Google breidt waarschuwingen bij onbeveiligde verbindingen uit
Sinds januari dit jaar waarschuwt Google in de Chrome-browser bij webpagina’s zonder SSL-certificaat, zodra bezoekers hier gegevens kunnen invullen. Volgens de huidige planning worden deze waarschuwingen in oktober dit jaar uitgebreid. Zo zal er gewaarschuwd gaan worden bij alle onbeveiligde HTTP-webpagina’s, en wordt de waarschuwing bij HTTP-invulpagina’s ernstiger. Dit is onderdeel van het streven van Google naar HTTPS als standaard. HTTPS zorgt voor een beveiligde verbinding tussen de browser van een bezoeker en een website, hiermee waarborg je de privacy van je bezoekers.
Welke waarschuwingen zijn er nu?
Al vanaf Chrome versie 53 (de huidige versie is 59) zijn de security indicators na uitgebreid onderzoek aangepast. Vanaf Chrome versie 56 wordt er daarnaast actief gewaarschuwd zodra een webpagina waarop je gegevens kunt invullen niet is beveiligd met een SSL-certificaat. Dit wordt nu weergegeven met een ‘i’ in de url-balk waarop je kunt klikken voor meer informatie. Volgens eigen zeggen hebben deze aanpassingen veel effect op het gedrag van gebruikers: het invullen van wachtwoorden en creditcardgegevens via een onbeveiligde HTTP-verbinding is sindsdien met 23% afgenomen.
Welke waarschuwingen komen er?
Vanaf Chrome versie 62, verwacht in oktober dit jaar, worden:
- de huidige ‘i’-waarschuwing bij onbeveiligde invulvelden uitgebreid met de meer opvallende melding ‘Not Secure’.
- de ‘i’-waarschuwing getoond bij alle HTTP-pagina’s, ook als er geen gegevens ingevuld kunnen worden.
In een later stadium wil Google de i + Not Secure melding gaan tonen bij alle HTTP-verbindingen, dus ook op pagina’s zonder invulvelden. Omdat Google er vanuit gaat dat gebruikers van Chrome’s incognitomodus meer waarde hechten aan privacy, zal versie 62 in deze modus al direct deze melding gaan tonen bij alle HTTP-verbindingen.
De zichtbaarheid van de waarschuwingen zal blijven toenemen, de verwachting is dat bovenstaande waarschuwing op termijn in het rood en voorzien van een waarschuwingsdriehoek wordt getoond.
Hoe voorkom je waarschuwingen op jouw website?
Om waarschuwingen in Chrome te voorkomen heb je een HTTPS-verbinding nodig, en hiervoor is een SSL-certificaat nodig. Op dit moment maakt Google geen onderscheid tussen de verschillende soorten SSL-certificaten, dus heb je voor het voorkomen van deze waarschuwingen aan een voordelig SSL-certificaat zonder bedrijfsgegevens voldoende.
Met dit type certificaat voldoe je ook aan de voor webwinkeliers geldende regels op het gebied van privacybescherming en toetsingscriteria voor webwinkelkeurmerken. En mits goed ingesteld, kun je hiermee ook profiteren van een hogere positie in de Google-zoekresultaten.
Best practice voor commerciële websites
Van alle soorten SSL-certificaten is het EV-certificaat met groene adresbalk de beste optie voor commerciële websites. De groene adresbalk met bedrijfsnaam geeft naast een veilige verbinding ook een identiteitsgarantie, en valt flink op. Dit geeft een webwinkel een professionele en betrouwbare uitstraling.
Een van de verwachte gevolgen van HTTPS als standaard is bovendien dat alle browsers straks een HTTPS-verbinding als neutraal gaan weergeven, en alleen nog websites die beveiligd zijn met een streng gecontroleerd EV-certificaat een positieve visuele indicatie mee gaan geven.
Een actueel gevolg van de huidige security indicators in Chrome is dat er te weinig onderscheid wordt gemaakt tussen de weergaves van certificaten met verschillende validatieniveaus. Hierdoor worden mogelijke phishingsites ook als ‘veilig’ aangeduid.
Wil je als website-eigenaar dus niet alleen waarschuwingen voorkomen, maar ook de privacy van je bezoekers duidelijk zichtbaar respecteren, kies dan voor een EV-certificaat met groene adresbalk.
Bron: SSLcertificaten.nl