image

Onderzoek: populaire Nederlandse sites zonder https

donderdag 4 februari 2016, 10:07 door Redactie, 5 reacties

Veel populaire Nederlandse websites maken nog altijd geen gebruik van https voor het aanbieden van een beveiligde verbinding en voldoen zo nog niet aan de nieuwe IETF-standaard en vernieuwde Google-richtlijnen. Dat stelt vergelijkingssite Internetvergelijk.nl aan de hand van eigen onderzoek.

68 van de 100 meest bezochte websites maken geen gebruik van https, waaronder UWV, de NPO, NOS, Booking.com en MediaMarkt. "We zijn verbaasd dat zelfs een overheidswebsite als die van het UWV nog gebruik maakt van de ouderwetse onveilige methode, terwijl er legio mogelijkheden beschikbaar zijn,” aldus Marnix de Munck van de vergelijkingssite.

Steeds meer organisaties zetten zich in voor een volledig versleuteld web. Zo laat Google de aanwezigheid van https meewegen bij het indexeren van websites en zal de internetgigant https-versies van webpagina's eerder indexeren dan de http-versie. Tevens lanceerde vorig jaar Let's Encrypt, een initiatief waar websites gratis ssl-certificaten kunnen aanvragen voor het aanbieden van beveiligde verbindingen en het identificeren van de website.

Reacties (5)
04-02-2016, 10:47 door Anoniem
Waarom is het slecht dat sites waar je niet op aanlogt geen https verbinding hebben? Daarnaast is de wegingsfactor van Google ook maar 1%. UWV log je aan via digid wat gewoon https beveiligd is.
04-02-2016, 12:28 door Anoniem
Door Anoniem: Waarom is het slecht dat sites waar je niet op aanlogt geen https verbinding hebben? Daarnaast is de wegingsfactor van Google ook maar 1%. UWV log je aan via digid wat gewoon https beveiligd is.

Omdat als je bijv. naar hun site gaat om een klacht in te dienen, dan staat er een invulformulier met wie ben je, wat is je tel en adres en je klacht en mag je dat verzoek verzenden over HTTP.
04-02-2016, 12:34 door Anoniem
Sinds wanneer moeten wij ons iets van Google richtlijnen aantrekken!
04-02-2016, 12:54 door Anoniem
Door Anoniem: Waarom is het slecht dat sites waar je niet op aanlogt geen https verbinding hebben? Daarnaast is de wegingsfactor van Google ook maar 1%. UWV log je aan via digid wat gewoon https beveiligd is.
Omdat dat het veel makkelijker maakt voor aanvallers om het verkeer onderweg aan te passen zodat de bezoeker dingen te zien krijgt die eigenlijk niet bij die website horen en die mogelijkheid kan het begin van heel wat ellende zijn.

Dat risico loop je niet alleen bij bijvoorbeeld onbeschermde Wifi-accespoints. Er is al enkele keren in het nieuws geweest dat sommige buitenlandse internetproviders in HTTP-sites die door hun abonnees bezocht worden advertenties injecteren. Ik zou het niet op prijs stellen als een ander advertenties aan mijn website toevoegt.
04-02-2016, 13:11 door Anoniem
Door Anoniem:
Omdat dat het veel makkelijker maakt voor aanvallers om het verkeer onderweg aan te passen zodat de bezoeker dingen te zien krijgt die eigenlijk niet bij die website horen en die mogelijkheid kan het begin van heel wat ellende zijn.

Dat risico loop je niet alleen bij bijvoorbeeld onbeschermde Wifi-accespoints. Er is al enkele keren in het nieuws geweest dat sommige buitenlandse internetproviders in HTTP-sites die door hun abonnees bezocht worden advertenties injecteren. Ik zou het niet op prijs stellen als een ander advertenties aan mijn website toevoegt.

Dat los je niet op door simpel een certificaat regelen en te zeggen we hebben https dus de bezoekers zijn veilig. Voor het implementeren van een SSL/TLS beveiliging kunnen ook veel fouten gemaakt worden. Ik noem een HSTS, dan heb je https maar kunnen kwaadwillende nog steeds informatie onderscheppen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.