Nieuws

HTTPS: veiliger surfen, maar toch nog opletten

10 september 2019

Dankzij het HTTPS-protocol wordt de verbinding tussen je browser en de website die je bezoekt versleuteld. Maar wat wordt er beveiligd, en wat niet? Met andere woorden: kan je nu volledig op beide oren slapen, of moet je toch nog op je tellen passen bij het surfen?

Wat is HTTPS?

De overdracht van gegevens tussen je browser en de website die je bezoekt, verloopt via het http-protocol (hyper text transfer protocol). HTTPS is een uitbreiding waarbij een TLS-verbinding wordt opgezet om het HTTP-verkeer versleuteld door te sturen.

Het TLS-protocol gebruikt certificaten om de uitgewisselde gegevens te authenticeren en privacy te garanderen.

Wanneer je een website bezoekt, zal je browser het certificaat van de website gaan verifiëren bij een Certificate Authority. Hierdoor kan je zeker zijn dat de gevonden server ook inderdaad is wie hij zegt te zijn (authenticatie).

Daarna wordt de "handshake" opgestart, een procedure waarbij jouw browser en de server afspreken welke soort encryptie zij zullen gebruiken. Vanaf dan wordt de communicatie tussen beide partijen versleuteld (encryptie).

Als websitehouder: hoe pas je HTTPS toe, en wat zijn de voordelen?

Om HTTPS te kunnen aanbieden, heb je een SSL-certificaat nodig. Vraag dit aan: je kan kiezen voor een gratis Let's Encrypt Certificaat of een betalend certificaat van een Certificaatautoriteit. Na goedkeuring en toekenning van het certificaat installeer je het op je server.

Een HTTPS-verbinding voor jouw website:

  • versterkt het vertrouwen in jouw website op gebied van veiligheid (online betalingen, veilig inloggen) en bescherming van de privacy.
  • verbetert de SEO of Search Engine Optimization: Google geeft websites met HTTPS een hogere ranking bij de zoekresultaten, ook 'gewone' websites, waar geen aankopen of financiële transacties gebeuren.
  • voorkomt afgebroken transacties: de Firefox en Chrome-browser waarschuwen de gebruiker wanneer hij op een niet-HTTPS-pagina gegevens invult in een webformulier. De gealarmeerde gebruiker zal meestal de interactie meteen afbreken!

Vergeet niet om een CAA-record toe te voegen aan de DNS-configuratie van je domeinnaam: dat geeft aan welke certificaatautoriteit certificaten mag toekennen voor die domeinnaam. Vraag aan jouw provider of hostingbedrijf om je bij deze procedure te begeleiden.

Als gebruiker: hoe herken je HTTPS, en wat zijn de voordelen?

Je browser (Firefox, Edge, Chrome, Safari, …) zal de aanwezigheid van HTTPS kenbaar maken met een symbool. Dit varieert naargelang de browser en of je al dan niet mobiel surft: een gesloten slotje, het woord 'secure' in de adresbalk, enz.

Kom je op een website die geen HTTPS aanbiedt, maar wel een interactie vraagt die normalerwijze in een beveiligde omgeving zou moeten gebeuren (een webformulier invullen, inloggen met wachtwoord, …), dan krijg je een waarschuwing.

Een HTTPS-verbinding biedt volgende bescherming:

  • Vertrouwelijkheid en integriteit: de verbinding tussen je browser en de server waarop de website staat, wordt versleuteld. De uitgewisselde data kunnen dus niet onderschept of gewijzigd worden. Dit is erg belangrijk bij o.a. internetbankieren of online aankopen verrichten en betalen. Surf je bijvoorbeeld via een open wifiverbinding in een koffiebar, dan kunnen derden geen valse links of malware in de content stoppen.
  • Authenticiteit: je kan via het certificaat controleren of de website die je bezoekt, authentiek is.

Opgelet: HTTPS beschermt je niet tegen alle gevaren!

Belgische gebruikers zijn ondertussen vertrouwd met HTTPS. Zij herkennen een versleutelde internetverbinding en beseffen het belang ervan. Dat blijkt uit de marktstudie die DNS Belgium eind vorig jaar liet uitvoeren door InSites Consulting: de gemiddelde Belg baseert zijn vertrouwen in een website immers voornamelijk op de aanwezigheid van HTTPS (45%).

Dat geeft echter een vals gevoel van veiligheid. Want HTTPS garandeert wel dat de verbinding met de website beveiligd is, maar geeft geen zekerheid over de betrouwbaarheid van de website.

De meeste SSL-certificaten, waarop een HTTPS-verbinding gebaseerd is, zorgen er enkel voor dat er een encryptiesleutel afgeleverd wordt aan de server. Je browser controleert ook slechts op de aanwezigheid van die sleutel.

Enkel de (duurdere) Extended Validation (EV) certificaten, waarvan ook DNS Belgium gebruik maakt, bieden een waarborg over de identiteit van de aanvrager, via bijvoorbeeld het handelsregister. Dit zegt echter niets over de inhoud van de website zelf.

Cybercriminelen maken dan ook dankbaar misbruik van dit vals gevoel van veiligheid. Zij zorgen er steeds vaker voor dat de website, die zij bijvoorbeeld bij een phishing -aanval gebruiken, ook een HTTPS-verbinding aanbiedt. De cyberboeven rekenen erop dat de bezoeker gerustgesteld wordt door het symbool dat de browser vertoont wanneer hij een HTTPS-verbinding herkent.

Denk er dus aan: het gesloten slotje in je browser, dat de aanwezigheid van een HTTPS-verbinding bevestigt, beschermt je niet tegen een phishing aanval of andere vormen van fraude. Blijf altijd op je hoede, en denk goed na vooraleer je op een link in een mail klikt!

Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.