Verwarring over veilige websites door Chrome update

Vorige maand heeft Google de weergave van beveiligde HTTPS-verbindingen in Google Chrome gewijzigd. Het doel hiervan is het begrijpelijker maken van een beveiligde verbinding voor website bezoekers. Omdat hierbij geen onderscheid wordt gemaakt tussen SSL-certificaten zonder of met bedrijfsgegevens, toont de browser ook het label ‘Secure’ als een malafide of phishing site met kwade bedoelingen een SSL certificaat heeft. Wat kunnen we hieraan doen?

Naar een volledig versleuteld internet

Onder andere Google is al geruime tijd bezig met het stimuleren van het gebruik van SSL-certificaten omdat dat leidt tot een veiliger internet. Zo neemt Google sinds enkele jaren het gebruik van HTTPS op de website al mee als rankingfactor in de Google zoekresultaten, en ze nemen vaak het voortouw bij het ontmoedigen van het gebruik van verouderde certificaten. Ook Mozilla Firefox gaat op korte termijn waarschuwen bij webpagina’s met onveilige invulvelden. Sinds kort wordt de meerderheid van alle webpagina’s via HTTPS opgevraagd, en het gebruik van HTTPS neemt continu toe. Mede dankzij de gratis certificaten van Symantec, Comodo en Let’s Encrypt is het aantal domein gevalideerde (DV) certificaten op dit moment 12,2 miljoen. Ter vergelijking: in januari 2016 was dit nog 3,2 miljoen.

Organisaties achter websites niet gecontroleerd

“Dat is toch positief?” zullen velen denken. Absoluut, maar het heeft ook een keerzijde: kwaadwillenden profiteren óók van de betere bereikbaarheid van goedkope of zelfs gratis DV SSL-certificaten. Voor de uitgifte wordt hiervoor alleen gecontroleerd of de aanvrager toegang heeft tot het domein waarvoor een certificaat wordt aangevraagd. Dit zegt dus niets over de organisatie achter de website.

In 2005 is als reactie op de wildgroei van beperkt gecontroleerde DV-certificaten het Extended Validation certificaat geïntroduceerd: een voor bezoekers aan de groene adresbalk duidelijk herkenbare hoge standaard van strenge controles. De insteek hierbij is dat een gebruiker niet alleen kan zien dat er een veilige verbinding is, maar ook met wie deze verbinding is. De langere levertijd en strenge voorschriften hebben echter ook gezorgd voor een moeilijk imago bij velen. De groei van het gebruik van EV-certificaten blijft dan ook achter, al is er wel een groei van veertien procent gemeten over het afgelopen jaar. In Nederland blijkt uit onderzoek dat slechts 0,3 procent van alle zakelijke websites, en 3,3 procent van alle webshops EV-certificaten gebruiken.

Domeinen niet gecontroleerd

DV-certificaten worden niet handmatig gecontroleerd. Commerciële certificaatuitgevers werken met een systeem dat waarschuwt bij high-risk domeinen (bijvoorbeeld een domein dat erg lijkt op een populair domein zoals PayPal.com). Op dat moment wordt er een handmatige controle gedaan. Voor gratis certificaatdiensten is zo’n handmatige check niet haalbaar. Let’s Encrypt heeft bijvoorbeeld al ruim 400 certificaten uitgegeven waarbij ‘PayPal’ in de domeinnaam voorkomt. Het aanvragen van een Let’s Encrypt certificaat voor appleappstore.eu en googleplaystore.eu is dan ook geen enkel probleem. Overigens staat wel ter discussie of deze controle de verantwoordelijkheid is van certificaat uitgevers. Let’s Encrypt heeft hier een duidelijk standpunt over.

Google Chrome toont onveilige websites ook als veilig

Sinds de laatste update van Chrome toont de browser een label met de term ‘Unsecure’ (of Niet Veilig) bij het ontbreken van https:// op webpagina’s met invulvelden. Als er wel een beveiligde verbinding is toont de browser ‘Secure’ (of ‘Veilig’, afhankelijk van de taalinstellingen) in het groen, wat erg veel lijkt op de groene adresbalk van het EV certificaat. Voor het tonen van de secure label wordt echter geen onderscheid gemaakt tussen de gratis verkrijgbare en nauwelijks gecontroleerde DV certificaten en de wél gecontroleerde certificaten met bedrijfsgegevens.

Overheden en banken hebben via diverse campagnes websitebezoekers geleerd te letten op de groene adresbalk als kenmerk van een veilige website. De groene ‘Secure’ melding wekt de indruk dat het om een betrouwbare site van een gecontroleerde organisatie gaat, terwijl in de praktijk alleen de controle over het domein is gecontroleerd. Secure betekent hier dus alleen dat er een HTTPS-verbinding aanwezig is, het zegt niets over de organisatie achter de website. Het wijzigen van de security indicators was juist bedoeld om bezoekers meer duidelijkheid te geven, maar geeft op deze manier een verkeerde indruk van veiligheid.

Meer aandacht voor high-risk domeinen

Uiteraard zijn het niet alleen de certificaatuitgevers die een rol spelen in het voorkomen van phishing sites: registrars zouden eventueel kunnen letten op welke domeinen ze verkopen, browsers zouden (beter) kunnen controleren op SSL-certificaten die na misbruik of vermoeden van fraude door een Certificaat Uitgever (CA) ingetrokken zijn. Websitebezoekers kunnen een bijdrage leveren door phishing websites door te geven aan blocklists van browsers.

Maar hoe dan wel?

In een ideale wereld bekijkt een bezoeker iedere website kritisch: wat is de volledige URL, ken ik de website en de organisatie erachter, zijn er NAW-gegevens, voorwaarden en contactmogelijkheden aanwezig? Komt de organisatienaam in het SSL certificaat overeen met de inhoud van de website, en vertrouw ik deze organisatie met mijn gegevens?

In de praktijk blijkt dit echter niet haalbaar. Dat Google het gebruik van HTTPS stimuleert en het duidelijker wil maken voor gebruikers is een positieve ontwikkeling. De onveilig-waarschuwing bij onbeveiligde invulvelden is hierin een waardevolle stap voorwaarts. We moeten alleen uitkijken dat het geen schijnveiligheid gaat bieden omdat de aanduiding veilig in veel gevallen niets zegt over de organisatie. Een simpele oplossing zou het aanpassen van de melding zijn: bijvoorbeeld ‘verbinding veilig, identiteit onbekend’ bij DV certificaten en bij Extended Validation certificaten met bedrijfsgegevens ‘verbinding veilig, identiteit organisatie gecontroleerd’. Dán weet je als bezoeker zeker naar wie je je persoonlijke informatie verstuurt.

*) Dit artikel is ook gepubliceerd op de website van Thuiswinkel.