Vanaf oktober 2017 laten browsers zoals Google Chrome een groen slotje in de adresbalk zien wanneer een website gebruik maakt van HTTPS. Naast het groene slotje wordt ook de tekst “veilg” getoond. Helaas is dit misleidend en gelukkig gaat Google hiermee stoppen.

Slotje?

Wanneer een slotje in je browser getoond wordt, dan betekent dat de website gebruik maakt van HTTPS. HyperText Transfer Protocol Secure, afgekort HTTPS, is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens die verstuurd worden tussen de browser en de webserver waar de webpagina op gehost wordt versleuteld. Hierdoor zou het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk moeten zijn om te weten welke gegevens verstuurd worden. Een HTTPS-verbinding is in feite een Transport Layer Security (TLS)-verbinding met daarin een normale HTTP-verbinding. De TLS-verbinding versleutelt hierbij het HTTP-verkeer, waardoor het verkeer, als het onderschept wordt, niet uit te lezen valt zonder het encryptie-algoritme te kraken. Dit in tegenstelling tot normaal HTTP-verkeer. Dit wordt namelijk als onversleutelde tekst over de verbinding verstuurd, waardoor het zonder iets te kraken uit te lezen valt als het onderschept wordt.

HTTPS != veilig

Binnen de informatiebeveiliging zal men niet snel zeggen dat iets veilig is. Door dat te stellen kan de suggestie gewekt worden dat een systeem niet te kraken is, of dat er niet op in te breken valt. Dat is dan ook het grootste bezwaar bij het tonen van de tekst “veilig” bij het bezoeken van websites. Je browser kan namelijk niet stellen dat een website veilig is! Hier zijn een aantal redenen voor:

Ten eerste zijn er verschillende soorten TLS-certificaten te koop. Er zijn goedkope TLS-certificaten te krijgen waarbij de uitgever van het certificaat niet het hoogste betrouwbaarheidsniveau geniet en ook niet sterkste encryptiesleutels gebruikt. Daardoor zou een TLS-certificaat relatief eenvoudig gekraakt kunnen worden en kan de schade niet goed verhaald worden op de uitgever.

Ten tweede kan iedereen een TLS-certificaat aanvragen. Ook kwaadwillenden zijn ervan op de hoogte dat browser makers naar het gebruik van TLS kijken. Daarom rusten zij hun websites ook uit met een certificaat, waardoor browsers deze als “veilig” presenteren.

Ten derde kan een browser aan de hand van het TLS-certificaat niet vaststellen of een website geen malafide content bevat. Ook al heeft de website eigenaar geen kwade intenties, door bijvoorbeeld verouderde software te gebruiken kan de website toch geinfecteerd zijn met malafide content. Bezoekers van de website lopen dan nog steeds risico!

Dan maar geen slotje tonen?

Het slotje moet wat mij betreft gewoon blijven, want het geeft de gebruiker in ieder geval de garantie dat de gegevens die hij of zij met de webserver deelt versleuteld worden. De tekst “veilig” moet wel verdwijnen en gelukkig zien partijen zoals Google dat ook in. Na de zomer van 2018 worden alleen onveilige sites nog extra gemarkeerd in Google Chrome. Een veilige site krijgt straks alleen een grijs slotje. Google wil namelijk dat veilige sites de standaard worden. Ze hoeven in die gedachtegang niet extra benadrukt te worden met een groen slotje. Het groene slotje en het woord ‘veilig’ verdwijnen daarom rond september uit Chrome.

Rood slotje

Het slotje voor veilige sites wordt dus grijs. Veilige sites hebben verder ‘https’ voor het adres staan. Alleen ‘http’ (dus zonder ‘s’) is niet veilig genoeg meer. Sites zonder ‘https’ krijgen vanaf juli in Chrome een melding ‘onveilig’. In oktober komt daar een rood hangslotje bij. Internetters kunnen dan snel zien of een site afdoende is beveiligd.

Bronnen

https://nl.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure

https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html