14 procent van de populairste Nederlandse websites werkt nog altijd via een onveilige http-verbinding. Van de minder bezochte websites loopt dit percentage zelfs op richting de 34 procent. Dit gaat eind juli 2018 gevolgen hebben voor alle gebruikers van Google Chrome, omdat deze browser vanaf 23 juli alle websites zonder https als onveilig gaat bestempelen. Dit blijkt uit een steekproef van securitybedrijf Cybersprint onder de meest gebruikte websites van Nederland.
Vanaf eind juli 2018 moeten websites bereikbaar zijn met een beveiligde verbinding om in Google Chrome als ‘veilig’ te worden gewaarmerkt. Veel websites zijn inmiddels al voorzien van https in de webadresbalk, maar 14 procent van de meest bezochte .nl-websites heeft nog steeds geen beveiligde verbinding. Dit is te herkennen aan http in de webadresbalk in plaats van https. Voor zowel een bedrijf als de klanten kan dit belangrijke gevolgen hebben.
Groene slotje
Google Chrome kwalificeert alle websites die niet via https worden aangeboden als onveilig. Dit wordt duidelijk door de ‘i’ links naast het websiteadres met als melding ’je verbinding met deze site is niet beveiligd’, in plaats van het groene slotje. Voor websites heeft het ontbreken van https serieuze impact op de online reputatie en ranking, naast mogelijk negatieve invloed op de online verkopen voor webshops. Klanten zullen minder snel vertrouwelijke gegevens invoeren.
Google Chrome is één van de veelgebruikte webbrowsers en zet hiermee voorbeeld voor andere programma’s zoals Internet Explorer, Firefox, Safari en Opera. Op 23 juli, met de update naar Chrome 68, worden deze websites als ‘niet veilig’ gemarkeerd in de adresbalk. Eerst nog gewoon in het grijs, maar vanaf Chrome 70 in oktober in opvallende rode letters.
Ssl-encryptie
Https staat voor ‘Hypertext Transfer Protocol Secure’. Bij een website met https is de verbinding tussen de browser en de website beveiligd met ssl-encryptie. Dit is nu te herkennen aan het groene slot in de adresbalk van de browser. Hiermee zijn de gegevens, welke uitgewisseld worden tussen bezoekers en een website, versleuteld en niet leesbaar voor hackers en cybercriminelen.
Begin 2017 was van de zakelijke .nl-websites slechts 15 procent uitgerust met https, bleek toen uit gecombineerd onderzoek van Sidn en MKB Nederland. Uit de steekproef van Cybersprint eerder deze week blijkt dat veel websites nog steeds niet op orde zijn. Van de honderdduizend door Alexa benoemde meest bezochte website blijkt 14 procent nog niet over ssl-encryptie te beschikken. Bij de minder populaire en dus minder grote websites loopt dit percentage zelfs op richting de 34 procent.
Nepwebsites met groen slot
Het gebruik van het groene slotje in de adresbalk is echter geen garantie dat de verbinding https is, en dus beveiligd is met ssl-encryptie. Dit groene slotje in de browser zou die garantie voor versleuteling van de verbinding tussen de browser en de website moeten bieden, maar Cybersprint ziet echter een toename van het aantal nepwebsites die een groen slotje in de adresbalk tonen, waaronder phishing-websites. Dit bleek ook al eerder uit recent onderzoek uitgevoerd door de NOS en TNO. Een ssl-certificaat, dat nodig is om dit groene slotje te creëren, is tegenwoordig gemakkelijk en gratis te verkrijgen en cybercriminelen maken steeds vaker gebruik van deze weg.
Het versleutelen van de verbinding tussen de browser en website door middel van ssl-encryptie is daarom weer een nieuwe stap om het internet veiliger te maken, meent Cybersprint-directeur Pieter Jansen. ‘Met de toenemende digitalisering neemt de online aanwezigheid van bedrijven toe en helaas ook de digitale dreigingen. Organisaties besteden gelukkig steeds meer aandacht aan de bescherming van hun online omgeving, waaronder hun websites. Dit is essentieel om de bedrijfsreputatie en het vertrouwen van klanten te behouden.’
Wederom verwarring over de betekenis van https. Dit betekent alleen dat de verbinding tussen je apparaat en de website beveiligd is.
Inhoudelijk kan de website zelf dan nog steeds onveilig zijn, bijv met virussen in documenten of apps die je daarvan kunt downloaden.
Door Chrome wordt er gesuggereerd dat een phishing site met slotje als veilig wordt gemarkeerd terwijl een website die alleen maar content aanlevert op HTTP dan als onveilig wordt gemarkeerd… Dat is dan ook niet wat Chrome gaat doen mag ik hopen? Maar het lijkt er wel op.
En laten we wel wezen.. 95% van de internetters heeft geen idee wat een adresbalk is 🙂 Dus of die uberhaubt een slotje zien of rode letters?!? 🙂
En moet een Wiki per se via SSL? De enige die ik kan bedenken is dat iemand die snift niet kan zien wat ik op een site bekijk. Behalve Google dan, die kijkt natuurlijk gewoon mee met hun Chrome browser, of analytics, of die handige embedded fonts en scripts enzo..
En dat er steeds meer phising websites zijn MET een VEILIG slotje is het gevolg van gratis certificaten die ook veel te makkelijk aan te vragen zijn. Goed bedoelt, gratis SSL, maar het geeft veel backfire.
Firefox doet het beter. Als er invulvelden staan of je stuurt op een andere manier informatie dat geeft hij een duidelijke melding dat de informatie die je stuurt onbeveiligd verstuurd wordt. Ook in velden van wachtwoorden meld hij dat.
Ronald, je hebt gelijk. Chrome kun je beter meiden als je iets om privacy geeft.
Een beetje meer diepgang kon dit artikel ook verdragen.