Waarom je nu best overstapt naar HTTPS

Woensdag 27 september werd er in Terzake gesproken over de beveiliging van websites (Bekijk de uitzending hier vanaf 15:25). 20% van de websites van de Vlaamse gemeentes hebben geen HTTPS beveiliging. Nochtans is dit zeer belangrijk aangezien je op deze websites vaak gevoelige informatie achterlaat. Een voorbeeld dat werd gegeven is dat je extra controles van je huis door de politie kan aanvragen als je op vakantie bent. Je moet dan op de website ingeven wat je adres is en wanneer je weg bent. Voor hackers of dieven is dit nuttige informatie omdat ze dan weten wanneer ze kunnen toeslaan. Dit is maar 1 van de vele situaties waar criminelen aan gevoelige informatie kunnen komen via een slechte beveiliging van een website. In deze blogpost gaan we bekijken hoe je je website beter kan beveiligen en hackers geen kans kan geven om aan deze gegevens te komen.

Google update vanaf oktober

Omdat veiligheid een prioriteit van Google is, voeren ze vanaf vandaag een nieuwe update in. Als je een website hebt zonder HTTPS met een formulier of invulveld, zal Google dit aangeven aan een bezoeker als hij dit invult. Je zal dan bovenaan links naast de web-URL zien verschijnen dat de website “not secure” of “niet veilig” is zodra je een veld invult. Het is dus belangrijk dat je overschakelt naar HTTPS als je het vertrouwen van een bezoeker wilt krijgen. Het is ook belangrijk dat zijn gegevens veilig zijn en niemand deze kan onderscheppen. In deze preview kan je de “not secure” zien verschijnen zodra er iets wordt ingetypt in de searchbalk.

Open wifi-netwerken

Zoals in het verslag van Terzake gezegd wordt, is het niet gemakkelijk voor een hacker om gegevens te stelen. Als je thuis op een beveiligd netwerk zit, is de kans zeer klein dat ze dit kunnen doen. Vaak gebeurt dit via open wifi-netwerken. In hotels of bars heb je vaak gratis wifi. Dit is een plaats waar hackers vaak toeslaan. Als een website niet beveiligd is met HTTPS, kunnen hackers de gegevens stelen. Als je zelf vaak gebruik maakt van een open wifi-netwerk, wees dan voorzichtig met gevoelige gegevens. Als je toch op een bepaalde website een wachtwoord moet ingeven, kijk dan na of de website beveiligd is. Als dit het geval is, kan je gerust zijn dat je gegevens veilig zijn. Als dit niet het geval is en de website enkel HTTP heeft, kan je best een beveiligd netwerk gebruiken.

Verschil tussen HTTP en HTTPS

Wat is nu juist het verschil tussen HTTP en HTTPS? HTTP staat voor HyperText Transfer Protocol. HTTPS staat voor HyperText Transfer Protocol Secure. Het verschil zit hem dus in “Secure”, de beveiliging. HTTPS zorgt ervoor dat alle informatie die wordt ingegeven in een formulier op een website, gecodeerd wordt verzonden. Als hackers de gegevens zouden kunnen onderscheppen, zijn ze er niets mee omdat dit in codetaal is. Zolang ze de juiste sleutel niet hebben om dit te ontcijferen, kunnen ze het niet lezen. Bij HTTP is dit niet het geval. De informatie die wordt verzonden, is gewoon letterlijk de tekst die je hebt ingevoerd. In sommige browsers kan je snel bekijken welk certificaat een website juist heeft. In Safari bijvoorbeeld kan je op het slotje links naast de link klikken. Dan krijg je een pop-up waar je op “show certificate” het certificaat kan bekijken. 

De meeste webbrowser geven ook aan wanneer je op een onbeveiligde website aan het surfen bent. Bij een beveiligde website krijg je in Google Chrome dit te zien in je bovenbalk: 

Als de website niet beveiligd is, krijg je in plaats van “Secure” een informatieteken of vanaf de volgende update in oktober dit te zien Als bedrijf is het dus toch belangrijk dat je website goed beveiligd is. Dit geeft ten eerste al meer vertrouwen aan je bezoekers. Als ze op je site terechtkomen en ze zien meteen bovenaan in het rood “Not secure”, zullen ze misschien meteen worden afgeschrikt.

Hoe verkrijg ik een HTTPS-beveiliging?

Een website beveiligen met HTTPS doe je via een SSL-certificaat (ook wel TLS-certificaat genoemd). SSL staat voor Secure Sockets Layer (TLS voor Transport Layer Security). Dit wilt zeggen dat je tussen de communicatie van een website naar een server nog een extra laag zet. Als gegevens dan worden verstuurd, worden deze door de extra laag tussen de verzender en de ontvanger gecodeerd waardoor hackers ze niet kunnen gebruiken als ze de informatie toch in handen zouden krijgen. Het is enkel codetaal die ze te zien krijgen en geen gewone tekst. Er zijn 4 verschillende certficaten:

1. Single domain SSL-certificaat: Bij dit certificaat wordt er 1 domeinnaam beveiligd. (bijvoorbeeld www.flux.be)
2. Wildcard SSL-certificaat: Hierbij beveilig je ook alle subdomeinen. (bijvoorbeeld flux.be en example.flux.be)
3. Extended Validation (EV) SSL-certificaat: Dit is hetzelfde als Single domain-certificaat. Het enige verschil is dat in de adresbalk ook nog bedrijfsinformatie wordt toegevoegd. Dit kan meer vertrouwen geven aan de bezoekers van de website.
4. Multi domain SSL-certificaat: met dit certicaat kan je verschillende domeinnamen met hetzelfde certicaat beveiligen. Als je bijvoorbeeld in verschillende landen actief bent en voor elk land een andere domeinnaam hebt, kan je 1 certificaat aankopen en al deze domeinnamen hiermee beveiligen.

Waarom nu overstappen naar HTTPS?

Beveiliging Je website is goed beveiligd. Alles dat mensen invoeren en verzenden naar een server, wordt gecodeerd. Hackers kunnen hier dus geen gegevens uit stelen. Bij bijvoorbeeld een webshop is de beveiliging zeer belangrijk. Het gaat hier om betalingen en bankgegevens. Als deze in verkeerde handen vallen, kan het grote gevolgen hebben. Vertrouwen Bezoekers kunnen je website vertrouwen als ze HTTPS of “secure” zien staan. Ze weten dat alle gegevens die ze invoeren op een beveiligde en correcte manier verzonden worden naar de server. Ze moeten dus niet bang zijn dat hun gegevens niet veilig zijn of onderschept worden. Google ranking een website met een HTTPS-beveiliging rankt hoger in Google. Voor Google is veiligheid een prioriteit. Een website die goed beveiligd is, krijgt dus een hogere ranking waardoor je hoger in de zoekresultaten zal verschijnen. 

Vanaf oktober zal Google ook een melding geven als je een formulier op een onbeveiligde website invoert. Momenteel staat er enkel een informatieteken naast de URL. Vanaf oktober komt er een duidelijkere melding. Je kan deze meldingen nu al instellen door naar chrome://flags te surfen en hier de juiste instellingen aan te duiden.

Conclusie

Als je een website waar bezoekers formulieren kunnen verzenden of een webshop hebt, is het heel belangrijk dat deze gegevens goed beveiligd zijn. Met een SSL-certificaat geef je de bezoekers ook meer vertrouwen. Hierdoor weten ze dat hun gegevens veilig zijn. Dankzij dit certificaat zal je Google ranking ook omhoog gaan waardoor je hoger bij de zoekresultaten zal verschijnen.