https

Dankzij HTTPS kan je op een veilige manier je bankzaken online regelen. Hoe beschermt het protocol je privacy?

De meeste browsers waarschuwen je wanneer je een onveilige webpagina bezoekt. Hierbij wordt veelal nagekeken of de website gebruik maakt van HTTPS. Vroeger werd deze standaard slechts voor paswoorden en gevoelige data gebruikt, maar tegenwoordig gebruiken zowat alle websites het protocol. Wat is HTTPS juist en waarom zorgt het voor een veiliger internet?

Oud protocol

Alvorens we uitleggen wat HTTPS is, moet je begrijpen hoe zijn oudere broer HTTP werkt. Wanneer je met het internet verbindt via deze laatste standaard zoekt je browser het IP-adres op dat bij de URL hoort die je hebt opgegeven en connecteert de browser met het juiste adres. Aangezien die browser ervan uitgaat dat hij verbonden is met de juiste webpagina, verstuurt hij gegevens in leesbare tekst over de verbinding. Cybercriminelen die berichten onderscheppen die over deze connectie worden verstuurd, kunnen zonder problemen gevoelige data, zoals je kredietkaartinformatie verzamelen en lezen. Overheden maken eveneens gebruik van de onveiligheid van HTTP om je doen en laten in de gaten te houden. Denk hierbij aan de spionagepraktijken van de NSA die door Edward Snowden werden onthuld. Snowden lekte in 2013 documenten die aantoonden dat de Amerikaanse overheid de webpagina’s die internetgebruikers van over heel de wereld bezoeken in de gaten houdt. Veel technologiebedrijven besloten daarom het gebruik van veiligere protocollen te promoten, zoals HTTPS.

Secure

De extra ‘s’ in HTTPS staat voor ‘secure’ en duidt op het feit dat het protocol je data encrypteert. Wanneer je verbindt met een HTTPS-server – onder andere banken maken standaard gebruik van het protocol – kijkt je webbrowser het beveiligingscertificaat van de webpagina na. Je browser onderzoekt of het certificaat afkomstig is van een vertrouwde certificeringsinstantie en zorgt er op deze manier voor dat je met de juiste website verbonden bent.

certificaat
Voor iedere veilige website kan je het SSL-certificaat nakijken.

Jammer genoeg is ook deze methode niet feilloos. Cybercriminelen slagen er soms in certificeringsinstanties te misleiden, waardoor ze aan geldige certificaten geraken. Je browser denkt omwille van deze certificaten dat je een veilige website betreedt, terwijl het eigenlijk om een phishingwebsite gaat. De URL in de adresbalk goed nakijken op onregelmatigheden kan je helpen om de hackers op heterdaad te betrappen. Wanneer een URL bijvoorbeeld begint met www.microsoft.com, maar hierna een bijkomend deel met nogmaals .com bevat, is de kans groot dat je niet met een legitieme website van Microsoft te maken hebt. Geef nooit persoonlijke gegevens prijs op dergelijke pagina’s en verlaat de website onmiddellijk wanneer je onheil ruikt.

Privacy

Wanneer je gevoelige informatie verstuurt via een HTTPS-verbinding kan niemand meelezen wat je schrijft. Bovendien biedt het protocol bijkomende privacy ten opzichte van http. De zoekmachine van Google gebruikt bijvoorbeeld HTTPS-connecties. Hierdoor kunnen andere mensen niet zien dat je zoekopdrachten uitvoert op Google.com. Hetzelfde principe geldt voor Wikipedia en vele andere websites. In het verleden kon iedereen op hetzelfde internetnetwerk, en je telecomprovider, je zoekopdrachten bekijken. Met de opkomst van HTTPS is dat gelukkig niet langer het geval.

Nog een praktijk waartegen HTTPS je beschermt, is de injectie van extra advertenties in websites. Je telecomprovider kan niet alleen in de gaten houden welke websites je bezoekt wanneer deze HTTP gebruiken, maar kan eveneens de inhoud van de pagina’s wijzigen. De providers kunnen extra content toevoegen aan websites, de pagina aanpassen, of dingen verwijderen. Sommige telecomproviders gebruiken deze mogelijkheden om extra advertenties in webpagina’s te injecteren.

Browsers

Omwille van de problemen die HTTP met zich meebrengt, moedigen browsers het gebruik van HTTPS actief aan. http/2 is een belangrijke nieuwe versie van http, waarbij compressie, pipelining en andere nieuwe functies aan het protocol worden toegevoegd. Om eigenaars van websites richting HTTPS te duwen, verplichten browsers HTTPS-encryptie om de nieuwe http/2-functies te kunnen gebruiken. Bovendien hebben veel moderne toestellen toegewijde hardware voor AES-encryptie, waardoor HTTPS in veel gevallen sneller is dan HTTP.

HTTPS
Mede dankzij de inspanningen van Google maken steeds meer websites gebruik van HTTPS.

Google doet er nog een schepje bovenop en maakt HTTP onaantrekkelijk door websites te straffen die het minder veilige protocol gebruiken. Websites die HTTPS niet gebruiken, worden als onveilig geklasseerd, wat je in Chrome naast de adresbalk kan zien. Webpagina’s die HTTPS gebruiken, verdienen een slotje en het ‘veilig’-label. Bij websites die het protocol niet gebruiken, staat de boodschap ‘Niet veilig’. Bovendien worden HTTP-websites niet bovenaan in de zoekresultaten van Google geplaatst.

Controleren

Je kan zelf in de gaten houden of je veilig op het internet zit door de adresbalk van je browser goed in de gaten te houden. Iedere browser heeft zijn eigen manier om de veiligheid van websites aan te duiden, maar de meeste applicaties hebben enkele kenmerken gemeen. Zo zie je in de adresbalk voor de URL staan welk protocol wordt gebruikt en wordt het gebruik van HTTPS beloond met een slotje.

Zoals eerder aangehaald ben je jammer genoeg nooit zeker dat een website veilig is, aangezien ook cybercriminelen SSL-certificaten kunnen aanvragen. Niet alle certificeringsinstanties controleren de aanvragers van certificaten voldoende, waardoor onder andere phishingwebsites als veilig worden bestempeld. Wel kijken certificeringsinstanties steeds na of een aanvrager het domein daadwerkelijk bezit. Voor domeinen van bekende bedrijven als Microsoft en Google kunnen cybercriminelen geen certificaten in handen krijgen. Wel kunnen ze op een slimme manier URL’s vormen om je te misleiden. Bij bijvoorbeeld de URL https://microsoft.com.12345.com is 12345.com het domein, dewelke uiteraard niet van Microsoft is.