slutt satt vi igjen med ei liste på 11 926 domener. Det er ikke en offisiell eller fullstendig liste over norske offentlig eide domener, men et ganske bredt og omfattende utvalg.
Automatisert sjekk
SSL Labs er ei nettside som tilbyr sjekk av nettsteder for bruk av HTTPS med teknologiene TLS og SSL. Nettsiden tester om nettsted har satt opp HTTPS, og om det er satt opp riktig uten kjente sikkerhetssvakheter.
For nettstedene som har HTTPS gir siden en karakter fra A+ til F avhengig av hvor godt systemet er satt opp.
SSL Labs har i tillegg gjort testen sin tilgjengelig som en tjeneste gjennom et API. Dette gjør det mulig å automatisere testingen.
Ved å kjøre et lite program kunne NRK dermed gjennomføre testing av flere tusen domeneadresser basert på listene vi hadde fått satt sammen.
En slik kommando ble kjørt fra kommandolinjen for å sjekke mange tusen domener, og deretter lagre resultatet til ei fil.
Maskinen vår måtte så stå i mange timer og gjennomføre tester.
Testresultatene kom ut som store mengder rådata på formen JSON med informasjon om både karakter, hvilke teknologier som hvert enkelt nettsted bruker og eventuelle kjente svakheter.
Disse resultatene viderebehandlet vi så med et script som gjorde de mest interessante dataene for oss om til regneark-aktige filer på formen csv.
Alt sammen ble så igjen lastet inn i et databaseprogram for viderebehandling. Der kunne vi telle opp de ulike kategoriene og hvilke resultater de hadde fått.
Resultatet var:
Vi startet med 11 926 domener i testen. 1 982 av domenene hadde i testperioden den 9. og 10. mars ingen aktiv webserver, og de er derfor ikke tatt med i opptellingen av HTTPS-bruk.
Bare 422 av 9 944 aktive domener eid av det offentlige hadde fungerende https/tls – tilsvarer 4,2 %
Av disse har:
- 180 karakteren A/A-/A+ (42,7 %)
- 55 har karakteren B (13 %)
- 72 har karakteren C (17 %)
- 102 får karakteren F = stryk (24,2 %)
I tillegg har noen fått merking som å ha problemer med sertifikat-tillit, men ellers greit oppsett.