deze verbinding is veilig, toch?

18/12/2017
Browserbalk met dwars.be
Bron/externe fotograaf

dreamstale


Sloten: we komen ze overal tegen. Is het niet om je huisdeur te openen, dan is het wel om vier uur ’s nachts een gesukkel na een cafébezoek met je fietsslot. Als we alle uren optellen die we hebben verspeeld met het openen van sloten kunnen we waarschijnlijk wel The Lord Of The Rings van voor naar achter lezen. Maar genoeg gefilosofeerd: wat is nu eigenlijk dat slotje bovenaan in de balk van je internetbrowser?

Naast de URL die je bezoekt, staat de laatste tijd almaar vaker een grijs of groen slotje. Een drietal jaar geleden zag je die slotjes enkel staan bij grote online winkels en banken, maar tegenwoordig zie je ze op alle websites opduiken.

 

http maar dan veiliger

Websites met slotjes maken connectie met een server door middel van het https-protocol; dat staat in tegenstelling tot websites zonder slotje die verbinden met het oude hypertext transfer protocol (http). Deze protocols zorgen ervoor dat je een pagina kunt opvragen bij een server en die server vervolgens de pagina ook aflevert bij jou. Beschouw het een beetje als de postbode van het internet.

De extra ‘s’ in https staat voor secured. Hiermee verzekert je browser dat de verbinding met de server versleuteld is. Het is dan voor niemand nog mogelijk om te achterhalen dat je heimelijk toch wel een grote fan van het nummer Despacito bent en je het nummer elke dag zo’n tien keer beluistert. Wanneer we de metafoor van de postbode er weer bijnemen, dan is onze brief nu verzegeld. Wordt het zegel verbroken, dan valt dit direct op.

Dat lijkt waarschijnlijk allemaal niet belangrijk: de gemiddelde student ligt er vast niet wakker van dat zijn surfgedrag voor Jan en alleman op straat ligt. Maar laten we het nu eens van de andere kant bekijken. Elke keer wanneer jij op café verbinding maakt met de plaatselijke free wifi en vervolgens inlogt op Facebook, verstuurt jouw computer een wachtwoord via http naar de servers van Facebook. Op dat moment is het voor iedereen mogelijk om jouw wachtwoord letterlijk ‘uit de lucht’ te plukken.

Nu is dit op café allemaal wellicht maar een spel voor je plaatselijke nerd zodat hij kan stoefen met zijn IT-kennis. Overheidsinstellingen zoals de NSA, CIA, AVID en consorten vinden het maar al te leuk om deze informatie op te slaan. Je berichten in WhatsApp lezen? Het wachtwoord van WhatsApp is zo achterhaald. Iemands iPhone vinden via Find My iPhone? Geen probleem! Koop je iets via PayPal? Je rekening is zo geplunderd. Gelukkig zagen bedrijven zoals Google, PayPal en Facebook dit probleem al snel en zijn ze, zodra de mogelijkheid er was, overgestapt op https.

 

allemaal versleutelen

Van zodra de recentste browsers ondersteuning hadden ingebouwd voor https, hebben alle grote bedrijven deze technologie omarmd. Het is nu zelfs zo dat je niet meer naar Facebook kan surfen via het oubollige http. Facebook heeft besloten om enkel nog te werken met https en vele anderen volgden snel. Wist je dat Google websites met https hoger in haar zoekresultaten rangschikt, omdat deze websites meer vertrouwd worden?

Nu is versleutelen niet op één, twee, drie gebeurd. Elke website die een versleutelde verbinding wil opzetten, heeft een uniek SSL-certificaat nodig. Deze certificaten worden verstrekt door certificate authorities. Die staan borg dat verbindingen met hun certificaten altijd versleuteld zullen verlopen en dus veilig zullen zijn.

Eén probleem met deze certificate authorities: je moet geld betalen voor deze certificaten, veel geld. Voor een domeinnaam moet je per jaar al snel vierhonderd euro neertellen. En elke domeinnaam heeft een ander certificaat nodig. Kortom, in het verleden een dure operatie voor kleine websites.

Zo dachten Mozilla, de EFF (Electronic Frontier Foundation), Cisco en anderen er ook over. En ze besloten Let’s Encrypt op te richten. Een nieuwe certificate authority die het makkelijk maakt om SSL-certificaten aan te vragen en, misschien wel het beste van allemaal, een autoriteit die ze gratis uitdeelt.

Sinds de komst van Let’s Encrypt zien we een ongelofelijke stijging van het aantal websites met SSL-certificaten. Zelfs je favoriete website, dwars.be, heeft er tegenwoordig eentje.

 

een groener alternatief

De slotjes bij Let’s Encrypt-certificaten zien er grijs uit, maar soms komt het voor dat bij het bezoeken van een website van een bank of groot bedrijf het slotje groen is geworden. Dit wil zeggen dat er op dat moment gebruik wordt gemaakt van een EV (Extended Validation)-certificaat.

Deze certificaten hebben dezelfde beveiliging als de gewone certificaten, maar het proces om er een te verkrijgen is net iets moeilijker. Zo wordt de aanvraag manueel gecheckt, in tegenstelling tot gewone certificaten waarbij een computerprogramma dit doet. Tevens wordt er navraag gedaan over het bedrijf bij de overheid en wordt de eigenaar van de domeinnaam benaderd via telefoon om te controleren of het hier niet over een valse identiteit gaat.

Een EV-certificaat is dan ook een stuk duurder en complexer dan haar simpele variant, maar geeft de gebruikers een extra gevoel van veiligheid. Natuurlijk is zo’n groen slotje maar in een beperkt aantal gevallen noodzakelijk en dus volstaan de grijze slotjes voor 95% van de websites.

Zit je binnenkort nog eens op een open wifi-netwerk en surf je naar een website zonder slotje? Wees gewaarschuwd, want iedereen luistert mee!