Websites die het standaard HTTP-protocol gebruiken, verzenden en ontvangen data op een onbeveiligde manier. Dit maakt het mogelijk voor mensen met minder goede bedoelingen om de data die verzonden wordt tussen de gebruiker en de webserver af te luisteren. Daarom gebruiken veilige websites het HTTPS-protocol (HyperText Transfer Protocol Secure) om de data te encrypteren. Hierbij loopt HTTP bovenop TLS (Transport Layer Security). De data wordt daardoor voor afluisteraars onbruikbaar.
Een goede vuistregel is dat men best HTTPS gebruikt, wanneer er met gegevens wordt gewerkt die niet beschikbaar mogen zijn voor het algemene publiek. Ook als er een wachtwoord in een webservice moet ingevoerd worden, zou HTTPS zeker gebruikt moeten worden.
HTTPS wordt momenteel vooral gebruikt op websites met betalingstransacties, of bij internetbankieren, en bij uitwisseling van privacy-gevoelige informatie zoals naam, adres, geboortedatum en andere persoonsgegevens.
HTTPS is in het bijzonder belangrijk wanneer men surft via onbeveiligde netwerken zoals bij publieke WiFi access points (bijvoorbeeld in de luchthaven). Iedereen die op hezelfde netwerk zit, kan dan namelijk het dataverkeer afluisteren en eventueel gevoelige data onderscheppen die niet beschermd wordt door HTTPS.
In het ideale geval wordt HTTPS altijd gebruikt. Indien een actieve aanvaller de activiteiten van persoon geruime tijd volgt, krijgt hij een beeld van de interesses van die persoon en de bezochte websites. Als de aanvaller het wachtwoord van het slachtoffer ontdekt tijdens een bezoek aan een website die geen HTTPS gebruikt, kan de aanvaller dit wachtwoord gebruiken om binnen te geraken bij andere accounts van het slachtoffer waar hetzelfde wachtwoord gebruikt wordt.
In oktober 2014 gebruikten 32,8% van de 151.509 meest populaire websites op het internet HTTPS. Onder andere Google en Mozilla moedigen het gebruiken van HTTPS actief aan. Google gebruikt HTTPS als een ranking factor. Mozilla gaat geleidelijk stoppen non-secure HTTP te ondersteunen.
Je kan zien of een website HTTPS gebruikt, door de URL te bekijken in de adresbalk van de browser. Als deze start met https:// dan is de website beveiligd met HTTPS. De meeste browsers tonen ook een slot naast het adres. Het certificaat kan bekeken worden door op dit slot te klikken.
Bij het bezoeken van een website met een ongeldig certificaat, geven de meeste browsers een waarschuwing, zoals hier in Firefox:
Wil je meer weten over HTTPS? Neem gerust contact met ons op!
PS. Onze website wordt komende week ook naar het HTTPS protocol aangepast.
Vorig artikel:
Websecurity: ver van mijn bed of toch niet?
