Http moet weg

Het vertrouwde ‘http’ aan het begin van een internetadres moet op korte termijn verdwijnen. Websites die niet naar een veiligere optie overstappen, voelen de toorn van Google.

Een etiket met ‘veilig’, een groene kleur of een hangslotje in de adresbalk van je browser. De voorbije maanden stapten steeds meer websites over naar een https-verbinding. Maar waarom moet het bestaande http weg?

Extra laag security

Http of Hypertext Transfer Protocol is zo oud als het wereldwijde web. Al sinds de eerste websites regelt http het verkeer tussen je browser en de server van de website die je wil bezoeken. Http legt een extra laag bovenop Transmission Control Protocols (TCP), die zelf ook datapakketverkeer regelen.

De http-laag wordt oud, en dat brengt de veiligheid van internetverkeer in gevaar. Daarom ontwikkelden informatici een uitbreidende https-laag. Https versleutelt een deel van de communicatie tussen jouw computer en de server. De encryptie van 2.048-bits maakt het bijzonder moeilijk voor cybercriminelen om jouw verkeer te onderscheppen. Zeker als je een online aankoop moet afrekenen, is die extra beveiliging geen overbodige luxe. Surf je naar de website van een bank of een andere website waar je moet inloggen, dan zie je nu al vaak https in je adresbalk.

Man in het midden

Https is er niets te vroeg. Cyberaanvallen komen steeds vaker voor, ook op websites en pagina’s waarop je geen gevoelige informatie moet invoeren. Zelfs op een gewone website kunnen criminelen informatie over jou traceren. Tenminste, als de website geen https heeft. ‘Elk onbeveiligd http-verzoek kan iets onthullen over het gedrag en de identiteit van een bezoeker’, schrijft Kayce Basques, een Google-medewerker, in een blogpost. ‘Een enkel bezoekje aan een onbeveiligde site lijkt onschuldig. Toch kunnen sommige aanvallers jouw activiteiten op het web samenrapen en daaruit van alles afleiden. Ze kunnen er een deel van je identiteit uit opmaken.’

Overstappen naar https voorkomt zogeheten man-in-the-middle-aanvallen waarbij criminelen het verkeer tussen een surfer en een financiële website onderscheppen. Https verhindert de aanvaller om logingegevens te stelen of doorgestuurde data te manipuleren.

Https bestrijdt ook spam of phishing-fraude. Fraudeurs willen dat hun slachtoffer op een link klikt in een valse mail. Om de mail geloofwaardig te maken, gebruiken ze persoonlijke informatie als de naam van een collega of een geboortedatum. Die informatie halen de fraudeurs uit een composietbeeld dat ze samenstellen uit het surfgedrag van hun slachtoffer.

Redenen genoeg om over te stappen naar https, zou je denken. Maar aan die overstap hangt een prijskaartje. Je betaalt onder andere voor webcertificaten. Bovendien vrezen sommige webmasters dat hun sites trager laden door de complexe encrypties in https-verbindingen.

Duwtje van Google

Steeds meer site-eigenaars zijn bereid om over te schakelen, al doen ze dat niet uit veiligheidsoverwegingen. In 2014 al maakte Google duidelijk dat https het internet gezonder maakt. Om de overstap te stimuleren, stelde de internetgigant dat hij websites met https een klein voordeel zou geven. Is je website veilig, dan is Google sneller geneigd je hoger te plaatsen in zijn zoekresultaten. Zeker als je inkomsten haalt uit een commerciële website met advertenties wil je op de eerste zoekpagina komen in Google. Het leeuwendeel van de surfers klikt enkel op de bovenste drie resultaten.

Apps tonen vaak inhoud van het web, dus ook zij moeten de switch maken. De nieuwste mobiele besturingssystemen zoals iOS 10.2 en Android Nougat eisen nu al dat webinhoud enkel via een versleutelde verbinding in de app mag rollen.

Begin dit jaar stuurde Google een laatste, glashelder signaal naar website-eigenaars. Sites die nu nog enkel met http verbinden, worden in Googles Chrome-browser als onveilig gelabeld. Veel dwingender dan dat wordt het niet.