I veckans avsnitt av NHTV funderar Joel på om webbläsarna har för mycket makt och vad de gör mot hemsidor. Är de acceleratorn som webben behöver eller sätter de webbplatser i en position utan val? Är webbläsarna webbens maffia?
Webbläsare är den moderna PC-världens viktigaste program. De är så viktiga att det till och med har gjorts operativsystem typ helt baserade på dem. Det gör dem också extremt mäktiga. Så mäktiga att de på egen hand kan bestämma hur alla hemsidor i världen ska utvecklas.
Tvingande kryptering
Listan över exempel är för lång för att vi ska gå igenom den men Chrome står till exempel bakom stora delar av den rörelse mot krypterade hemsidor som vi sett de senaste fem åren. När användare får varningar om att hemsidor inte är säkra, tvingas hemsidor helt enkelt att kryptera, även om innehållet möjligen inte är särskilt känsligt. Trots att krypteringsteknik för webben uppfanns år 1994, så användes kryptering bara av cirka sju procent av webbens en miljon mest populära hemsidor år 2015. Bara tre år senare låg den över 50 procent.
Webbläsarnas makt ger oss betydligt snabbare förändringar än vad vi rimligtvis hade kunnat se på webben annars. Kraven på kryptering har tvingat fram lösningar så som Lets Encrypt som har skapat en miljard kostnadsfria certifikat för webbsidor och servrar av olika slag. Frågan är dock om det är så bra att enskilda företag kan göra förändringar som har så stor betydelse, utan att ha resten av branschen i ryggen.
Förändrar branschen på egen hand
Nja, är nog svaret och när det gäller kryptering och certifikat så grundades en branschorganisation kallad Certification Authority Browser Forum år 2011 för att ta branschbeslut om hur certifikat och webbläsare ska fungera. I veckan såg vi dock Apple bekräfta att de i praktiken skiter över hela organisationen och ändrar hur Safari fungerar, helt på egen hand.
Förändringen gör att certifikat, som används för att verifiera hemsidors identitet i relation till användaren, inte får vara giltiga i mycket mer än ett år. Det betyder att hemsideägare måste förnya sina certifikat en gång per år istället för en gång vartannat år. Om de inte förnyas kan hemsidor helt enkelt sluta fungera som tänkt. Precis som har hänt för myndigheter och stora företag.
Med knappt 18 procent av all webbtrafik är det svårt att inte bry sig om Apples nya regler. Det betyder att hela branschen i praktiken måste rätta sig. Är det dåligt? Nja. Korta certifikat anses öka säkerhet, även om ett fungerande annulleringssystem för certifikat troligen hade varit ännu bättre.
DoH för alla, typ
Poängen är i alla fall att de stora webbläsarna kan göra lite vad de vill och tvinga branschen att följa efter. Det utsätter inte bara hemsideägare utan också Internet-leverantörer, som inte längre kan spionera på oss, om Mozilla får som de vill.
Nu har Firefox tryckt på knappen för att alla Firefox-användares DNS-data krypteras och skickas via leverantörer av så kallad DoH, DNS over HTTPS. Det gör att Internet-leverantörer inte längre kan hålla koll på vilka hemsidor du besöker. Både ditt lösenord och bilderna du visar i webbläsaren är krypterade, men nu också adressen som du försöker nå. I Storbritannien utnämnde en grupp operatörer Mozilla till 2019 års ”Internet Villain” eftersom de citat: ”går runt brittiska filtrerings-skyldigheter och föräldrakontroller, vilket underminerar säkerhetsstandarder för Internet i Storbritannien”. Utmärkelsen drogs tillbaka efter kritik men Storbritannien har fortfarande lyckats hålla automatisk DNS-kryptering utanför landets gränser. Webbläsarna verkar alltså inte ha all makt riktigt än.
Med ett fokus på säkerhet och sekretess är kanske inte webbläsarnas maffiabeteende särskilt hemska än. Google Chrome blockerar samtidigt vissa annonser som standard och ser till att företagets egna annonser inte blockeras på deras egna hemsidor. Få användare tycker nog att webbläsarnas maktspel har gått över gränsen hittills och som konsumenter kan vi alltid välja den webbläsare som vi gillar bäst. För serverägare kan dock valet snarare beskrivas som en ”offer he can’t refuse”.
Källor: Lets Encrypt, Statcounter, Apple, Its FOSS, The Register