Jaren geleden waren websites beschikbaar via http://www.timdehoog.nl. Daarna werden steeds meer websites uitgerust met https://www.timdehoog.nl. Wanneer je een website bezoekt via https:// is dit een beveiligde verbinding tussen jou en de website. Gegevens worden versleuteld verstuurd.
Voorbeelden van gegevens zijn:
- Verzoeken om een pagina te laden, je vraagt erom
- Ingevulde contactformulieren
- Ingevulde persoonlijke gegevens
- Betalingen via iDeal of creditcard
Betekent het dan dat gegevens die verstuurd worden naar http://www.timdehoog.nl niet versleuteld zijn? Ja dat klopt en betekent zelfs dat gegevens tussen jou en de website onderschept of aangepast kunnen worden. Voor de meeste algemene websites, zoals blogs, vormt dit geen probleem. Webshops en bijvoorbeeld overheidswebsites kunnen tegenwoordig niet meer zonder https://. Iedereen die gebruik maakt van internetbankieren weet dat hij of zij moet controleren of de verbinding begint met https:// en dat het groene slotje wordt getoond in de adresbalk.
Wanneer moet een website gebruik maken van https://? De stelregel is dat wanneer een website persoonlijke gegevens verwerkt gebruik moet maken van https://. Echter is er geen wet die het verplicht of een organisatie die er toezicht op houd. Om eigenaren van websites toch te motiveren om gebruik te maken van https:// is Google Chrome vanaf februari begonnen met het tonen van de tekst “niet veilig” in de adresbalk wanneer er op een pagina een formulier wordt getoond. Mozilla Firefox heeft een paar maanden later een vergelijkbare controle toegevoegd en toont de waarschuwing boven de invoervelden van bijvoorbeeld een inlogformulier.
Voor een https:// verbinding heb je een SSL certificaat nodig dat bewijst dat de verbinding versleuteld is. Er zijn drie niveaus te onderscheiden. Hoe hoger het niveau hoe veiliger het certificaat en hoe hoger de jaarlijkse kosten. Bij de goedkoopste variant wordt het SSL certificaat gekoppeld aan het domein en bij de duurste variant aan de organisatie. In het laatste geval wordt het bedrijf dat eigenaar is van het domein jaarlijks aan een integriteitscontrole onderworpen. Zo weet jij zeker dat de eigenaar van het domein ook een betrouwbaar bedrijf is.
Naast betalen voor een SSL certificaat zijn er ook gratis alternatieven. De bekendste is Let’s Encrypt die al meer dan 20 miljoen certificaten heeft uitgegeven. Het grote voordeel is dat iedereen met een website gratis SSL certificaten aan kan vragen. Niet iedere hostingpartij bied de mogelijkheid aan om een SSL certificaat te gebruiken. Hostingpartij Antagonist bied dit Let’s Encrypt als gratis dienst aan voor al haar klanten.
Het nadeel van gratis of goedkope certificaten is dat bedrijven met minder goede bedoelingen ze ook aan kunnen vragen. Een goed voorbeeld is PayPal. Afgelopen jaar zijn er iets meer dan 15.000 certificaten aangevraagd bij Let’s Encrypt waarin het woord paypal voorkwam. In 97% van de aanvragen ging het om phising websites die niets te maken hadden met PayPal zelf.
Voorbeelden van nep domeinen zijn paypal.com-websecure.limited of paypal.com.resolution-ticket.tk. In eerste instantie zie je meteen dat het om vreemde domeinen gaat. Er staat wel paypal in zal je denken. De meeste bedrijven hebben tegenwoordig meerdere domeinen en bij controle begint het adres met https://. Je zou dus kunnen zeggen dat het betrouwbaar is, maar dat is dus niet het geval. Wanneer je het domein bezoekt zal je in de meeste gevallen een inlogformulier te zien krijgen. Als je deze invult zijn je inloggegevens in handen van kwaadwillenden die er misbruik van kunnen maken. Bovenstaande voorbeeld komt ook voor bij de domeinen van Google, Apple etc.
Naast controle of de verbinding met https:// begint moet je ook controleren of het certificaat en de website betrouwbaar zijn. Het certificaat kan je controleren door op het slotje te klikken links van het adres. Als je paypal.com bezoekt zie je meteen PayPal Inc (US) voor het domein staan in je browser. Dat geeft aan dat het certificaat van PayPal is. Als je hierop klikt krijg je vervolgens meer informatie zoals adresgegevens. Kwaadwillenden kunnen deze gegevens nooit registeren bij een certificaat omdat dit gecontroleerd wordt voor uitgifte. Bij de website van de Rabobank zie je bijvoorbeeld Cooperative Rabobank U.A. (NL). De tweede controle is de website. Ziet deze er bekend uit en is het domein logisch. Staat er niet opeens https://www.raboobank.nl of https://www.rabobanc.nl.
Bovenstaande controle hoef je natuurlijk alleen uit te voeren voor belangrijke websites zoals die van banken, zorgverzekeraars, webshops etc. Niet iedere website zal een duur certificaat hebben omdat het vrij prijzig is. Een blog zoals www.timdehoog.nl heeft een simpel certificaat, dus geen organisatienaam in de adresbalk, maar kan je toch vertrouwen :).
Twijfel je na controle nog steeds over de veiligheid neem dan contact op met de eigenaar van de website. Bel niet het nummer dat op de website staat of in de e-mail die je ontvangen hebt. Zoek via Google de eigenaar op en bel dat nummer. Zo voorkomen je dat je een nummer belt dat ook in handen is van kwaadwillenden.