Medier24 ligger nå på samme server og publiseringsløsning som Teknisk Ukeblad, Tek.no og de andre nettstedene i TU Media, og torsdag gikk også Medier24.no over på https som standard. Det meste Hole skriver om her, gjelder også for våre nettsider.
Denne uka tok Teknisk Ukeblad Media i bruk kryptert overføring av innholdet på sine nettsider.
Heretter leveres TU.no, digi.no, Tek.no, Gamer.no, Inside Telecom og Våre Veger over HTTPS. Diskusjon.no har allerede vært igang i et par uker. (Og nå også Medier24.no).
Hva betyr det for deg som leser?
En HTTPS-sesjon gir beskyttelse mot «tyvlytting» - som skjer ved at overvåkere registrerer hvilke sider en leser går inn på. Mange vil for eksempel sikre seg mot at arbeidsgiver eller myndigheter har denne muligheten.(Illus
Tiltaket beskytter også mot at noen kan endre på de sendte dataene, slik at du skal være sikrere på at det du leser faktisk er publisert av Teknisk Ukeblad Media. I disse tider med en flom av falske nyheter og mistanker om politisk manipulasjon, er det ekstra viktig å sikre at ikke uvedkommende kan forfalske nyhetsformidlingen.
Sikrere distribusjon av annonser reduserer risikoen for at tredjepartsleverandører kan distribuere skadevare.
Innholdet vårt blir enda enklere å finne igjen på Google, fordi søkemotoren prioriterer å vise innhold fra sikre sider, og «straffer» andre.
Hvorfor har vi ikke gjort dette før?
Det er fortsatt ganske langt mellom nettaviser som leverer over HTTPS, og årsaken til at det har tatt litt tid for oss er sammensatt.
Mange av utfordringene har sammenheng med leveranser og distribusjon av annonser.
- Det er ikke bare å skru på HTTPS. Det må også konfigureres på en sikker måte. Våre nettsteder oppnår nå karakteren A i SSL-testen til Qualys SSL Labs. Det er mulig å oppnå A+, men det innebærer tiltak som kan hindre at nettstedet ikke fungerer i litt eldre nettlesere.
Foreløpig har vi ikke skrudd på den ekstra sikkerheten som HSTS (HTTP Strict Transport Security) gir. Vi venter en uke eller to med dette, inntil vi har sett at alt fungerer som det skal.
Det er heller ikke slik at det oppsettet vi bruker nå, kan forventes å være tilstrekkelig om et år eller to. De siste årene har vist at mye krypteringsteknologi som tidligere har blitt ansett som sikkert, nokså plutselig ikke er det lenger. Derfor må man jevnlig sjekke om det har «oppstått sprekker i muren».
Den krypterte forbindelsen vår bruker et sertifikat levert av gratistjenesten Let's Encrypt. Dette valget er gjort sammen med vår hostingpartner, primært fordi det er så enkelt å automatisere administrasjonen av sertifikatene fra Let's Encrypt.
Neste steg: Kryptert tipstjeneste
Kildevern er hellig for pressen, og folk som vil varsle eller tipse oss om sensitivt innhold, skal være trygge på at de ikke blir identifisert av andre.
Derfor ønsker vi ganske snart å innføre en kryptert tipstjeneste, hvor avsender blir anonym for alle, TU-redaksjonen inkludert. Det tekniske rigget vil ligne mye på NRK sitt.
Best mulig brukervennlighet og høyest mulig sikkerhet er viktige målsetninger for tu.no.