HTTPS geen garantie voor betrouwbare website

27.03.2018

Uit een marktstudie, die DNS Belgium eind vorig jaar liet uitvoeren door InSites Consulting, blijkt dat de gemiddelde Belg vertrouwen in een website voornamelijk baseert op de aanwezigheid van https (45%). Aanwijzingen dat het een officiële website is (40%) en de domeinextensie (38%) vervolledigen de top drie van indicatoren.

Uit dat resultaat blijkt dat Belgen een versleutelde internetverbinding herkennen en ze het belang ervan erkennen. Dat is uiteraard positief. Anderzijds schuilt er ook gevaar in, omdat bijna de helft van de mensen vertrouwen stelt in websites als die via https bereikbaar zijn. We leggen even uit waarom.

Ook cybercriminelen ontdekken https

Cybercriminelen zoeken continu naar 'nieuwe' manieren om mens en machine te misleiden. Uit cijfers van het Amerikaanse cybersecuritybedrijf PhishLabs blijkt dat cybercriminelen steeds vaker gebruik maken van https voor phishing websites (25%) om vertrouwen te wekken bij internetgebruikers. Die criminelen maken handig gebruik van de misvatting dat het groene slotje in de browserbalk bovenaan betekent dat de website legitiem en/of betrouwbaar is, terwijl https daar helemaal geen garantie voor biedt.

Https = veilige informatieoverdracht

Vanaf juli dit jaar zal Chrome (versie 68) alle http-websites als 'niet veilig' markeren. De browser bestendigt op die manier de misvatting bij internetgebruikers dat http niet en https wel veilig is.

Het al dan niet beschikbaar zijn van een website via https zegt bitter weinig over de veiligheid van die website. Het zegt enkel iets over de veiligheid van de communicatie tussen de eindgebruiker en die website. Https zorgt er immers voor dat de informatie die uitgewisseld wordt tussen de browser van de bezoeker en de server waarop de website gehost wordt, niet kan gelezen worden door derden én dat derden de exacte URL's van de bezochte pagina's niet kunnen zien. Voor de beveiliging van die communicatie via https wordt er gebruik gemaakt van certificaten.

Betrouwbaarheid van certificaten?

Maar zelfs bij de betrouwbaarheid van certificaten kunnen we ons soms vragen stellen. Niet voor elk soort certificaat wordt even rigoureus gecontroleerd wie de eigenlijke aanvrager is. Voor EV- certificaten (Extended Validation), waarvan DNS Belgium ook gebruik maakt, wordt een aanvraag pas gevalideerd door de certificaatauthoriteiten, die de certificaten verstrekken, na een identiteitsonderzoek van de aanvrager (bv. via het handelsregister). Bij sommige andere types certificaten zijn deze checks geautomatiseerd, en daardoor te omzeilen.

Tenslotte zijn er nog gratis alternatieven voor de vaak dure certificaten die gebruikt worden om websites via https beschikbaar te maken, zoals Let's Encrypt. Zo kan iedereen, dus ook kwaadwillenden, vrij eenvoudig en kostenloos een certificaat voor zijn of haar website bekomen.

Laat er geen misverstand over bestaan, websites beveiligen via https is erg belangrijk. Https zorgt ervoor dat je persoonlijke gegevens veilig online kan versturen. Het is een belangrijke beschermingsmaatregel voor je privacy op internet. Maar het mag niet zorgen voor een vals gevoel van veilgheid waar cybercriminelen dankbaar gebruik van maken. Wees alert, ook als er een groen slotje naast de website staat te pronken in je browser.

phishing

Ruime categorie van misleidende praktijken. Oplichters lokken u naar een website die een kopie is van een echte website en laten u aanmelden met login, wachtwoord en creditcardnummer. Zo beschikt de fraudeur over uw gegevens.

server

Een programma of computer die diensten verleent aan andere computerprogramma’s en hun gebruikers.

Browser

programma waarmee u webpagina’s kan bereiken en lezen. Internet Explorer, Google Chrome, Mozilla Firefox en Safari zijn enkele bekende browsers.

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.
DNS Belgium
Veiligheid