user_mobilelogo
in seizoen 2017|2018 starten we met 'Workshops aan huis' en 'Leren aan huis'
Pin It

logo https wwwAfgelopen weken weer volop in het nieuws: twee op de drie sites van zorginstellingen en apotheken zorgen niet voor een veilige internetverbinding. Dat blijkt uit een onderzoek onder ruim 22.000 sites van zorginstellingen. "Onder meer de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie doen het niet goed....."

De fout die deze niet-veilige sites maken is dat men privacy-gevoelige data over het Internet verzendt middels een ongecodeerd 'http-protocol'. Kwaadwillenden kunnen deze data gemakkelijk onderscheppen, uitlezen en misbruiken.

Als je op een site inlogt met een gebruikersnaam + wachtwoord en daarna je persoonlijke gegevens opvraagt en uitwisselt, dan behoort deze uitwisseling van data versleuteld /gecodeerd te zijn.

Een wel veilige uitwisseling van data werkt met het zgn. 'https-protocol'; de s in https staat daarbij voor security.
Bij het https-protocol wordt de data eerst gecodeerd/versleuteld en dan pas over het internet gezonden; de codering (encriptie) maakt de data voor derden onleesbaar: misbruik is uitgesloten.

HTTP en HTTPS

HTTP: HyperText Transfer Protocol

..betreft dus een simpele ongecodeerde data-uitwisseling.
niet veilige http-sites bij chrome en firefoxVoor situaties dat je niet inlogt op een internetsite is het ongecodeerd zijn van data eigenlijk helemaal niet zo bezwaarlijk.

Je ziet in de adresregel dat een site alleen het http-protocol gebruikt. Je treft één of meerdere van de volgende aanduidingen:

  • http://'www.sitenaam.nl;
  • www.sitenaam.nl;
  • een tekst: Niet veilig;
  • een gesloten slotje met een diagonale streep er door;
  • een open slotje.


HTTPS
: HyperText Transfer Protocol Security

...is een uitbreiding op HTTP met als doel een veilige uitwisseling van gegevens.
Bij HTTPS worden gegevens eerst versleuteld/gecodeerd en dan pas verzonden over Internet. Het is voor iemand die probeert af te luisteren, zo goed als onmogelijk te achterhalen welke gegevens worden verstuurd of bekeken.

Deze sites zijn herkenbaar aan één of meerdere van de volgende aanduidingen::

  • de https:// -aanduiding in de adresregel van je browser,
  • het symbool van een gesloten slotje in, of nabij de adresbalk.
  • een tekst: Veilig;
  • gebruik van groene kleur bij voorgaande aanduidingen.


Zie hier voorbeelden aan de hand van het oproepen van de site van Seniorweb, bij verschillende browsers:

- Chrome:
groen hangslotje en:  Veilig | https://....

 

- Firefox:
een groen, niet doorgestreept slotje en https://....  

 

- Edge:
een grijs hangslotje in de adresregel,

 

- Internet Explorer:
een hangslotje rechts in de adresregel:

 

- Safari (Apple toestellen):
een hangslotje vooraf aan de domeinnaam
midden in de adresregel:


Browserontwikkelaars van Chrome en Firefox willen dat alle websites https gaan implementeren.

Chrome en Firefox willen in de nabije toekomst bij alle pagina van alle http-sites in de adresbalk "onveilig" weergeven. Dat wordt stapsgewijs ingevoerd; er is nu begonnen om http-webpagina's met inlog-voorzieningen als onveilig te bestempelen.

Oplettende internetgebruikers surfend met Google Chrome zien vanaf begin dit jaar frequent een mededeling 'niet veilig' links in de adresbalk van hun internetprogramma. Ook Firefox toont inmiddels daar een 'slotje met een schuine streep er door'.
Programma's als Internet Explorer, Edge en Safari, gaan waarschijnlijk dit soort meldingen straks ook weergeven.... 


HTTPS alleen is echter niet het volledige veiligheidsverhaal

Het is voor iemand die sites bouwt redelijk eenvoudig dit https in de adresregel van een site te plaatsen. Ook Boris Boef die een nep-site maakt, voor 99,9% gelijkend op die van de Rabo-bank zal dat direct op die manier gaan regelen in de hoop via phishing-mailtjes veel inlogcodes te vergaren.

Een https://-site is dus nog niet per definitie nu 100% veilig ! 

In de praktijk worden sites waar veel privacy-gevoelige informatie wordt uitgewisseld voorzien van een zgn. 'Extended Value SSL-certificaat'.
Een dergelijk certifcaat wordt verkregen na een gedegen onderzoek door een gespecialiseerd en geautoriseerd instituut, dat zaken als echtheid van de organisatie achter een website onderzoekt, en de deugdelijkheid van de versleuteling van data-uitwisseling.

Voor een EV SSL-certificaat worden zaken onderzocht als o.a.
- is Boris Boef wel echt de eigenaar van Rabo Bank?
- op wiens naam staat de site (domeinnaam) van de Rabo Bank?
- is er een correcte versleuteling bij de uitwisseling van data?
Een EV SSL-certificaat heeft een beperkte geldigheidsduur, en moet jaarlijks na een herhaald onderzoek worden verlengd.

Dat een organisatie een EV SSL-certificaat bezit, zie je in browser: in het voorbeeld van onze Rabo Bank ga je naar de site rabobank.nl en zie je in de adresregel het volgende:  

- is een certificaat verlopen (dus ongeldig ! ), dan krijgt een site-bezoeker daarvan direct een melding te zien (vul dan nooit persoonlijke gegevens in op zo'n site);
is een certificaat geldig, dan zie je
een tekst https en een gesloten hangslotje;
- je kunt details opvragen van een certificaat met klikken / tikken op de tekst Rabobank Nederland [NL].


Tenslotte:

Ook de site van ons Leercentrum maakt vanaf maart 2017 gebruik van een https-verbinding en heeft een SSL-certificatie !