HTTPS, het vergrendelingspictogram in de adresbalk, een versleutelde websiteverbinding: het staat bekend als veel dingen. Hoewel het ooit voornamelijk was gereserveerd voor wachtwoorden en andere gevoelige gegevens, laat het hele internet geleidelijk HTTP achter zich en schakelt het over naar HTTPS.
De "S" in HTTPS staat voor "Secure". Het is de veilige versie van het standaard "hypertext transfer protocol" dat uw webbrowser gebruikt om met websites te communiceren.
Hoe HTTP u in gevaar brengt
Wanneer u verbinding maakt met een website met gewone HTTP, zoekt uw browser het IP adres dat overeenkomt met de website, verbinding maakt met dat IP-adres en ervan uitgaat dat het is verbonden met de juiste webserver. De gegevens worden in duidelijke tekst over de verbinding verzonden. Een afluisteraar op een wifi-netwerk, uw internetprovider of inlichtingendiensten van de overheid, zoals de NSA, kunnen de webpagina's zien die u bezoekt en de gegevens die u heen en weer overdraagt.
VERWANT: Wat is versleuteling en hoe werkt het?
Daar zijn grote problemen mee. Om te beginnen is er geen manier om te verifiëren dat u met de juiste website bent verbonden. Misschien jij denken u heeft de website van uw bank bezocht, maar u bevindt zich in een gecompromitteerd netwerk dat u doorverwijst naar een bedriegerswebsite. Wachtwoorden en creditcardnummers mogen nooit via een HTTP-verbinding worden verzonden, anders kan een afluisteraar ze gemakkelijk stelen.
Deze problemen treden op omdat HTTP-verbindingen dat niet zijn versleuteld . HTTPS-verbindingen zijn.
Hoe HTTPS-codering u beschermt
VERWANT: Hoe browsers website-identiteiten verifiëren en beschermen tegen bedriegers
HTTPS is veel veiliger dan HTTP. Wanneer u verbinding maakt met een HTTPS-beveiligde server (beveiligde sites zoals die van uw bank, sturen u automatisch door naar HTTPS), controleert uw webbrowser het beveiligingscertificaat van de website en verifieert dat het is uitgegeven door een legitieme certificeringsinstantie. Dit helpt u ervoor te zorgen dat als u "https://bank.com" in de adresbalk van uw webbrowser ziet, u daadwerkelijk bent verbonden met de echte website van uw bank. Het bedrijf dat het beveiligingscertificaat heeft afgegeven, staat voor hen in. Helaas, certificaatautoriteiten geven soms slechte certificaten af en het systeem valt uit . Hoewel het niet perfect is, is HTTPS nog steeds veel veiliger dan HTTP.
Wanneer u gevoelige informatie via een HTTPS-verbinding verzendt, kan niemand deze tijdens de overdracht afluisteren. HTTPS is wat veilig online bankieren en winkelen mogelijk maakt.
Het biedt ook extra privacy voor normaal surfen op het web. De zoekmachine van Google gebruikt nu standaard HTTPS-verbindingen. Dit betekent dat mensen niet kunnen zien waarnaar u zoekt op Google.com. Hetzelfde geldt voor Wikipedia en andere sites. Voorheen kon iedereen op hetzelfde Wi-Fi-netwerk uw zoekopdrachten zien, net als uw internetprovider.
Waarom iedereen HTTP achter zich wil laten
HTTPS was oorspronkelijk bedoeld voor wachtwoorden, betalingen en andere gevoelige gegevens, maar het hele internet beweegt er nu naartoe.
In de VS mag uw internetprovider snuffelen in uw browsegeschiedenis en verkopen aan adverteerders . Als internet naar HTTPS wordt verplaatst, kan uw internetprovider niet zoveel van die gegevens zien. Hij ziet alleen dat u verbinding maakt met een specifieke website, in plaats van welke afzonderlijke pagina's u bekijkt. Dit betekent veel meer privacy tijdens het browsen.
Erger nog, HTTP staat uw internetprovider toe om te knoeien met de webpagina's die u bezoekt, als ze dat willen. Ze kunnen inhoud aan de webpagina toevoegen, de pagina wijzigen of zelfs dingen verwijderen. ISP's kunnen deze methode bijvoorbeeld gebruiken om meer advertenties te injecteren op webpagina's die u bezoekt. Comcast al injecteert waarschuwingen over zijn bandbreedtecap , en Verizon heeft een supercookie geïnjecteerd gebruikt voor het bijhouden van advertenties. HTTPS voorkomt dat ISP's en anderen die een netwerk runnen, met webpagina's zoals deze knoeien.
En het is natuurlijk onmogelijk om over versleuteling op internet te praten zonder Edward Snowden te noemen. De documenten die Snowden in 2013 lekte, toonden aan dat de Amerikaanse regering dat wel is het monitoren van de bezochte webpagina's door internetgebruikers over de hele wereld. Dit stak een vuur aan onder veel technologiebedrijven om te evolueren naar meer codering en privacy. Door over te stappen op HTTPS, hebben overheden over de hele wereld het moeilijker om al uw surfgedrag te bekijken.
Hoe browsers websites aanmoedigen om HTTP te dumpen
Vanwege deze wens om over te stappen naar HTTPS, vereisen alle nieuwe standaarden die zijn ontworpen om het web sneller te maken, HTTPS-codering. HTTP / 2 is een belangrijke nieuwe versie van het HTTP-protocol dat door alle grote webbrowsers wordt ondersteund. Het voegt compressie, pipelining en andere functies toe waarmee webpagina's sneller worden geladen. Alle webbrowsers vereisen dat sites HTTPS-codering gebruiken als ze deze nuttige nieuwe HTTP / 2-functies willen. Moderne apparaten hebben speciale hardware om de AES-codering te verwerken die HTTP vereist. Dit betekent dat HTTPS eigenlijk sneller zou moeten zijn dan HTTP.
Terwijl browsers HTTPS aantrekkelijk maken met nieuwe functies, maakt Google HTTP onaantrekkelijk door websites te bestraffen voor het gebruik ervan. Google is van plan websites te markeren die geen HTTPS gebruiken als onveilig in Chrome , en Google wil geef prioriteit aan websites die HTTPS gebruiken in de zoekresultaten van Google. Dit is een sterke prikkel voor websites om naar HTTPS te migreren.
Hoe u kunt controleren of u via HTTPS bent verbonden met een website
U kunt zien dat u bent verbonden met een website met een HTTPS-verbinding als het adres in de adresbalk van uw webbrowser begint met 'https: //'. U ziet ook een slotpictogram waarop u kunt klikken voor meer informatie over de beveiliging van de website.
Dit ziet er in elke browser een beetje anders uit, maar de meeste browsers hebben het https: // en vergrendelingspictogram gemeen. Sommige browsers verbergen nu standaard de "https: //", dus u ziet alleen een slotpictogram naast de domeinnaam van de website. Als u echter in de adresbalk klikt of tikt, ziet u het gedeelte 'https: //' van het adres.
Als u een onbekend netwerk gebruikt en verbinding maakt met de website van uw bank, moet u ervoor zorgen dat u het HTTPS-adres en het juiste websiteadres ziet. Dit helpt u er echter voor te zorgen dat u daadwerkelijk bent verbonden met de website van de bank het is geen waterdichte oplossing . Als je geen HTTPS-indicator op de inlogpagina ziet, ben je mogelijk verbonden met een bedriegerwebsite op een gecompromitteerd netwerk.
Pas op voor phishingtrucs
VERWANT: Online beveiliging: de anatomie van een phishing-e-mail doorbreken
De aanwezigheid van HTTPS zelf is geen garantie dat een site legitiem is. Sommige slimme phishers hebben zich gerealiseerd dat mensen zoeken naar de HTTPS-indicator en het vergrendelingspictogram, en doen er alles aan om hun websites te verhullen. Wees dus voorzichtig: klik niet op links in phishing-e-mails , of misschien bevindt u zich op een slim verkapte pagina. Oplichters kunnen ook certificaten krijgen voor hun scam-servers. In theorie wordt ze alleen belet zich uit te geven als sites waarvan ze niet de eigenaar zijn. Mogelijk ziet u een adres als https://google.com.3526347346435.com. In dit geval gebruik je een HTTPS-verbinding, maar ben je echt verbonden met een subdomein van een site met de naam 3526347346435.com, niet met Google.
Andere oplichters imiteren het slotpictogram en veranderen het favicon van hun website dat in de adresbalk wordt weergegeven in een slot om je te misleiden. Houd deze trucs in de gaten wanneer u uw verbinding met een website controleert.
