image

Google: Https-campagne voor versleuteld web boekt succes

zaterdag 21 oktober 2017, 12:00 door Redactie, 9 reacties

Ongeveer een jaar geleden kondigde Google aan dat het alle http-websites op internet als 'niet veilig' gaat bestempelen en sindsdien is het aantal websites dat over een beveiligde https-verbinding beschikt sterk gestegen. Volgens Google is het belangrijk dat websites standaard https aanbieden.

"We wilden mensen duidelijk maken wanneer de website die ze bezoeken niet veilig is en tegelijkertijd de eigenaar van de website motiveren om de veiligheid van hun site te verbeteren", aldus Emily Schechter van Google. "We wisten echter dat dit enige tijd in beslag zou nemen." Google besloot daarom om eerst alleen http-sites die wachtwoorden en creditcardgegevens verzamelen als niet veilig aan te merken. Inmiddels is dit uitgebreid naar alle http-sites waar gebruikers data kunnen invoeren. In de Incognito-mode van Chrome worden alle http-sites op dit moment al als niet veilig bestempeld.

Sinds de aankondiging van Google is via https versleuteld Chrome-verkeer op Android-toestellen van 42 procent naar 64 procent gestegen. Op ChromeOS en macOS is inmiddels 75 procent van het Chrome-verkeer via https beveiligd. Een jaar geleden was dat nog 67 procent op ChromeOS en 60 procent op macOS. Verder bieden 71 van de Top 100 websites op internet nu standaard https aan. Een jaar geleden ging het nog om 37 websites.

Een andere belangrijke reden voor de toename van https is Let's Encrypt. Dit is een certificaatautoriteit die gratis tls-certificaten aan websites uitgeeft. Google is dit jaar Platinum-sponsor van Let's Encrypt en heeft aangegeven deze support ook volgend jaar te zullen voortzetten. "Https is eenvoudiger en goedkoper dan ooit tevoren. Er is nog nooit een beter moment geweest om te migreren", aldus Schechter.

Image

Reacties (9)
21-10-2017, 13:05 door Anoniem
De werkelijke oorzaak is Let's encrypt en dat Google HTTPS hoger ging "ranken" in de zoekmachine.

https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
21-10-2017, 14:08 door Briolet
Ik denk ook dat Let's encrypt de echte oorzaak is en het feit dat veel software Let's encrypt is gaan ondersteunen met een GUI.

Voor het lokale netwerk is HTTPs een ramp. Mijn printer, router, IP cameras etc kan ik nu niet meer benaderen zonder steeds de melding dat dit niet veilig is. Deze "niet veilig" melding veronzekert mensen.

Op mijn printer en router kan ik niet eens https gebruiken. Bij een deel van mijn IP camera's wel, maar bij een deel zit ik vast aan een self-signed certificaat die nog een grotere waarschuwing genereert. Alleen bij de hikvision's kan ik certificaten importeren. Maar ik zie de gewone consument nog niet snel zelf certificaten installeren op deze webservers in hun lan.

Ik snap niet dat Chrome deze melding niet gewoon weglaat voor een apparaat op je lan. Daar is ook wel een mit aanval mogelijk, maar als dat gebeurd vanuit je lan, heb je een groter probleem dan alleen de webpagina's.
21-10-2017, 14:21 door Briolet
Als ik naar het plaatje hierboven kijk, intrigeert mij het verschil tussen Mac en Windows. Daar zit over de hele periode een verschil in van 8 à 10%.

Kwisvraag: Waarom bezoeken de mensen op de Chrome versie van de Mac vaker een https site dan de mensen met Chrome op Windows? Je zou toch zeggen dat mac en windows gebruikers naar vergelijkbare sites surfen.
21-10-2017, 14:37 door Anoniem
Dreigementen werken vaak goed als je nagenoeg een monopolie hebt.
21-10-2017, 16:52 door Anoniem
Dit is natuurlijk qual veiligheid een gradueel verhaal. We hebben het hier over een veilige connectie, maar daar zijn ook gradaties in. Er zijn veilige sites achter https, maar ook minder veilige (security headers ontbreken, mixed content, problemen met scripts, webserver en naamserver implementatie, verkeerd geconfigureerde certificering, DNS issues, sources en sinks, no same origin etc).

Ook wordt bij https vaak de effectieve veiligheid versluierd en wat er op de achtergrond op het niet-publieke net gebeurt is niet altijd transparent voor de client (browser/eindgebruiker). Wat voor tracking, profilering en surveillance gaat er op de achtergrond ongehinderd door? Wordt de situatie voor de burger wel veiliger of is het alleen maar mascara en theater?

Ik vertrouw bij voorbeeld die "Jan-Keesjes" op de globale infrastructuur voor geen milimeter, ze hebben te vaak een verkeerd verhaaltje opgehangen en onze algemene Internet veiligheid "versjacherd en versteert".

Natuurlijk is het veiligheidsaspect toe te juichen en daar doet Google goed aan, de datastromen verder precies naar de hand van het verdienmodel zetten is wel een tweede. Dat is een andere duistere kant van de zaak, 'gemauw' door overheden over sterkte van encryptie ten spijt. Het wifi-nonce verhaal moet geen "nonsense" verhaal worden.

Ik geef het jullie allemaal te doen.

luntrus
22-10-2017, 02:11 door Anoniem
Door Briolet: Als ik naar het plaatje hierboven kijk, intrigeert mij het verschil tussen Mac en Windows. Daar zit over de hele periode een verschil in van 8 à 10%.

Kwisvraag: Waarom bezoeken de mensen op de Chrome versie van de Mac vaker een https site dan de mensen met Chrome op Windows? Je zou toch zeggen dat mac en windows gebruikers naar vergelijkbare sites surfen.

Ik denk dat Windows gebruikers vaker Telementry uitschakelen.
MacOS is vooral een OS voor digibeten.
22-10-2017, 13:19 door Briolet
Door Anoniem:Ik denk dat Windows gebruikers vaker Telementry uitschakelen.

Dat kan. Als het security bewuste deel van de gebruikers de Telementry uitzet, zullen juist hun gegevens uit de statistiek wegvallen.
Maar ga je bij het browsen bewust naar sites die alleen https gebruiken en laat de rest liggen? Voor mijn gevoel is dat zo'n klein deel van de windows gebruikers die dit doet dat dit niet het grote verschil verklaart.

Het goede antwoord weet ik niet. Het gaat ook niet om mac/windows gebruikers in het algemeen, maar om dat deel wat bewust kiest om de Chrome browser te gebruiken en niet de standaardbrowser van het OS.
22-10-2017, 13:22 door Anoniem
Door Anoniem: Dreigementen werken vaak goed als je nagenoeg een monopolie hebt.


Inderdaad. Het is helemaal niet aan google om te besluiten dat dit moet, laatstaan forceren. Ik begrijp niet dat ze dat google niet opsplitsen.
Ik zie al dat ik hier in de straat, voordeuren ga controleren of ze wel 'naar mijn mening' goede beveiliging hebben, en dan ga publiceren dat de mensen van deze woningen niet te vertrouwen zijn omdat ze niet doen wat ik wil. (Je weet wel misschien een gele ster op de deur plakken etc)

FYI google financiert (ook) het letsencrypt project.
23-10-2017, 16:25 door Anoniem
En dan kan er in dit project ook nog van alles misgaan. Getuige bij de volgende willekeurige website gevonden in de HTTPS Everywhere Atlas: https://www.eff.org/https-everywhere/atlas/domains/packetstormsecurity.com.html
Aangetroffen een failed ruletest.
Getest met 16 scripts hier: https://observatory.mozilla.org/analyze.html?host=www.packetstatic.com vinden we een magere F-graad status en diverse aanbevelingen voor een betere website beveiliging.
Zowel Rockabear als GoDaddy laten hier nogal wat veiligheidssteekjes vallen en proberen met het minimale weg te komen:
http://toolbar.netcraft.com/site_report?url=https://packetstatic.com
We krijgen voor dit adres dan ook gelijk een Google Safebrowsing alarm en een waarschuwing voor mogelijk misbruik door cybercriminelen: -https://packetstormsecurity.org/error/404.html
Analyse van de content die terug kwam van dit uri-verzoek: https://aw-snap.info/file-viewer/?protocol=secure&tgt=packetstatic.com%2Fjs1492100243%2Fpt.js&ref_sel=GSP2&ua_sel=ff&fs=1
Sources and sinks -> http://www.domxssscanner.com/scan?url=https%3A%2F%2Fpacketstormsecurity.org

Dit schijnt wel aardig goed te zitten - DNS http://dnssec-debugger.verisignlabs.com/packetstatic.com

En hieruit blijkt weer dat een Google project en eindgebruiker privacy nog steeds niet goed samen kunnen gaan:
https://privacyscore.org/site/33664/
de json versie: https://privacyscore.org/site/33664/json/ (openstaand voor Lucky13 en BEAST aanvallen).

Zo aan deze "Quick and Dirty" te zien is het bij HTTPS Everywhere nog steeds geen alles Hosannah en lijkt het vooral nog op meer Security through Obscurity.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.