Google geeft versleutelde sites hogere plaats in zoekresultaten
Google is begonnen om websites die HTTPS gebruiken om het verkeer van bezoekers te versleutelen hoger in de zoekresultaten te plaatsen. De beslissing om websites met HTTPS voor te trekken volgt op geruchten uit april, toen een Google-ingenieur het plan tijdens een conferentie had geopperd.
Door het gebruik van HTTPS wordt het verkeer tussen de website en bezoekers versleuteld. Dit maakt het veel lastiger om het verkeer af te luisteren. Het gebruik van HTTPS is dan ook een belangrijke maatregel om het internet veiliger te maken, aldus Google. Daarnaast zouden steeds meer websites HTTPS gebruiken.
"Voor deze redenen hebben we de afgelopen maanden tests uitgevoerd waarbij de zoekresultaatalgoritmen rekening houden of websites HTTPS gebruiken", zegt Gary Illyes. "We zien positieve resultaten, dus zijn we begonnen om HTTPS als een meetpunt te gebruiken." Illyes merkt op dat het gebruik van HTTPS minder zwaar weegt dan andere punten, zoals goede content. Er wordt echter niet uitgesloten dat HTTPS in de toekomst mogelijk wel zwaarder gaat wegen, om websites zo aan te moedigen over te stappen.
De komende weken zal Google best practices publiceren om het gebruik van HTTPS te vereenvoudigen en veelgemaakte fouten te voorkomen. In de aankondiging van de maatregel geeft Google als verschillende tips, zoals het gebruik van 2048-bit certificaten, het toestaan dat de website wordt geïndexeerd en het kiezen van het juiste certificaat.
(1) Als bezoeker van een https site met een commercieel certificaat heb je enige zekerheid dat je daadwerkelijk communiceert met de server waarvan de domeinnaam in de URL-balk van jouw webbrowser wordt getoond. Ook als je alleen maar informatie leest via http kunnen aanvallers jou op het verkeerde been zetten door jou (deels) andere informatie te laten zien dan gepubliceerd door de bedoelde website, bijv. via een DNS aanval en/of netwerk MitM (Man-in-the-Middle) aanval. Denk o.a. aan vervalste links naar "meer informatie".
(2) Het bovenstaande geldt in principe ook voor Google bots. Voorbeeld: berichten op security.nl zijn heel snel in Google terug te vinden (dus ook links in die berichten) met soms slechts enkele keywords. Dat betekent dat de bot vaak "voorbij komt" en Google relatief veel waarde hecht aan de informatie. Aanvallers die via DNS manipulatie de Google bot naar een andere server met domeinnaam www.security.nl site weten te sturen, zouden wel eens allerlei SEO (Search Engine Optimization) trucs kunnen uithalen om andere sites hogere rankings te laten krijgen. Echter, doordat www.security.nl uitsluitend content verstrekt via https (en HSTS gebruikt, waarvan ik niet weet of de Google bot dergelijke headers honoreert, iemand meer info?) is dit een slecht voorbeeld. Een aanvaller die verkeer bestemd voor http://nu.nl/ weet te redirecten naar zijn server zou wel eens heel succesvol kunnen zijn met SEO.
Als testje een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g
Een aardig experiment (dat ik nu niet ga uitvoeren, wellicht heeft iemand anders daar zin in) is een nieuwe webpagina maken (bij voorkeur op een onbekende site) met daarin een random karakterreeks, de URL naar die webpagina uitsluitend opnemen in een bijdrage op security.nl en vervolgens onderzoeken of en wanneer die webpagina te vinden valt via Google.
Nu inmiddels.
Nu inmiddels.
Google geeft versleutelde sites hogere plaats in zoekresultaten ...
https://www.security.nl/.../Google+geeft+versleutelde+sites+hogere+plaats+in+zoekresultaten - Cached
5 minuten geleden ... ... een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
