chatbots marketing

HTTPS en SSL betekent niet dat u een beveiligde website hebt

4 min


117

De SEO-gemeenschap richtte voor het eerst zijn aandacht op het kleine groene slot van HTTPS in 2014, toen Google een bericht publiceerde waarin HTTPS werd aangekondigd als een rangschikkingssignaal . Bijna onmiddellijk hebben alle SEO’s hun HTTP-clients geadviseerd om naar HTTPS te gaan voor rangschikkingsdoeleinden, maar in werkelijkheid ging het nooit (en had dat nooit moeten) over ranglijsten.

Dus waarom sprak Google over ranglijsten? Kortom, om mensen te laten opvallen.

Het langetermijndoel van Google is om het internet veiliger te maken voor gebruikers en hun eigen gebruikers te beschermen. Immers, als Google een resultaat presenteert aan een gebruiker die zal zien dat hun creditcardgegevens worden gestolen, vertrouwen ze misschien minder op Google om hen veilige, kwaliteitsresultaten te bieden.

HTTPS staat opnieuw in de schijnwerpers, aangezien Google Chrome 68 websites actief zal markeren als “veilig” en “niet beveiligd” voor gebruikers. Daarin ligt het probleem voor mij, het gebruik van het woord “veilig”.

Het hebben van een SSL-certificaat betekent niet dat u een beveiligde website hebt en met de nieuwe Europese GDPR-regelgeving die snel nadert, kunnen veel bedrijven door deze misvatting worden betrapt. 

Cyberaanvallen met een hoog profiel over de hele wereld hebben ook massamedia onder de aandacht gebracht bij cyberveiligheidsproblemen, waarbij grote merken (zoals Barclays, een Britse multinationale investeringsbank) openbare campagnes lanceren om het bewustzijn over de basisprincipes van cybersecurity te vergroten.

Maar zelfs deze televisiereclame van Barclays was verkeerd. Het adverteerde dat een site met een groen slot en HTTPS een teken is dat een website echt is, en zonder een website zou deze nep kunnen zijn. Valse websites kunnen nog steeds HTTPS gebruiken.

Als een website, nep of echt, SSL / TLS-technologieën wil gebruiken, hoeft u alleen maar een certificaat te verkrijgen. SSL-certificaten kunnen gratis worden verkregen en binnen enkele minuten worden geïmplementeerd via technologieën zoals Cloudflare, en wat de browser betreft: de site is beveiligd.

Inzicht in hoe SSL-certificaten werken

Wanneer een gebruiker naar een website navigeert, verstrekt de website het certificaat aan de browser. De browser valideert vervolgens dat het certificaat dat door de website is verstrekt:

  • Is geldig voor hetzelfde domein als het domein dat wordt gebruikt.
  • Is uitgegeven door een vertrouwde CA (Certificate Authority).
  • Is geldig en is niet verlopen.

Nadat de browser van de gebruiker de geldigheid van de SSL-certificering heeft geverifieerd, blijft de verbinding veilig. Als dit niet het geval is, krijgt u een niet-beveiligde waarschuwing in uw browser of wordt de toegang tot de site geweigerd. Als dit lukt, wisselen de browser en de websiteserver de nodige gegevens uit om een ​​veilige verbinding te vormen en wordt de site geladen.

Dus in hoeverre beveiligt HTTPS een website?

Codering tijdens doorvoer / codering in rust

HTTPS (en SSL / TLS) bieden wat “codering tijdens verzending” wordt genoemd. Dit betekent dat onze gegevens en communicatie tussen een browser en websiteserver (met behulp van een beveiligd protocol) een gecodeerde indeling hebben, dus als deze gegevenspakketten worden onderschept, kunnen ze niet worden gelezen of ermee worden geknoeid.

Wanneer de browser de gegevens ontvangt, decodeert deze echter en wanneer de server uw gegevens ontvangt, worden deze ook gedecodeerd – zodat deze in de toekomst kan worden onthouden of door andere integraties, zoals CRM’s, kan worden gebruikt. 

SSL en TLS bieden ons geen codering in rust (wanneer de gegevens worden opgeslagen op de server van de website). Dit betekent dat als een hacker toegang tot de server kan krijgen, deze alle gegevens kan lezen die u hebt ingediend.

De meeste spraakmakende hacks en datalekken zijn het gevolg van het feit dat hackers toegang krijgen tot deze niet-gecodeerde databases, dus hoewel HTTPS-technologieën betekenen dat onze gegevens veilig bij de databases komen, worden ze niet veilig opgeslagen.

SSL kan ook kwetsbaar zijn

Zoals de meeste technologieën evolueren SSL en TLS voortdurend en worden ze geüpgraded. SSLv1 is nooit publiekelijk vrijgegeven, dus de eerste echte ervaring die we allemaal met SSL hebben gehad, kwam in 1995 met SSLv2, dat een aantal ernstige beveiligingsfouten bevatte.

SSLv2 kan vandaag nog steeds problemen veroorzaken, omdat een groot aantal huidige SSL-implementaties en -configuraties onjuist zijn, wat betekent dat ze vatbaar zijn voor DROWN-aanvallen .

SSLv3 werd geïntroduceerd in 1996, en sindsdien hebben we de introductie van TLSv1, TLSv1.1 en TLSv1.2 gezien.

Dit is waar SSL zelf een directe kwetsbaarheid kan zijn. Naarmate technologieën vorderen, gaan niet alle websites mee, en veel websites ondersteunen nog steeds oudere protocollen ondanks het gebruik van een nieuwer SSL-certificaat. Hackers kunnen dit beveiligingslek en oudere ondersteuning gebruiken om een ​​protocoldowngrade-aanval uit te voeren – waarbij ze de browser van de gebruiker opnieuw verbinden met de website met een ouder protocol – en hoewel veel moderne browsers SSLv2-verbindingen zullen voorkomen, is SSLv3 nog steeds meer dan 20 jaar oud .

SSL zelf is ook kwetsbaar voor een aantal andere potentiële aanvallen, waaronder BEAST , BREACH , FREAK en Heartbleed .

HTTPS op afreken- / inlogpagina’s is een valse beveiliging

Lange tijd hebben veel e-commercebedrijven HTTPS alleen op afrekenpagina’s of inlogpagina’s van gebruikers onderhouden, maar HTTP op andere pagina’s uitgevoerd.

Wanneer u inlogt op een website, stuurt de server een cookie terug, dit betekent dat u niet steeds in en uit de site hoeft te blijven (het onthoudt u). Het probleem is dat wanneer u doorgaat met het surfen op de website op HTTP, dezelfde authenticatiecookie wordt verzonden en ontvangen via een onbeveiligde verbinding, wat ertoe kan leiden dat een aanvaller de cookie onderschept, steelt en zich op een later tijdstip voordoet.

Tot slot

SSL / TLS, indien correct geïmplementeerd, is een essentiële technologie om gebruikersgegevens te beveiligen wanneer deze onderweg zijn tussen de browser van de gebruiker en de websiteserver. Voor een volledige dekking moet een website ook HSTS gebruiken om zich te beschermen tegen downgrade-protocollen en het kapen van cookies.

De technologie beveiligt een website ook niet tegen duizenden andere bekende hackbare exploits, die gebruikersgegevens in gevaar kunnen brengen.

Zeggen dat HTTPS veilig is, is niet fout, maar het is ook niet strikt waar. Het is een stuk van een cybersecurity-puzzel die op het eerste gezicht een van de gemakkelijkste beveiligingsfuncties is om te identificeren – vooral vanuit het oogpunt van een webcrawler. Ik heb eerder geschreven over Google die mogelijk in de toekomst een passief scanelement toevoegt aan een geavanceerde webcrawler en verschillende aspecten van websitebeveiliging in hun rangschikkingsfactoren houdt.

We moeten onze klanten leren dat ze meer maatregelen moeten nemen dan alleen HTTPS om hun websites te beveiligen en hun gebruikers te beschermen, en GDPR-compatibel te zijn.


Erwin@delaatbusiness.com
Dag, Hulp nodig met internet marketing of websites maken? neem dan contact op

0 Comments

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format