https://
is de nieuwe standaardGeschreven door Wim Latour op donderdag 14 april 2016
Het zal je niet zijn ontgaan dat steeds meer websites gebruik maken van een slotje: . De website heeft dan een SSL-certificaat om een beveiligde verbinding over https://
mogelijk te maken. Een paar jaar geleden zag je dit alleen bij internetbankieren en grote webshops. Waarom is het nu plotseling zo belangrijk dat je de hele website beveiligt? Dat leg ik je in deze blog graag uit.
Wanneer je een website bezoekt, vindt er dataverkeer plaats tussen jou (je browser) en de website (de server). Je browser doet een verzoek aan de server, bijvoorbeeld welke webpagina je wil bezoeken. De server geeft een antwoord door de code en afbeeldingen van de betreffende pagina terug te sturen.
Bij HTTPS (HTTP over TLS) wordt al dit dataverkeer versleuteld verstuurd. Dat is dus de informatie die op de website zelf staat, maar ook de gegevens die de gebruiker direct en indirect achterlaat. Bijvoorbeeld naam- en adresgegevens bij het plaatsen van een informatieaanvraag, maar ook welke pagina's precies bezocht worden, oftewel statistische informatie.
Nu zal je zeggen: de gegevensuitwisseling vindt rechtstreeks plaats tussen de bezoeker en mijn website. Daar zitten toch geen louche bedrijven tussen die deze gegevens kunnen onderscheppen? Inderdaad, meestal niet gelukkig, maar kijk eens naar deze situaties:
Veel malware nestelt zich in de browser van de gebruiker en wacht totdat de gebruiker gevoelige informatie invoert, zoals persoons- of betalingsgegevens. Deze worden dan naar de criminelen doorgestuurd. Of, door op willekeurige momenten advertenties toe te voegen aan websites die bezocht worden. Het lijkt dan alsof er iets mis is met de website, terwijl het probleem bij de nietsvermoedende gebruiker zit.
Inloggen op onbeveiligde wifi-netwerken is niet verstandig. Alles wat de gebruiker op internet doet kan worden afgeluisterd. Maar dat kan ook wanneer je wél moet inloggen op een wifi-netwerk. Met kantenklare tools kan iemand een man-in-the-middle aanval uitvoeren door tussen de gebruiker en het wifi-netwerk te gaan zitten. Dan wordt het surfgedrag niet alleen afgeluisterd, maar kan de kwaadwillende ook de inhoud van websites aanpassen voordat ze de gebruiker bereiken. Bijvoorbeeld door advertenties of malware toe te voegen.
Internetten in de baas zijn tijd? Foei! Er is veel professionele software om bepaald internetverkeer te blokkeren en het surfgedrag van medewerkers in de gaten te houden.
Ook andere aanbieders van gratis internet, zoals hotels en vliegtuigmaatschappijen maken zich hier soms schuldig aan. Ze plaatsen cookies om de gebruiker te volgen of tonen zelfs advertenties. Hiervoor passen ze de webpagina aan die de gebruiker bezoekt. Southwest Airlines doet dat bijvoorbeeld.
Door de verbinding tussen je website en de gebruiker te versleutelen, kan er niet meer geknoeid worden met de inhoud die over de verbinding loopt. Je zorgt als aanbieder van informatie op het internet dus voor veiligheid van bezoekers die zich onbewust in een onveilige internetomgeving bevinden.
Je geeft de bezoeker van je website vertrouwen door kenbaar te maken dat je veiligheid en zijn privacy op internet belangrijk vindt. Dat wordt gedaan met het bekende slotje in de adresbalk. Elke browser laat het op een nét iets andere manier zien, maar ze geven allemaal duidelijk aan dat de website een versleutelde verbinding gebruikt. Let de bezoeker hier op? Ziet hij het als het slotje ontbreekt? Nu misschien nog niet, maar het duurt niet lang voordat https://
de standaard wordt en http://
die oude onveilige standaard is. Browsers leggen dan niet meer de nadruk op de veiligheid van https://
, maar laten ook duidelijk zien wanneer een onveilige http://
verbinding gebruikt wordt. Dat is iets wat de gebruiker zeker zal opvallen!
Bedrijven als Google en Mozilla, beiden ook leveranciers van webbrowsers (Chrome en Firefox) zijn groot voorstander van privacy en het gebruik van HTTPS. Vorig jaar kondigde Mozilla al aan Non-Secure HTTP uit te gaan faseren. Ook Google is van plan om bezoekers te laten zien dat een website geen HTTPS gebruikt.
Gaat je website zonder HTTPS minder hoog score in de zoekresultaten van Google? Nee, ten minste, nóg niet. Maar het zal binnenkort gegarandeerd een onderdeel van het rankingmechanisme worden en wellicht laten ze in de zoekresultaten zien of een website veilig is of niet. Indirect zal dat natuurlijk ook van invloed zijn op het aantal gebruikers dat zo'n onveilige link aanklikt.
Voor het beveiligen van je website heb je een SSL/TLS-certificaat nodig. Deze kun je aanschaffen via de hosting provider van je website. Zij kunnen je adviseren welk type certificaat het beste bij je website past en kunnen de benodigde aanpassingen doen in website en server configuratie. Certificaten worden uitgegeven door instanties die controleren of je bevoegd bent om een bepaalde domeinnaam te beveiligen. Ze gebruiken daarvoor 3 soorten validaties:
Een certificaat kan worden aangevraagd door iemand die controle heeft over de domeinnaam. Het voordeel is dat zo’n certificaat snel kan worden uitgegeven, omdat de validatie automatisch verloopt. Het nadeel is dat het certificaat alleen voor een beveiligde verbinding zorgt en niet de eigenaar van het domein en de website heeft gevalideerd, zoals bij Organisatie validatie.
Wanneer een certificaat met Organisatie validatie wordt aangevraagd, controleert de uitgever van het certificaat aan de hand van externe bronnen of de aanvrager bevoegd is om het certificaat aan te vragen. Zo wordt bijvoorbeeld de Kamer van Koophandel geraadpleegd en zal er telefonisch contact plaatsvinden.
Voor de validatie van een EV (Extended) SSL-certificaat wordt net als bij Organisatie validatie onderzocht of de aanvrager van het certificaat is wie hij zegt dat hij is. Het verschil met Organisatie validatie is dat behalve het slotje, ook de bedrijfsnaam in de adresbalk van de browser wordt weergegeven. Hiermee maak je bezoekers duidelijk dat de website die ze bezoeken daadwerkelijk jouw website is.
Er zijn gratis certificaten, maar ik adviseer om voor een commerciële website minimaal een certificaat met Organisatie validatie aan te schaffen (+/- 50 euro per jaar). Heb je een mooie bedrijfsnaam (ook bij de KvK), dan kun je overwegen of je die ook in de adresbalk wil weergeven met een EV-certificaat (vanaf 100 euro per jaar).
In theorie wel, maar het is mogelijk dat er nog enkele aanpassingen gedaan moeten worden in de website. Een webpagina wordt namelijk pas als veilig bestempeld als alle bronnen ook op HTTPS werken. Verwijs je vanuit een webpagina naar een onveilige (http://
) locatie, bijvoorbeeld voor een routekaartje van Google Maps, een Twitter-button of Zoover-widget, dan zul je deze verwijzingen eerst moeten omzetten naar https://
.
Wanneer een webpagina wel een SSL-certificaat heeft, maar onveilige bronnen inlaadt, kun je dat zien aan het slotje in de adresbalk. Deze verdwijnt of geeft een waarschuwing over Mixed Content.
https://
is niet uitsluitend voor webshops en banken. Het gaat ook niet alleen om de encryptie, maar geeft zekerheid dat er niet met de inhoud gerommeld wordt. De gebruiker ziet je website zoals jij hem bedoeld hebt.
Als website ontwikkelaar in hart en nieren, bemoei ik mij nog regelmatig met de technische aspecten die bij een website komen kijken.
Heeft dit artikel u aan het denken gezet of zou u graag meer informatie willen over een specifiek onderwerp? Graag horen we dit van u! We denken graag vrijblijvend met u mee.