Varningar om säkerhetscertifikat fungerar inte, säger forskare

Varje websurfare har sett dem. De "ogiltiga certifikat" varningarna du får ibland när du försöker besöka en säker webbplats.

De säger saker som "Det finns ett problem med säkerhetswebbsidan för denna webbplats." Om du är som de flesta, kanske du känner dig vettigt orolig, och enligt en ny tidning från forskare vid Carnegie Mellon University finns det en bra chans att du ignorerar varningen och klickar igenom ändå.

I en laboratorieexperiment fann forskare att mellan 55 procent och 100 procent av deltagarna ignorerade certifikatsäkerhetsvarningar beroende på vilken webbläsare de använde (olika webbläsare använder olika språk för att varna sina användare).

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Alla visste att det var ett problem med dessa varningar", säger Joshua Sunshine, en Carnegie Mellon-student och en av pappersens medförfattare. "Vår studie visade dramatiskt hur stort problemet var."

Det är inte bra nyheter. Ofta visas varningarna på grund av ett tekniskt problem på webbplatsen, men de kan också innebära att websurfaren omdirigeras på något sätt till en falsk webbplats. Webbadresser för säkra webbplatser börjar med "https."

Forskarna utförde en online-undersökning av mer än 400 webbsurfare, för att lära sig vad de tyckte om certifikatsvarningar. De tog sedan 100 personer i ett labb och studerade hur de surfar på webben.

De fann att människor ofta hade en blandad förståelse för certifikatvarningar. T.ex. trodde många att de kunde ignorera meddelandena när de besöker en webbplats som de litar på, men att de borde vara mer försiktiga på mindre trovärdiga webbplatser.

"Det är en bakåtkänning av vad dessa budskap betyder," sa Sunshine. "Meddelandet bekräftar att du besöker webbplatsen du tycker att du besöker, inte att webbplatsen är trovärdig."

Om en bankwebbplats visar ett meddelande om att dess säkerhetscertifikat är ogiltigt är det ett mycket dåligt tecken säger säkerhetsexperter. Det kan innebära att websurfaren utsätts för en så kallad man-i-mitten attack. I den här typen av attacker sätter kriminella sig mellan websurfaren och den plats han besöker, i hopp om att stjäla information.

Säkerhetsexperter har länge visat att dessa säkerhetsvarningar är ineffektiva, säger Jeremiah Grossman, chefstekniker med Webbkonsulter White Hat Security. Det beror på att användarna "verkligen inte vet vad säkerhetsriskerna betyder", sa han via snabbmeddelande. "Så de tar spelningen."

I Firefox 3-webbläsaren försökte Mozilla använda enklare språk och bättre varningar för dåliga certifikat. Och webbläsaren gör det svårare att ignorera ett dåligt certifikat varning. I Carnegie Mellon-labbet var Firefox 3-användare minst sannolikt att klicka igenom efter att ha visat en varning.

Forskarna experimenterade med flera omarbetade säkerhetsvarningar som de hade skrivit själva, vilket verkade vara ännu mer effektiva. De planerar att rapportera sina resultat den 14 augusti vid Usenix Security Symposium i Montreal.

Men Sunshine tror fortfarande att bättre varningar bara hjälper så mycket. I stället för varningar bör webbläsare använda system som kan analysera felmeddelandena. "Om de här systemen bestämmer att det här kommer att vara en attack, borde de helt enkelt blockera användaren," sade han.

Även när man besöker viktiga webbplatser som banker ", ignorerar människor fortfarande varningarna," sa han.