HTTPS en de betekenis van het groene slotje naast je adresbalk
Toen ik in mei 2017 met Tjitze.nl een nieuwe site wilde beginnen, wilde ik graag een domein waarbij ik een mooi groente slotje naast de adresbalk kreeg. Oftewel ik wilde dat mijn site gebruikmaakte van het HTTPS-protocol. In deze blog leg ik uit wat HTTPS inhoud en hoe je ervan kan profiteren als je een eigen website hebt.
Wat is HTTPS?
HTTPS is het beveiligde broertje van HTTP. Als je naar een site surft, zie je in de meeste browsers http:// of https:// voor het domein staan. HTTP betekent HyperText Transfer Protocol en is een protocol waardoor bijvoorbeeld jouw webbrowser kan communiceren met de webserver waar ik mijn website op draai.
Zoals gezegd is HTTPS de beveiligde versie van HTTP (de staat dan ook voor Secure). Als jouw webbrowser een paginavan een website opvraagt, dan vindt deze communicatie versleuteld plaats, waardoor het voor kwaadwilligen niet of nauwelijks mogelijk is om het internetverkeer te onderscheppen.
Hoe herken je HTTPS?
Een HTTPS-verbinding herken je over het algemeen doordat er https:// voor de domeinnaam staat. Bovendien laten de meeste browsers een slotje naast de adresbalk zien. Google Chrome toont een groen slotje, met daarnaast ook de bewoording ‘Veilig’ in het groen, net zoals dat https:// ook in het groen wordt weergegeven.
Hoe werkt HTTPS?
Bij HTTPS wordt TLS (Transport Layer Security) gebruikt om informatie die wordt verzonden of ingevuld (bijvoorbeeld een contactformulier) te versleutelen. Bij een normale HTTP-verbinding kunnen hackers de communicatie tussen de browser en webserver afluisteren. Dit kan ten koste gaan van veel persoonlijke informatie (bijvoorbeeld wachtwoorden, creditcardnummers, adresgegevens). Met deze zogeheten ‘Man in the Middle’-aanvallen kunnen hackers er trouwens ook voor zorgen dat je op een andere pagina komt dan de bedoeling was.
Door TLS verloopt de communicatie door een tunnel. De informatie die wordt verzonden wordt eerst geëncodeerd. Hierdoor kun je niet meer zien dat je je naam hebt ingevuld in een formulier, maar zie je alleen nog willekeurige letters en cijfers. Aan het einde van de tunnel wordt de informatie weer gedecodeerd zodat de informatie voor de ontvanger weer leesbaar is.
TLS wordt naast de beveiliging van websitebezoek ook gebruikt voor e-mailverkeer via bijvoorbeeld IMAP en voor bepaalde soorten VPN (Virtual Private Network). Overigens heb ik vorige week voor Radar nog een uitlegartikel geschreven over VPN. De voorganger van TLS heet trouwens SSL.
Om gebruik te maken van TLS moet je wel een cerificaat aanvragen. Dit gebeurt meestal via je webhoster en het zorgt er wel voor dat je hosting duurder wordt. Met het cerificaat kan worden bepaald dat jouw website daadwerkelijk de site is die je zegt dat het is. Bovendien krijg je via het certificaat twee sleutels (privacy key en public key) waarmee de data versleuteld en ontsleuteld kan worden.
Wat heb je met een eigen website aan HTTPS?
Eigenlijk zijn er twee belangrijke redenen om te kiezen voor HTTPS voor je eigen website. Het eerste argument is de privacy van je gebruikers. De beveiligde variant van HTTP zorgt ervoor dat kwaadwillenden niet zomaar de communicatie kunnen onderscheppen tussen de browser van je bezoeker en jouw website. Als je bijvoorbeeld een contactformulier op je website hebt, dan ben jij de enige die de informatie ontvangt en is er geen hacker die de persoonsgegevens onderschept.
Daarnaast is het ook een middel om hoger te verschijnen in de Google-zoekresultaten. Google besloot al in de zomer van 2014 dat websites die gebruikmaken van HTTPS hoger worden gewaarderd. Google zegt hier over:
“Veiligheid is een topprioriteit voor Google. […] We werken eraan om het internet een veilligere plek te maken. Een belangrijk onderdeel daarvan is dat we zeker willen weten dat mensen die via Google een website bezoeken veilig zijn.”
Is HTTPS volledig veilig?
HTTPS is veiliger dan HTTP, maar nee het is niet volledig veilig. Uiteraard heb je zaken als keyloggers en malware, maar zelfs als je op een legitieme website denkt te zitten is er nog steeds wel een risicootje. Veel systemen ondersteunen nog de voorganger van TLS, oftewel SSLv2. SSLv2 is een beveiliging die al sinds de jaren negentig bestaat. Met een DROWN-aanval kunnen kwaadwilligen via SSLv2 alsnog toegang krijgen tot alle ontsleutelde communicatie. Overigens kun je via Qualys SSL Labs testen hoe het staat gesteld met de SSL-beveilliging van een website.
Wil je reageren op dit bericht? Laat het mij weten op Twitter.