Wat is HTTPS en waarom zou ik erom geven?
HTTPS, het vergrendelingspictogram in de adresbalk, een gecodeerde websiteverbinding - het staat bekend als veel dingen. Hoewel het ooit voornamelijk was gereserveerd voor wachtwoorden en andere gevoelige gegevens, laat het hele web langzamerhand HTTP achter en schakelt het over op HTTPS.
De "S" in HTTPS staat voor "Secure". Het is de veilige versie van het standaard "Hypertext Transfer Protocol" dat uw webbrowser gebruikt bij het communiceren met websites.
Hoe HTTP je in gevaar brengt
Wanneer u met een normale HTTP verbinding maakt met een website, zoekt uw browser het IP-adres op dat overeenkomt met de website, maakt verbinding met dat IP-adres en neemt aan dat het verbonden is met de juiste webserver. Gegevens worden in duidelijke tekst via de verbinding verzonden. Een afluisteraar op een Wi-Fi-netwerk, uw internetserviceprovider of overheidsinstanties zoals de NSA kunnen de webpagina's die u bezoekt en de gegevens die u overdraagt, bekijken.
Hier zijn grote problemen mee. Om te beginnen is er geen manier om te verifiëren dat u bent verbonden met de juiste website. Misschien jij denken u hebt toegang gekregen tot de website van uw bank, maar u bevindt zich op een aangetast netwerk dat u doorverwijst naar een bedriegerswebsite. Wachtwoorden en creditcardnummers mogen nooit via een HTTP-verbinding worden verzonden of een afluisteraar kan ze gemakkelijk stelen.
Deze problemen doen zich voor omdat HTTP-verbindingen niet zijn gecodeerd. HTTPS-verbindingen zijn.
Hoe HTTPS-versleuteling u beschermt
HTTPS is veel veiliger dan HTTP. Wanneer u verbinding maakt met een door HTTPS beveiligde, beveiligde serversite, zoals de bank van uw bank, wordt u automatisch doorgestuurd naar HTTPS. Uw webbrowser controleert het beveiligingscertificaat van de website en controleert of het is uitgegeven door een legitieme certificeringsinstantie. Dit helpt u ervoor te zorgen dat, als u 'https://bank.com' ziet in de adresbalk van uw webbrowser, u daadwerkelijk bent verbonden met de echte website van uw bank. Het bedrijf dat het beveiligingscertificaat heeft uitgegeven, staat voor hen in de plaats. Helaas geven certificaatautoriteiten soms slechte certificaten af en wordt het systeem afgebroken. Hoewel het niet perfect is, is HTTPS nog steeds veel veiliger dan HTTP.
Wanneer u gevoelige informatie verzendt via een HTTPS-verbinding, kan niemand deze tijdens het transport afluisteren. HTTPS is wat veilig internetbankieren en winkelen mogelijk maakt.
Het biedt ook extra privacy voor normaal surfen op het web. De zoekmachine van Google is nu standaard ingesteld op HTTPS-verbindingen. Dit betekent dat mensen niet kunnen zien waarnaar u op Google.com zoekt. Hetzelfde geldt voor Wikipedia en andere sites. Eerder kon iedereen op hetzelfde Wi-Fi-netwerk uw zoekopdrachten zien, net als uw internetprovider.
Waarom iedereen HTTP achter wil laten
HTTPS was oorspronkelijk bedoeld voor wachtwoorden, betalingen en andere gevoelige gegevens, maar het hele internet is nu in aantocht.
In de Verenigde Staten mag uw internetserviceprovider uw browsegeschiedenis bekijken en deze aan adverteerders verkopen. Als internet naar HTTPS wordt verplaatst, kan uw internetserviceprovider minder van die gegevens zien. Ze zien alleen dat u verbinding maakt met een specifieke website, in tegenstelling tot de afzonderlijke pagina's die u bekijkt. Dit betekent veel meer privacy voor uw browsen.
Erger nog, HTTP staat uw internetserviceprovider toe om te knoeien met de webpagina's die u bezoekt, als zij dat willen. Ze zouden inhoud aan de webpagina kunnen toevoegen, de pagina kunnen aanpassen of zelfs dingen kunnen verwijderen. ISP's kunnen deze methode bijvoorbeeld gebruiken om meer advertenties te injecteren in webpagina's die u bezoekt. Comcast injecteert al waarschuwingen over zijn bandbreedtecap en Verizon heeft een supercookie geïnjecteerd die wordt gebruikt voor het volgen van advertenties. HTTPS verhindert dat ISP's en iedereen die een netwerk exploiteert, knoeien met webpagina's zoals deze.
En natuurlijk is het onmogelijk om over codering op het web te praten zonder Edward Snowden te noemen. Uit de documenten die Snowden in 2013 lekte bleek dat de Amerikaanse overheid toezicht houdt op de webpagina's die door internetgebruikers over de hele wereld worden bezocht. Dit heeft bij veel technologiebedrijven een vuurtje opgestoken om over te gaan op een verhoogde encryptie en privacy. Door over te stappen naar HTTPS hebben overheden over de hele wereld het moeilijker om al uw browsegedrag te bekijken.
Hoe browsers websites aanmoedigen om HTTP te dumpen
Vanwege dit verlangen om over te stappen naar HTTPS, hebben alle nieuwe standaarden die zijn ontworpen om het internet sneller te maken, HTTPS-codering nodig. HTTP / 2 is een belangrijke nieuwe versie van het HTTP-protocol dat wordt ondersteund in alle belangrijke webbrowsers. Het voegt compressie, pipelining en andere functies toe die ervoor zorgen dat webpagina's sneller worden geladen. Alle webbrowsers vereisen dat sites HTTPS-codering gebruiken als ze deze nuttige nieuwe HTTP / 2-functies willen. Moderne apparaten hebben speciale hardware voor het verwerken van de AES-codering die HTTP ook nodig heeft. Dit betekent dat HTTPS eigenlijk sneller zou moeten zijn dan HTTP.
Hoewel browsers HTTPS aantrekkelijk maken met nieuwe functies, maakt Google HTTP onaantrekkelijk door websites te straffen voor het gebruik ervan. Google is van plan om websites die HTTPS niet gebruiken als onveilig te markeren in Chrome en Google wil prioriteit geven aan websites die HTTPS gebruiken in de zoekresultaten van Google. Dit is een sterke stimulans voor websites om te migreren naar HTTPS.
Controleren of u bent verbonden met een website via HTTPS
U kunt aangeven dat u bent verbonden met een website met een HTTPS-verbinding als het adres in de adresbalk van uw webbrowser begint met "https: //". U ziet ook een slotpictogram, waarop u kunt klikken voor meer informatie over de beveiliging van de website.
Dit ziet er in elke browser een beetje anders uit, maar de meeste browsers hebben het https: // en vergrendelingspictogram gemeen. Sommige browsers verbergen standaard 'https: //', dus u ziet alleen een vergrendelingspictogram naast de domeinnaam van de website. Als u echter in de adresbalk klikt of tikt, ziet u het gedeelte 'https: //' van het adres.
Als u een onbekend netwerk gebruikt en verbinding maakt met de website van uw bank, controleert u of u het HTTPS-adres en het juiste websiteadres ziet. Dit helpt u ervoor te zorgen dat u daadwerkelijk verbonden bent met de website van de bank, hoewel het geen onfeilbare oplossing is. Als u geen HTTPS-indicator op de inlogpagina ziet, bent u mogelijk verbonden met een impostor-website op een aangetast netwerk.
Pas op voor phishing-trucs
De aanwezigheid van HTTPS zelf is geen garantie dat een site legitiem is. Sommige slimme phishers hebben zich gerealiseerd dat mensen op zoek zijn naar de HTTPS-indicator en het vergrendelingspictogram en mogelijk hun best doen om hun websites te verbergen. Je moet dus nog steeds op je hoede zijn: klik niet op links in phishing-e-mails, anders kom je misschien op een slim verkapte pagina terecht. Oplichters kunnen ook certificaten krijgen voor hun zwendel-servers. In theorie kunnen ze alleen voorkomen dat ze zich voordoen als sites die ze niet bezitten. Mogelijk ziet u een adres zoals https://google.com.3526347346435.com. In dit geval gebruikt u een HTTPS-verbinding, maar bent u echt verbonden met een subdomein van een site genaamd 3526347346435.com-niet Google.
Andere oplichters imiteren het hangslotsymbool en veranderen het favicon van hun website dat in de adresbalk verschijnt in een slot om je te misleiden. Houd deze trucs in de gaten bij het controleren van uw verbinding met een website.