-

Hoe veilig is de S in HTTPS://?

We zien het overal, een groen (of geel) hangslotje naast de URL van een door jou bezochte website. Sinds Google HTTPS laat meewegen in de rangschikking van Google-zoekresultaten, is iedereen HTTPS-gek geworden. Leuk en aardig zo’n protocol, maar waar staat het eigenlijk voor en hoe veilig is het?  

HTTPS staat voor ‘Hyper Text Transport Protocol Secure’ en is dus de ‘secure versie van HTTP, het door vrijwel iedereen gebruikte connectieprotocol om door het World Wide Web (www) te navigeren. Het verschil zit hem hoofdzakelijk in wel of geen beveiliging van de verzonden data. Vooral banken en webshops maken gebruik van HTTPS om account- en betaalgegevens van de klant te beveiligen.

Hoe werkt het nu precies?

Indien een website gebruik maakt van HTTPS, dan gebruikt het ‘Transport Layer Security‘ (TLS) om de transport van de ingevulde of verzonden informatie te versleutelen. TLS wordt gebruikt in een breed scala van toepassingen. Bekende voorbeelden zijn webverkeer (HTTPS), e-mailverkeer (IMAP en SMTP voor STARTTLS) en bepaalde typen virtual private network (VPN). Een dergelijke versleuteling dient ervoor te zorgen dat de informatie veilig is en niet in de handen kan vallen van een hacker.

HTTP(S) en TLS?

Even ter verduidelijking, HTTPS is dus een HTTP-verbinding in een beveiligde TLS (vorige versie heette SSL) tunnel waarin data veilig heen en weer gestuurd kan worden tussen bijvoorbeeld een website en een server. Geen TLS-tunnel betekent geen encryptie en dus geen beveiliging. Om gebruik te kunnen maken van TLS dien je een certificaat aan te vragen bij een ‘certificate authority’ (CA).  Zo’n certificaat dient hoofdzakelijk als (digitaal) identificatiemiddel en wordt verstrekt met twee bijbehorende sleutels; een ‘Private Key’ en een ‘Public Key’.

De reden waarom het sleutels genoemd worden, is omdat ze ook daadwerkelijk zo functioneren. De ‘Public Key’ wordt gebruikt om de data te versleutelen en de ‘Private Key’ maakt na ontvangst de data weer toegankelijk. Drie belangrijke aspecten dus: identificatie, versleuteling en ontsleuteling.

Waarom heb ik het nodig?

Bezit je een website waar gebruikers gegevens kunnen verstrekken of accounts kunnen aanmaken, dan kan van jou verlangd worden (door de wet bescherming persoonsgegevens‘, hierna ‘Wbp’) dat je bepaalde technische en organisatorische beveiligingsmaatregelen treft. Welke maatregelen getroffen moeten worden, hangt af van de gevoeligheid van de data die verzonden wordt.

“Art. 13 Wbp – de verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…”

Bestaat er een verplichting om gebruik te maken van TLS? Niet als zodanig, het is eerder een algemene oproep om technische maatregelen te treffen. De organisatie zal in eerste instantie zelf op basis van een risico-analyse en classificatieschema moeten vaststellen of dit gewenst is. Gezien de toegankelijkheid en het grootschalige aanbod van TLS, zijn er echter weinig (goede) argumenten om het niet te doen.

Beschermt HTTPS jouw privacy?

Ja, het beschermt je privacy door middel van encryptie tijdens een transfer van data. Je bent daarmee enigszins beveiligd tegen afluisterpraktijken van de overheid en ‘Man in The Middle’ (MiMT) aanvallen. Het probleem is alleen dat het versleutelen van de data slechts de helft van het verhaal is. De andere helft bestaat uit het ook daadwerkelijk landen op de pagina die je wilt bezoeken.

Normaal gesproken controleert een HTTPS-verbinding de identiteit van de server door middel van een certificaat, alleen is dit systeem niet waterdicht. Indien gewenst kunnen kwaadwillende hackers aan een dergelijk certificaat komen (DigiNotar) of er zelf een maken.

HTTPS heeft daarnaast nog een probleem. Als de bezoeker bij zijn eerste bezoek niet zelf HTTPS://intypt, dan wordt hij in de meeste gevallen (95%) ‘by default’ gewoon naar de HTTP site gestuurd. Wil je het de hacker echt moeilijk maken, dan zal je een HTTP Strict Transport Security functionaliteit moeten toevoegen. Dit betekent simpel gezegd dat de default van je servers op HTTPS gezet wordt en niet op de onbeveiligde HTTP. Op die manier is jouw site en zijn jouw bezoekers beter beschermd tegen ‘connection hijacking’ aanvallen, zoals een ‘Man in The Middle’ aanval.

Wat moeten we doen?

Voor elke nieuwe beveiligingsmaatregel ontstaan er vrij snel tien manieren om deze te omzeilen. Het is dus van essentieel belang om je beveiligingsmaatregelen altijd up-to-date te houden en regelmatig een risico-analyse uit te voeren. Een goed voorbeeld is de Panama Papers. De servers van advocatenkantoor Mossack Fonseca draaiden op een nieuwe TLS versie, alleen bleken die tevens ook de verouderde SSL v2 te ondersteunen, welke kwetsbaar bleek voor een DROWN aanval.

Uit een recent Amerikaans onderzoek (8 december 2016) is bovendien gebleken dat 60 procent van de 1.200 deelnemende advocatenkantoren sindsdien nog steeds geen maatregelen heeft genomen en dus nog steeds kwetsbaar is voor een DROWN aanval. Wij hebben in Europa strengere privacywetgeving dan in Amerika, dus het is maar de vraag of Nederlandse advocatenkantoren weg kunnen komen met zo’n lakse houding.

*) Dit artikel is tevens gepubliceerd op de website van SOLV.

Dit bericht is 86 keer gedeeld

2 Reacties

bert

De belangrijkste reden wordt vrijwel nooit genoemd. Google pusht dit omdat zij de No1 zoekmachine zijn, en door HTTPS de zoektermen uit de URL verdwijnen. Er kan dus enkel nog op de server van Google iets met onze zoekgeschiedenis worden gedaan.
Vroeger kreeg je als websitebouwer een referrer link, met zoekwoorden en al, en kon je prima je eigen bezoekers analyseren. Als je dat netjes doet, is er geen privacy in het geding, en zeg nou zelf, in 99 van de 100 gevallen is MITM niet aan de orde.
Nu wordt je bijna geforceerd om ook Google Analytics te draaien, en dus nog meer aan Google bloot te geven (eerder konden zij geen usertracking op jouw site doen), zodat je nog iets weet over zoekwoorden e.d.
HTTPS is dus 90% afpersing door Google, en 10% beveiliging voor banken, overheden en je webmail.

Rolf

Beste Bert,

HTTPS heeft meer voordelen dan alleen maar een hogere ranking bij Google (of misschien wel een andere zoekmachine). Daarnaast worden er meerdere redenen genoemd in het artikel. Ook mag je van Emerce verwachten dat het artikel niet te technisch wordt en leesbaar voor het brede publiek. HTTPS heeft in ieder geval meer voordelen dan nadelen ten opzichte van HTTP. Het gaat sowieso om de implementatie en het up-to-date houden ervan om het internet veilig(er) te houden voor iedereen. Er is genoeg over te lezen in ieder geval 😉

Daarnaast verplicht niemand jou om Google Analytics te gebruiken. Weleens van Piwik gehoord? Hier heb je wat interessant links:

http://www.emerce.nl/nieuws/correspondent-zet-google-analytics-overboord (januari 2017)
https://www.sitepoint.com/5-great-google-analytics-alternatives/ (februari 2014)
http://growtraffic.com/blog/2016/02/free-alternatives-google-analytics (februari 2016)

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond