-

Chrome waarschuwt vanaf nu bij alle onbeveiligde websites

Sinds eind 2017 toont Chrome een waarschuwing, zodra je iets intypt op een website zonder veilige HTTPS-verbinding. Sinds juli gaat Chrome een stap verder: álle websites zonder HTTPS krijgen nu de melding ‘Onveilig’. Google Chrome is tegenwoordig de meest gebruikte browser, het is dan ook de verwachting dat deze wijziging impact zal hebben.

Wat wijzigt er precies in Chrome?

Chrome versie 68 is uitgebracht op 24 juli 2018. Vanaf dit moment worden alle websites zonder SSL certificaat als onveilig weergegeven, zo kondigde Google al enige tijd geleden aan in haar blog. Er wordt dan niet meer gekeken naar de inhoud van een webpagina, en of deze wel of geen invulvelden bevat – er wordt standaard een waarschuwing getoond op alle pagina’s die geen beveiligde HTTPS verbinding gebruiken. Vanaf september verdwijnt bovendien de huidige ‘Veilig’ melding met het groene slotje bij websites met HTTPS. Vanaf dat moment worden dus alleen onveilige sites nog extra gemarkeerd in Google Chrome.

Onveilig meldingen worden ernstiger

De melding ‘ Not secure’ wordt al sinds eind 2017 getoond zodra je iets wilt intypen op een onbeveiligde webpagina. Bijvoorbeeld NAW- betaal – of login gegevens. Deze melding wordt vanaf nu dus standaard getoond bij HTTP sites. De waarschuwing bij invulvelden zonder HTTPS wordt vanaf oktober dit jaar opvallender: zodra je iets wilt intypen wordt de ‘Not Secure’ melding rood, en voorzien van een waarschuwingsdriehoekje. Onderstaande afbeeldingen tonen respectievelijk de waarschuwing bij een website zonder HTTPS, en de waarschuwing zodra je op zo’n onbeveiligde website iets gaat invullen.

Waarom deze wijzigingen?

Het grootste gedeelte van de websites die via Chrome bezocht worden, gebruiken inmiddels HTTPS en het gebruik van HTTPS neemt alleen maar toe. Bovendien gebruikt ruim 80% van de Top 100 websites nu al HTTPS. Volgens Google is hierdoor de tijd nu rijp voor HTTPS als standaard. Daarom gaan ze vanaf het einde van dit jaar ook stoppen met het tonen van de ‘Veilig’ meldingen bij websites met HTTPS. De aankomende wijzigingen zijn een omslagpunt: in plaats van het markeren van wel veilige websites, naar het markeren van onveilige websites. Hiermee maken ze HTTPS dus de standaard. Met dit streven zijn ze al vanaf 2015 actief bezig. Ze zeggen hier zelf over:

“Users should expect that the web is safe by default, and they’ll be warned when there’s an issue. Since we’ll soon start marking all HTTP pages as “not secure,” we’ll step towards removing Chrome’s positive security indicators so that the default unmarked state is secure.”

Wat is de impact?

Het spreekt voor zich dat een browser die website bezoekers waarschuwt voor het feit dat jouw website niet veilig is, direct invloed zal hebben op je (online) reputatie van en het gedrag van websitebezoekers. Het marktaandeel van Chrome is wereldwijd zo’n 60 procent, en dit percentage neemt gestaag toe. Ook Mozilla Firefox toont al geruime tijd waarschuwingen bij onbeveiligde invulvelden. Desondanks blijkt uit cijfers van Qualys dat in juni iets minder dan 60 procent van de populairste websites wereldwijd HTTPS gebruikt. En dan hebben we het nog niet eens over de kleinere websites en blogs.

Waar moet je als bezoeker op letten?

Zonder SSL-certificaat toont Chrome een website dus standaard als onveilig. Met een eenvoudig certificaat zonder bedrijfsgegevens wordt een website als veilig gemarkeerd omdat het dataverkeer versleuteld wordt via HTTPS. Echter is een website hiermee niet direct betrouwbaar of als betrouwbaar te herkennen – daarvoor is een SSL certificaat met Uitgebreide Validatie nodig. Alleen een EV SSL-certificaat toont namelijk de bedrijfsnaam, wat veiligheid en betrouwbaarheid uitstraalt. Als bezoeker zie je zo direct dat de gegevens die je invult versleuteld worden, én dat je echt op de website van het juiste bedrijf bent, en niet op een phishingwebsite.

Dit bericht is 8 keer gedeeld

3 Reacties

bert

De impact is dat gebruikers Chrome gaan hacken om de waarschuwingen te verbergen, zodat er niks meer aankomt. 90% van de niet HTTPs sites zijn sites van 10 jaar en ouder met heel nuttige originele content van hobbyisten en liefhebbers. Van meer nut dan de gemiddelde clickbait die Bol.com en Amazon in de zoekresultaten spammen.

M Blokzijl

Ik heb zelf een meerdere sites maar moet voor dit ssl certificaat extra betalen. Terwijl mijn sites virusvrij zijn en ik geen gespam oid erop heb. Ik wil het ook graag reclamevrij houden dus zal alles zelf moeten betalen. 1 van mijn sites heeft dit certificaat. Deze kreeg ik bij mijm pakket. De rest niet. Erg jammer dat er een boycot op komt door chrome. De echte internetvrijheid is verleden tijd.

Nico de Jong | Webstijl - webstijl

Beste M. Blokzijl, kosten hoeven niet de reden zijn om sites niet uit te rusten met een SSL certificaat. Via bijvoorbeeld letsencrypt.org kunt u uw sites gratis voorzien van een ssl certificaat. Niet zo uitgebreid als de betaalde versies die zelfs uw organisatie kunnen certificeren, maar wel voldoende om een HTTPS adres te verkrijgen en dus gevrijwaard te blijven van de chrome melding.Verder is het natuurlijk wel zo dat SSL een steentje bijdraagt in de strijd tegen hacking, phishing en andere kwalijke praktijken.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond