GlobalSign Blog

17 mei 2019

Schakel over naar HTTPS of loop Bedrijfsrisico's

Lezers, weten jullie wat de volgende dingen gemeen hebben?

  • Een website met nieuws over financiële technologie
  • Meerdere dagelijkse kranten in New England
  • Een promotor van technologieprijzen
  • En, tot enkele weken geleden, de e-commercesite van een bekende juwelier en een belangrijke speler in de e-commerce

Het antwoord: geen enkele van deze websites werd als veilig beschouwd door Google, en dat is niet bepaald goed voor de zaken.

blog image 1 of url bar

Voorbeeld van 'niet-veilige' website in Chrome v69. Bron:badssl.com

Wanneer Google uw website als onveilig beschouwt, leidt dat ongetwijfeld tot gefrustreerde, ontevreden klanten. Als u weet dat de meerderheid van de mensen Chrome gebruikt om te surfen (ca. 60%, volgens recente schattingen), ben ik vrij zeker dat iedereen die een bedrijf heeft dit scenario liever vermijdt.

Op dit moment krijgen waarschijnlijk honderdduizenden websites het label 'niet veilig'. Wat is hier aan de hand? Waarom worden er zoveel sites als onveilig gemarkeerd?

Vanaf Chrome v68 worden alle websites zonder HTTPS als 'niet veilig' gemarkeerd

Google probeert al meerdere jaren ervoor te zorgen dat het volledige web versleuteld wordt met SSL/TLS (de technologie achter HTTPS). In het verleden werden websites die SSL gebruikten gemarkeerd als 'veilig', maar bij de release van Chrome 68 heeft Google het script omgedraaid. Nu worden websites die geen SSL gebruiken gemarkeerd als 'niet veilig'.

blog image 2

Bron: Google

Deze wijziging werd in juli doorgevoerd. Wanneer Chrome 70 wordt gelanceerd, zullen er nog meer veranderingen worden gerealiseerd. De browser zal een rood label 'niet veilig' weergeven als een gebruiker gegevens begint in te voeren (bv. gebruikersnaam/wachtwoord, financiële gegevens, een invulformulier) op een niet-HTTPS-site. Dit vestigt hopelijk nog meer aandacht op het feit dat de gegevens die de gebruiker wil verzenden, niet versleuteld zijn en daarom kunnen worden onderschept of bespioneerd.

blog image 3

Bron: Google

Waarom HTTPS?

HTTPS is een veiligere versie van HTTP. Het helpt voorkomen dat indringers de communicatie tussen uw websites en de browsers van uw gebruikers manipuleren. Het maakt het ook moeilijker om de gegevens die tussen browser en server worden verzonden te onderscheppen. Uw websites, en de bezoekers die uw website gebruiken, worden ook beschermd tegen derden, die advertenties kunnen injecteren om beveiligingsgaten te creëren, of indringers die afbeeldingen, cookies, scripts enz. op een site misbruiken (bv. om malware of andere gemene dingen te injecteren).

Hoewel de beveiligingsvoordelen duidelijk zijn, blijven veel sites de overstap naar HTTPS uitstellen. We hopen dat de recente browserwijzigingen van Google, websitebeheerders over de streep kunnen trekken om eindelijk de overstap te maken. Het vraagt wat planning en inspanningen, maar dit is een cruciale stap als u geen enorme daling van het aantal websitebezoekers wilt zien.

HTTPS installeren op uw website

Hoewel het niet erg duur of moeilijk is om een website te converteren naar HTTPS, vergt het natuurlijk wel enige moeite. Er zijn vier belangrijke stappen:

Belangrijk – Zorg ervoor dat uw website via HTTPS wordt bediend!

Een belangrijk onderdeel van de overgang naar HTTPS is ervoor zorgen dat u de juiste 301 redirects, op de server, heeft om gebruikers en zoekmachines naar de HTTPS-versie om te leiden. We merken dit de laatste tijd vaak – websites die dit niet goed hebben ingesteld zodat gebruikers nog steeds naar de HTTP-versies worden gestuurd en de markering 'niet veilig' zien. Als u handmatig HTTPS invoert aan het begin van het adres, kunt u zien dat de site SSL gebruikt, maar het is heel onwaarschijnlijk dat gebruikers dit zullen proberen, dus u kunt het beste uw volledige website omleiden naar HTTPS.

U wilt ook zeker zijn dat elke pagina op uw website beveiligd is met SSL, niet enkel de pagina's waarop persoonlijke gegevens of betalingsgegevens worden verzameld.

U kunt ook HSTS (HTTP Strict Transport Security) implementeren, dat alle verbindingen over HTTPS dwingt, zelfs als een gebruiker handmatig HTTP invoert. HSTS helpt aanvallen van het type 'SSL stripping' voorkomen. Dit is een soort man-in-the-middle-aanval waarbij hackers inhoud bedoeld voor een HTTPS-verbinding onderscheppen. Daarnaast zorgt HSTS ervoor dat gebruikers niet door certificaatwaarschuwingen kunnen klikken. Met HSTS kunnen gebruikers alleen verbinding maken met de website als deze een geldig, vertrouwd certificaat heeft; alle andere verbindingen worden geblokkeerd, zonder de mogelijkheid om door te klikken.

Meer informatie over HSTS en instructies voor de implementatie vindt u in ons artikel – Wat is HSTS en hoe implementeer ik het?

Word niet gemarkeerd door Google. Schakel vandaag nog over naar HTTPS!

Door uw website om te zetten naar HTTPS wordt deze veiliger en zullen klanten blijven in plaats van naar andere websites te gaan.

Als u meer informatie wenst over het implementeren van SSL/TLS en het converteren van uw website, dit blogartikel staat boordevol informatie en nuttige tips. Als u meer specifieke vragen over uw configuratie heeft, kunt u uiteraard contact met ons opnemen.

Share this Post