Is https veilig?

Veilig & efficiënt werken met Werkplek+

Er is de laatste tijd veel ‘gedoe’ (letterlijk & figuurlijk) over https, oftewel HyperText Transfer Protocol Secure. Iedere website-eigenaar wordt in meer of mindere mate gedwongen de website via dit protocol te tonen; is het niet Google die dreigt met het ‘onveilig’ markeren van de website als de website ‘ouderwets’ wordt geladen via http, dan is het wel de regelgeving (lees: AVG) die je dwingt om de website te verbouwen.

Maar is een willekeurige website met https wel zo veilig? Ik zeg: per definitie niet. Tegenwoordig is het appeltje-eitje om een phishing-site te maken die netjes via https wordt geladen en dan ook nog door diverse browsers (o.a. Google Chrome) als een ‘veilige’ website wordt weergegeven, inclusief het groene slotje. Dit gaat overigens veranderen, maar daarover meer verderop in dit blog. Om deze bewering kracht bij te zetten, heb ik een nieuwe website ‘in de lucht’ gebracht, genaamd:

https://www.ik-ben-veilig-gehackt.nl

Wat wordt er dan wel beveiligd?

In de basis is https niets anders dan het opzetten van een gecodeerde verbinding tussen jouw computer (of tablet, smartphone, whatever) en de opgevraagde website. Om uit te leggen hoe het precies werkt, is veel (saaie & technische) informatie voorhanden, waardoor de meesten nu zullen afhaken, dus dat doen we niet. Wat er sowieso voor nodig is, is een beveiligings- (vroeger: SSL-) certificaat. Het volledige certificaat bestaat uit 2 zogenaamde keys (eigenlijk hele lange wachtwoorden), een public key en een private key. De public key wordt gebruikt om het dataverkeer te versleutelen, de private key is ‘voor intern gebruik’.

Hoe krijg je een certificaat?

Een handige Henny (m/v) kan een ‘self-signed’ certificaat aanmaken. Echter moet je dan het certificaat zelf verstrekken en importeren in jouw computer. Dit is een handmatige handeling die op elke computer opnieuw moet worden gedaan. Voor iemand die graag veel bezoekers op zijn website wil hebben, moet hij/zij elke bezoeker op één of andere manier het certificaat verstrekken en hopen dat de bezoeker het ook snapt hoe deze in zijn computer opgeslagen moet worden. Ik denk dat de eerste bezoeker al afhaakt. Een soortgelijke constructie wordt echter wel toegepast op websites/intranets met beperkte toegang.

Je kunt dus voor ‘algemeen’ gebruik beter een certificaat aanvragen bij een Certificate Authority. Er zijn er meerdere van, de bekendste zijn Comodo en Verisign. Afhankelijk van het type certificaat wat aangeschaft wordt, worden meerdere zaken gecontroleerd. In ieder geval wordt nagegaan of je de eigenaar bent van het domein waarvoor je het certificaat aanvraagt. Als je dan op het slotje klikt naast https:// zie je ook alleen dat het certificaat van deze autoriteit deze website heeft ‘geïdentificeerd’ als het website-adres. De kosten van een dergelijk certificaat vallen mee.

Voor bijvoorbeeld banken is dit niet voldoende, zeker als via de website financiële transacties (lees: telebankieren) worden gedaan. Niet alleen de website moet dan worden geïdentificeerd, maar ook de organisatie erachter. Als je naar de website van jouw bank zie je niet alleen het (groene) slotje, maar ook de naam van de geverifieerde instelling (banknaam). De validatie van een dergelijk certificaat neemt veel meer stappen in beslag en is ook veel strenger. Daarmee zijn de kosten voor een dergelijk certificaat veel hoger, maar je bent er dan wel ècht zeker van dat je echt met jouw bank aan het communiceren bent. Aan een dergelijk certificaat ‘hangt’ ook een verzekering tot een bepaald bedrag, mocht er met het certificaat iets misgaan. Helaas wordt er door de ‘onschuldige’ computergebruiker wel gelet of het slotje er is, maar controleert niet of de naam van de bank wordt vermeld en/of het adres wel klopt.

Gratis!

Sinds enige tijd worden er ook certificaten verstrekt door Let’s Encrypt, een open source partij die de certificaten gratis aanbiedt. De validatie van het certificaat is zeer beperkt; er wordt ‘slechts’ gecontroleerd of het opgegeven emailadres bij de aanvraag geldig is. Et voilá, hier is jouw beveiligingscertificaat. De aanvraag kun je vaak zelf doen via het controlepaneel van het webhostingpakket of jouw hostingpartij regelt het voor je. Ook wij (CompanyPoint) bieden deze gratis certificaten aan. En op zich is daar niets mee. Het certificaat identificeert nog steeds het website-adres, alleen is de validatie van de website een ‘wassen’ neus. De verbinding tussen jou en de website is versleuteld en daar ‘draait het om’ bij een https-verbinding.

Echter, doordat de aanvraag van een beveiligingscertificaat veel eenvoudiger en gratis is geworden, is ook de belemmering voor een groot deel weggenomen en kunnen kwaadwillende eenvoudig een phishing-site opzetten die ook nog eens door diverse browsers als veilig worden aangemerkt. Overigens zal een dergelijke site ook snel worden geblokkeerd na ontdekking, maar dan is het kwaad vermoedelijk al geschied en zijn er al vele slachtoffers ‘gevallen’; u bent veilig gehackt….

Opletten

Het blijft dus opletten geblazen, ondanks dat een website het bekende hangslotje heeft. Vele phishing-sites hebben een url (adres) die verdacht veel lijkt op een adres van bijvoorbeeld een bank. Een plastisch voorbeeld: een hacker registreert rabotelebankieren.nl als die vrij is. Hij vraagt een certificaat aan voor dit domein en de phishing-site https://www.rabotelebankieren.nl voorzien van het groene hangslotje is live. Als u snel even uw bankzaken wilt regelen, valt het u waarschijnlijk niet op dat u niet op de officiële website bent, zeker als die een beetje knap is nagemaakt. Overigens zitten de banken wel bovenop deze phishing-sites en de website zal snel weer offline gehaald worden. Maar u zult maar net één van de vroege ‘pechvogels’ zijn….

Google

Google geeft websites met een certificaat een hogere ranking in de zoekresultaten dan websites die dat niet hebben. Daarnaast hebben ze aangekondigd dat ze binnenkort websites voorzien van een standaard certificaat in de Chrome-browser niet meer tonen met het bekende groene hangslotje. Ze gaan zelfs een stap verder: websites die niet voorzien zijn van een certificaat en via het ‘oude vertrouwde’ http-protocol wordt geladen, worden dan als ‘onveilig’ aangemerkt. Dat is wat mij betreft ‘te kort door de bocht’, want statische websites waar je geen (persoons-)gegevens kunt invoeren, hoeven niet onveilig te zijn. In ieder geval niet onveiliger dan phishing-sites die wel voorzien zijn van een certificaat.

Vragen?

Heb je vragen ten aanzien van de beveiliging van de website of andere gegevens? Of andere vragen/problemen op ICT-gebied? CompanyPoint helpt je graag!

Delen