Wat is HTTPS en waarom is het onmisbaar?
De meeste browsers waarschuwen je wanneer je een onveilige webpagina bezoekt. Hierbij wordt veelal nagekeken of de website of webshop gebruik maakt van HTTPS. Tegenwoordig gebruiken zowat alle grote websites het protocol. Wat is HTTPS juist en waarom zorgt het voor een veiliger internet?
Oud protocol
Alvorens we uitleggen wat HTTPS is, moet je begrijpen hoe zijn oudere broer HTTP werkt. Wanneer je met het internet verbindt via deze laatste standaard zoekt je browser het IP-adres op dat bij de URL hoort die je hebt opgegeven en connecteert de browser met het juiste adres. Aangezien die browser ervan uitgaat dat hij verbonden is met de juiste webpagina, verstuurt hij gegevens in leesbare tekst over de verbinding.
Cybercriminelen die berichten onderscheppen die over deze connectie worden verstuurd, kunnen zonder problemen gevoelige data, zoals je wachtwoord of kredietkaartinformatie verzamelen en lezen. Overheden maken eveneens gebruik van de onveiligheid van HTTP om je doen en laten in de gaten te houden. Denk hierbij aan de spionagepraktijken van de NSA die door Edward Snowden werden onthuld. Snowden lekte in 2013 documenten die aantoonden dat de Amerikaanse overheid de webpagina’s die internetgebruikers van over heel de wereld bezoeken, in de gaten houdt. Veel technologiebedrijven besloten daarom het gebruik van veiligere protocollen te promoten, zoals HTTPS.
Secure
De extra ‘s’ in HTTPS staat voor ‘secure’ en duidt op het feit dat het protocol je data encrypteert. Wanneer je verbindt met een HTTPS-server kijkt je webbrowser het beveiligingscertificaat van de webpagina na. Je browser onderzoekt of het certificaat afkomstig is van een vertrouwde certificeringsinstantie en zorgt er op deze manier voor dat je met de juiste website verbonden bent.
Jammer genoeg is ook deze methode niet feilloos. Cybercriminelen slagen er soms in certificeringsinstanties te misleiden, waardoor ze aan geldige certificaten geraken. Je browser denkt omwille van deze certificaten dat je een veilige website betreedt, terwijl het eigenlijk om een phishingwebsite gaat. De URL in de adresbalk goed nakijken op onregelmatigheden kan je helpen om de hackers op heterdaad te betrappen. Geef nooit persoonlijke gegevens prijs wanneer je onheil ruikt en verlaat de website onmiddellijk.
[related_article id=”215606″]
Privacy
Wanneer je gevoelige informatie verstuurt via een HTTPS-verbinding kan niemand meelezen wat je schrijft. Bovendien biedt het protocol bijkomende privacy ten opzichte van http. De zoekmachine van Google gebruikt bijvoorbeeld HTTPS-connecties. Hierdoor kunnen andere mensen niet zien dat je zoekopdrachten uitvoert op Google.com. Hetzelfde principe geldt voor Wikipedia en vele andere websites. In het verleden kon iedereen op hetzelfde internetnetwerk, en je telecomprovider, je zoekopdrachten bekijken. Met de opkomst van HTTPS is dat gelukkig niet langer het geval.
Nog een praktijk waartegen HTTPS je beschermt, is de injectie van extra advertenties in websites. Je telecomprovider kan niet alleen in de gaten houden welke websites je bezoekt wanneer deze HTTP gebruiken, maar kan eveneens de inhoud van de pagina’s wijzigen. De providers kunnen extra content toevoegen aan websites, de pagina aanpassen, of dingen verwijderen. Sommige telecomproviders gebruiken deze mogelijkheden om extra advertenties in webpagina’s te injecteren.
Browsers
Omwille van de problemen die HTTP met zich meebrengt, moedigen browsers het gebruik van HTTPS actief aan. HTTP/2 is een belangrijke nieuwe versie van HTTP, waarbij compressie, pipelining en andere nieuwe functies aan het protocol worden toegevoegd. Om eigenaars van websites richting HTTPS te duwen, verplichten browsers HTTPS-encryptie om de nieuwe HTTP/2-functies te kunnen gebruiken. Bovendien hebben veel moderne toestellen toegewijde hardware voor AES-encryptie, waardoor HTTPS in veel gevallen sneller is dan HTTP.
Google doet er nog een schepje bovenop en maakt HTTP onaantrekkelijk door websites te straffen die het minder veilige protocol gebruiken. Websites die HTTPS niet gebruiken, worden als onveilig geklasseerd, wat je in Chrome naast de adresbalk kan zien. Webpagina’s die HTTPS gebruiken, verdienen een slotje en het ‘Veilig’-label. Bij webpagina’s die het protocol niet gebruiken, maar wel om een wachtwoord of kredietkaartinformatie vragen, staat de boodschap ‘Niet veilig’. Bovendien worden HTTP-websites niet bovenaan in de zoekresultaten van Google geplaatst en kan je zo dus waardevolle omzet mislopen.
Controleren
Je kan zelf in de gaten houden of je veilig op het internet zit door de adresbalk van je browser goed in de gaten te houden. Iedere browser heeft zijn eigen manier om de veiligheid van websites aan te duiden, maar de meeste applicaties hebben enkele kenmerken gemeen. Zo zie je in de adresbalk voor de URL staan welk protocol wordt gebruikt en wordt het gebruik van HTTPS beloond met een slotje.
Zoals eerder aangehaald ben je jammer genoeg nooit zeker dat een website veilig is, aangezien ook cybercriminelen SSL-certificaten kunnen aanvragen. Niet alle certificeringsinstanties controleren de aanvragers van certificaten voldoende, waardoor onder andere phishingwebsites als veilig worden bestempeld. Wel kijken certificeringsinstanties steeds na of een aanvrager het domein daadwerkelijk bezit. Voor domeinen van bekende bedrijven als Microsoft en Google kunnen cybercriminelen geen certificaten in handen krijgen. Wel kunnen ze op een slimme manier URL’s vormen om je te misleiden door gebruik te maken van Unicode of dubbele domeinnamen.