Google Chrome markeert niet-https websites als onveilig – maar ook sites met nepcertificaten zijn de pineut

Sinds 24 juli markeert webbrowser Google Chrome websites zonder SSL-certificaat als onveilig. Maar er blijken ook nog heel wat Nederlandse websites op het internet te staan die van een nepcertificaat gebruik maken. Ook deze worden door Chrome als onveilig gemarkeerd en zijn dus te herkennen.

Wat je moet weten over https

Https staat voor ‘Hypertext Transfer Protocol Secure’. Bij https websites begint de URL met https:// in plaats van met . Die extra ‘s’ geeft aan dat de verbinding tussen de browser van de bezoeker en de server is beveiligd met een SSL-certificaat. Met andere woorden: alle gegevens die tussen de bezoeker en de website worden uitgewisseld, zijn versleuteld. Niet-https sites (waarop geen SSL-certificaat is geïnstalleerd) beschikken niet over deze versleuteling en worden als onveilig beschouwd door Google Chrome.

Eerst grijs, nu rood

Google Chrome begon al op 24 juli 2018 met het verstrekken van waarschuwingen bij websites zonder SSL-certificaat. Maar omdat de waarschuwingen in de eerste instantie in grijze letters werden weergegeven, vielen ze een groot deel van de internetgebruikers niet op. Sinds Chrome 70 eerder deze maand werd uitgerold, wordt de waarschuwing echter in rode letters weergegeven. En dat valt natuurlijk meteen op. Het spreekt voor zich dat zo’n waarschuwing niet bepaald gunstig is voor de reputatie van een organisatie. 

Nepcertificaten

Niet alle SSL-certificaten zorgen voor een veilige verbinding. In 2015 werd security bedrijf Symantec betrapt op het verstrekken van nepcertificaten, waarmee de websites die ze kochten zich als Google.com konden voordoen. Toen dit bekend werd, besloot Google het vertrouwen in het bedrijf op te zeggen. De beheerders van de websites die zo’n nepcertificaat hadden aangeschaft, werd geadviseerd om een nieuw SSL-certificaat bij een andere partij af te nemen zodat hun websites weer als veilig gemarkeerd konden worden. Nu blijkt echter dat ze dat niet allemaal gedaan hebben. 

Drieduizend Nederlandse websites

Uit onderzoek van Open State Foundation blijkt dat zo’n 3.000 Nederlandse websites nog gebruik maken van een nepcertificaat van Symantec. Omdat Google deze certificaten nu niet meer goedkeurt, wordt ook bij deze websites de waarschuwing gegeven dat ze onveilig zijn. Het betrof onder andere de websites van de gemeentes Zutphen en Heemskerk en de websites van Ekoplaza en de klantenservice van NS International. 

Ook invloed op SEO

Google acht het zeer belangrijk dat websites gebruik maken van een beveiligde verbinding. Logisch, want de zoekmachine gigant wil haar gebruikers natuurlijk niet doorverwijzen naar onveilige websites. Google is dan ook al sinds 2014 bezig om https als ranking signaal in te voeren. Inmiddels zijn ze zo ver dat https een doorslaggevende factor kan zijn in het geval dat twee websites gelijk scoren in de zoekresultaten – de site met SSL-certificaat zal dan hoger scoren dan de website zonder SSL-certificaat. Https is dus ook belangrijk voor zoekmachine optimalisatie (SEO). 

Nog steeds geen SSL-certificaat?

Afgezien van de websites die destijds een nepcertificaat van Symantec hebben aangeschaft, zijn er ook nog heel wat Nederlandse websites die helemaal geen SSL-certificaat geïnstalleerd hebben. Dit zorgt er niet alleen voor dat deze websites onbetrouwbaar overkomen, het brengt mogelijk ook de veiligheid en privacy van bezoekers in gevaar. Dat terwijl het installeren van een SSL-certificaat een kleine moeite is. Heeft jouw website nog geen SSL-certificaat, dan raden we je sterk aan om dit zo snel mogelijk te regelen. Het hebben van een SSL-certificaat is namelijk wettelijk verplicht sinds de invoer van de AVG op 25 mei 2018. Meer informatie over het installeren van een SSL-certificaat nodig? Neem dan contact met ons op.