Chrome waarschuwt vanaf nu bij alle onbeveiligde websites

Sinds eind 2017 toont Chrome een waarschuwing, zodra je iets intypt op een website zonder veilige HTTPS-verbinding. Sinds juli gaat Chrome een stap verder: álle websites zonder HTTPS krijgen nu de melding ‘Onveilig’. Google Chrome is tegenwoordig de meest gebruikte browser, het is dan ook de verwachting dat deze wijziging impact zal hebben.

Wat wijzigt er precies in Chrome?

Chrome versie 68 is uitgebracht op 24 juli 2018. Vanaf dit moment worden alle websites zonder SSL certificaat als onveilig weergegeven, zo kondigde Google al enige tijd geleden aan in haar blog. Er wordt dan niet meer gekeken naar de inhoud van een webpagina, en of deze wel of geen invulvelden bevat – er wordt standaard een waarschuwing getoond op alle pagina’s die geen beveiligde HTTPS verbinding gebruiken. Vanaf september verdwijnt bovendien de huidige ‘Veilig’ melding met het groene slotje bij websites met HTTPS. Vanaf dat moment worden dus alleen onveilige sites nog extra gemarkeerd in Google Chrome.

Onveilig meldingen worden ernstiger

De melding ‘ Not secure’ wordt al sinds eind 2017 getoond zodra je iets wilt intypen op een onbeveiligde webpagina. Bijvoorbeeld NAW- betaal – of login gegevens. Deze melding wordt vanaf nu dus standaard getoond bij HTTP sites. De waarschuwing bij invulvelden zonder HTTPS wordt vanaf oktober dit jaar opvallender: zodra je iets wilt intypen wordt de ‘Not Secure’ melding rood, en voorzien van een waarschuwingsdriehoekje. Onderstaande afbeeldingen tonen respectievelijk de waarschuwing bij een website zonder HTTPS, en de waarschuwing zodra je op zo’n onbeveiligde website iets gaat invullen.

Waarom deze wijzigingen?

Het grootste gedeelte van de websites die via Chrome bezocht worden, gebruiken inmiddels HTTPS en het gebruik van HTTPS neemt alleen maar toe. Bovendien gebruikt ruim 80% van de Top 100 websites nu al HTTPS. Volgens Google is hierdoor de tijd nu rijp voor HTTPS als standaard. Daarom gaan ze vanaf het einde van dit jaar ook stoppen met het tonen van de ‘Veilig’ meldingen bij websites met HTTPS. De aankomende wijzigingen zijn een omslagpunt: in plaats van het markeren van wel veilige websites, naar het markeren van onveilige websites. Hiermee maken ze HTTPS dus de standaard. Met dit streven zijn ze al vanaf 2015 actief bezig. Ze zeggen hier zelf over:

“Users should expect that the web is safe by default, and they’ll be warned when there’s an issue. Since we’ll soon start marking all HTTP pages as “not secure,” we’ll step towards removing Chrome’s positive security indicators so that the default unmarked state is secure.”

Wat is de impact?

Het spreekt voor zich dat een browser die website bezoekers waarschuwt voor het feit dat jouw website niet veilig is, direct invloed zal hebben op je (online) reputatie van en het gedrag van websitebezoekers. Het marktaandeel van Chrome is wereldwijd zo’n 60 procent, en dit percentage neemt gestaag toe. Ook Mozilla Firefox toont al geruime tijd waarschuwingen bij onbeveiligde invulvelden. Desondanks blijkt uit cijfers van Qualys dat in juni iets minder dan 60 procent van de populairste websites wereldwijd HTTPS gebruikt. En dan hebben we het nog niet eens over de kleinere websites en blogs.

Waar moet je als bezoeker op letten?

Zonder SSL-certificaat toont Chrome een website dus standaard als onveilig. Met een eenvoudig certificaat zonder bedrijfsgegevens wordt een website als veilig gemarkeerd omdat het dataverkeer versleuteld wordt via HTTPS. Echter is een website hiermee niet direct betrouwbaar of als betrouwbaar te herkennen – daarvoor is een SSL certificaat met Uitgebreide Validatie nodig. Alleen een EV SSL-certificaat toont namelijk de bedrijfsnaam, wat veiligheid en betrouwbaarheid uitstraalt. Als bezoeker zie je zo direct dat de gegevens die je invult versleuteld worden, én dat je echt op de website van het juiste bedrijf bent, en niet op een phishingwebsite.