Beginnend met Chrome 68, Google Chrome labels alle niet-HTTPS-websites als 'Niet beveiligd'. Er is verder niets veranderd: HTTP-websites zijn net zo veilig als altijd, maar Google zet het hele web in de richting van veilige, gecodeerde verbindingen.
Google is zelfs van plan om in de toekomst het woord 'Secure' uit de adresbalk te verwijderen. Alle websites zouden immers standaard beveiligd moeten zijn.
Hoe "veilige" HTTPS-websites werken
Wanneer u een website bezoekt die gebruikmaakt van HTTPS-codering , ziet u het bekende groene slotpictogram en het woord 'Veilig' in uw adresbalk.
Zelfs als u wachtwoorden invoert, creditcardnummers opgeeft of gevoelige financiële gegevens ontvangt via de verbinding, zorgt de codering ervoor dat niemand kan afluisteren wat er wordt verzonden of de datapakketten kan wijzigen terwijl ze tussen uw apparaat en de server van de website reizen.
Dit komt doordat de website is ingesteld om beveiligde SSL-codering te gebruiken. Uw webbrowser gebruikt het HTTP-protocol om verbinding te maken met traditionele niet-versleutelde websites, maar gebruikt HTTPS - letterlijk HTTP met SSL - wanneer u verbinding maakt met beveiligde websites. Website-eigenaren moeten HTTPS instellen voordat het op hun websites werkt.
HTTPS biedt ook bescherming tegen kwaadwillende mensen die zich voordoen als een website. Als u bijvoorbeeld een Balsh en Htsepa en verbinding maken met Google.com, leveren de servers van Google een beveiligingscertificaat dat alleen geldig is voor Google.com. Als Google alleen niet-versleutelde HTTP zou gebruiken, zou er geen manier zijn om te zeggen of u verbonden was met de echte Google.com of met een bedriegersite die is ontworpen om u te misleiden en uw wachtwoord te stelen. Een kwaadwillende wifi-hotspot kan mensen bijvoorbeeld omleiden naar dit soort bedriegerswebsites terwijl ze verbonden zijn met de openbare wifi.
(Technisch gezien wordt hiermee ook de identiteit niet geverifieerd Extended Validation (EV) certificaten . Het is echter beter dan niets!)
HTTPS biedt ook andere voordelen. Met HTTPS kan niemand het volledige pad zien van de webpagina's die u bezoekt. Ze kunnen alleen het adres zien van de website waarmee u verbinding maakt. Dus als u op een pagina als example.com/medical_condition over een medische aandoening zou lezen, zou zelfs uw internetprovider alleen kunnen zien dat u bent verbonden met example.com, niet over welke medische aandoening u leest . Als u Wikipedia bezoekt, kunnen uw internetprovider en iemand anders alleen zien dat u Wikipedia leest, niet waar u over leest.
Je zou verwachten dat HTTPS langzamer is dan HTTP, maar je hebt het mis. Ontwikkelaars hebben gewerkt aan nieuwe technologie zoals HTTP / 2 om uw surfen op het web te versnellen, maar HTTP / 2 is alleen toegestaan op HTTPS-verbindingen. Dit maakt HTTPS sneller dan HTTP.
Waarom websites 'niet veilig' zijn als ze niet zijn gecodeerd
Traditionele HTTP wordt lang in de tand. Daarom ziet u in Chrome 68 het bericht 'Niet beveiligd' in de adresbalk terwijl u een niet-versleutelde HTTP-site bezoekt. Voorheen toonde Chrome zojuist een informatieve 'i' in een cirkel. Als u op de tekst 'Niet beveiligd' klikt, zegt Chrome 'Uw verbinding met deze site is niet beveiligd'.
Chrome zegt dat de verbinding niet veilig is omdat er geen codering is om de verbinding te beschermen. Alles wordt in platte tekst over de verbinding verzonden, wat betekent dat het kwetsbaar is voor rondneuzen en knoeien. Als u privé-informatie zoals wachtwoord of betalingsinformatie op een dergelijke website typt, kan iemand ernaar snuffelen terwijl deze via internet reist.
Mensen kunnen ook de gegevens bekijken die de website naar u verzendt. Dus zelfs als u alleen op internet surft, kunnen afluisteraars precies zien naar welke webpagina's u kijkt. Uw internetprovider weet ook precies naar welke webpagina's u kijkt en zou die informatie kunnen verkopen voor gebruik bij advertentietargeting. Andere mensen op de openbare wifi in de coffeeshop kunnen ook zien waar je naar kijkt.
Een niet-versleutelde website is ook kwetsbaar voor geknoei. Als iemand tussen u en de website in zit, kan hij / zij de gegevens wijzigen die de website naar u verzendt, of de gegevens die u naar de website verzendt, door een man-in-the-middle-aanval uit te voeren. Dit kan bijvoorbeeld gebeuren wanneer u een openbare wifi-hotspot gebruikt. De operator van de hotspot kan uw browsen bespioneren en persoonlijke gegevens vastleggen of de inhoud van de webpagina wijzigen voordat deze u bereikt. Iemand zou bijvoorbeeld downloadlinks voor malware in een legitieme downloadpagina kunnen invoegen als die downloadpagina werd verzonden via HTTP in plaats van HTTPS. Ze zouden zelfs een nepwebsite kunnen maken die zich voordoet als een legitieme website. Als de legitieme website geen HTTPS gebruikt, is er geen manier om op te merken dat je verbonden bent met een nepwebsite en niet met de echte.
Waarom heeft Google deze wijziging aangebracht?
Google en andere internetbedrijven, waaronder Mozilla , voeren een langdurige campagne om het web van HTTP naar HTTPS te verplaatsen. HTTP wordt nu beschouwd als een verouderde technologie die websites niet zouden moeten gebruiken.
Oorspronkelijk gebruikten slechts een paar websites HTTPS. Uw bank en andere gevoelige websites gebruiken HTTPS en u wordt omgeleid naar een HTTPS-pagina wanneer u zich met een wachtwoord aanmeldt bij websites en uw creditcardnummer invoert. Maar dat was het.
In die tijd kostte HTTPS wat geld voor website-eigenaren om te implementeren, en beveiligde HTTPS-verbindingen waren langzamer dan HTTP-verbindingen. De meeste websites gebruikten alleen HTTP, maar dat maakte het mogelijk om te snuffelen en met de verbinding te knoeien. Dit maakte het gebruik van openbare wifi-hotspots riskant.
Om privacy, beveiliging en identiteitsverificatie te bieden, wilden Google en anderen het web naar HTTPS verplaatsen. Ze hebben dit op veel manieren gedaan: HTTPS is nu zelfs sneller dan HTTP dankzij nieuwe technologieën, en website-eigenaren kunnen gratis SSL-certificaten krijgen om hun websites te versleutelen van non-profitorganisaties Laten we versleutelen . Google geeft de voorkeur aan websites die HTTPS gebruiken en promoot deze in de zoekresultaten van Google.
Volgens. 75% van de websites die in Chrome op Windows worden bezocht, gebruikt nu HTTPS Het transparantierapport van Google . Het is nu tijd om de schakelaar om te zetten en gebruikers van HTTP-websites te waarschuwen.
Er is niets veranderd - HTTP heeft nog steeds dezelfde problemen als altijd. Maar genoeg websites zijn naar HTTPS verhuisd, zodat het tijd is om gebruikers te waarschuwen voor HTTP en website-eigenaren aan te moedigen niet langer te slepen. De overstap naar HTTPS maakt het web sneller en verbetert tegelijkertijd de beveiliging en privacy. Het maakt ook openbare Wi-Fi-hotspots veiliger.
