Wat is het verschil tussen HTTP en HTTPS? Dingen die u moet weten om online veilig te blijven
Mozilla Firefox-gebruikers kunnen gevallen tegenkomen wanneer ze proberen wat tekst in een online formulier in te voeren en ze zien een vak met de tekst: ' De verbinding is niet veilig. Hier ingevoerde logins kunnen worden aangetast. 'Wanneer gebruikers van Google Chrome deze websites bezoeken, zien ze een bericht' Niet beveiligd 'in de adresbalk. Waar gaat dit allemaal over?
De meer opmerkzame onder u weet waarschijnlijk dat sommige URL's beginnen met "http://" en anderen met "https://". Het is je misschien ook opgevallen dat wanneer de site wordt geladen onder HTTPS, je een groen hangslotsymbool ziet naast het adres van de website. Dit groene hangslot is erg belangrijk en we zullen nu uitleggen waarom.
Table of Contents
Wat is HTTP?
HTTP staat voor Hypertext Transfer Protocol, en zonder dit zou je dit niet lezen. HTTP vergemakkelijkt de overdracht van tekst, afbeeldingen en andere media tussen uw computer en de server die de website hosten die u bezoekt. Surfen op het internet zonder dit protocol zou een heel andere ervaring zijn.
Toen Tim Berners-Lee in 1989 HTTP maakte, was internet niet bepaald alomtegenwoordig. Weinig mensen hadden er toegang toe en de online pioniers zagen niet in waarom iemand informatie wilde stelen die tussen computers reisde. Sindsdien zijn dingen, zoals je waarschijnlijk weet, behoorlijk veranderd.
HTTPS en het belang ervan
Naarmate het internet groeide, begonnen steeds meer slechte mensen belangstelling te tonen voor de steeds groter wordende hoeveelheid informatie die rond vloog, en de zogenaamde Man-in-the-middle-aanval (MITM) was geboren. Zoals de naam al doet vermoeden, plaatst een persoon zich tijdens een MITM-aanval tussen de computer van de gebruiker en de server van de website en snuift door de stromende gegevens. Op die manier kan de boef wachtwoorden stelen en knoeien met wat de gebruiker verzendt en ontvangt.
Het werd al snel duidelijk dat de aanpak voor het verzenden van gevoelige informatie via internet zou moeten veranderen, en dat is de manier waarop HTTPS, of HTTP Secure, werd geboren. HTTPS is een uitbreiding van HTTP in plaats van een ander protocol. Het dient een aantal hoofddoelen:
- Versleutel uw gegevens. Versleuteling is de kern van HTTPS. Aanvankelijk vertrouwde het op het cryptografische protocol Secure Socket Layer (SSL), maar later schakelde het over naar SSL's veiligere opvolger, Transport Layer Security (TLS). Zo werkt het in eenvoudige bewoordingen: zodra u een HTTPS-verbinding tot stand brengt, voeren uw browser en de server die de website host eerst de zogenaamde "handshake" uit, waarbij ze met behulp van een asymmetrisch cijfer veilig sessiespecifieke gegevens uitwisselen en de cryptografische sleutel die zal worden gebruikt voor de codering van de informatie. Vanaf dat moment is elk stukje gegevens dat van en naar uw computer wordt verzonden voor iedereen behalve u en de server onleesbaar. Hoewel een hacker theoretisch uw inloggegevens voor online bankieren zou kunnen onderscheppen, hebben ze geen idee wat uw gebruikersnaam en wachtwoorden zien eruit. Evenzo kunnen ze geen gegevens vastleggen en wijzigen die de bank naar uw pc verzendt.
- U ervan verzekeren dat u op de juiste plaats bent. Het doel van HTTPS is niet alleen om uw gegevens om te zetten in een onleesbare troep tekens. Om uw website via een HTTPS-verbinding te kunnen gebruiken, moet u een SSL-certificaat hebben (hoewel SSL een tijdje geleden werd gedumpt, is de naam vastgelopen). Deze certificaten worden uitgegeven door de zogenaamde Certificate Authorities (of CA's) en het idee is dat ze alleen aan legitieme websites worden gegeven. Sommige gevestigde online portals zoals PayPal hebben gekozen voor Extended Validation (EV) -certificaten met de naam van de website-eigenaar. Hoewel beveiligingsexperts van mening zijn dat ze geen extra waarde bieden, nemen CA's voordat ze een EV-certificaat uitgeven, extra stappen om ervoor te zorgen dat de gecertificeerde entiteit betrouwbaar is. Het idee van reguliere en EV-certificaten is om de gebruiker te laten weten dat de website die ze bezoeken is niet kwaadaardig.
Wanneer je op internet surft, wil je er zeker van zijn dat je altijd op de juiste website bent, wat tegenwoordig niet zo eenvoudig is als het lijkt. Met zoveel nieuwsgierige hackers die om elke hoek op de loer liggen, wilt u er ook zeker van zijn dat de gegevens die u verzendt niet zichtbaar zijn voor mensen met slechte bedoelingen. In theorie beantwoordt HTTPS beide vragen. In werkelijkheid moeten we nog waakzaam zijn.
HTTPS-acceptatie en de bijbehorende problemen
Jarenlang drongen beveiligingsdeskundigen aan op website-exploitanten om over te schakelen naar HTTPS, maar hun telefoontjes vielen doof en de reden was simpel: geld. SSL-certificaten waren vrij duur en werden meestal gekocht door e-commerce websites. Twee en een paar jaar geleden veranderde er een nieuwe certificaatautoriteit genaamd Let's Encrypt. In tegenstelling tot de rest van de CA's, biedt Let's Encrypt gratis SSL-certificaten en het proces is ook volledig geautomatiseerd, wat betekent dat het gebruik van HTTPS slechts enkele minuten en precies $ 0 kost.
Het probleem hiermee is dat websites bedienen via een beveiligde verbinding nu eenvoudiger is voor zowel legitieme online bedrijven als criminelen. Als gevolg hiervan zien experts steeds meer phishingpagina's met SSL-certificaten. En dit betekent dat het groene hangslot niet langer kan worden beschouwd als een betrouwbare indicator voor een betrouwbare, veilige webpagina. Toch is het een goede zaak dat het aantal HTTPS-websites is toegenomen. Beter nog, het zal waarschijnlijk blijven toenemen.
Van de SEO-prestaties van websites die via een onveilige verbinding worden aangeboden, wordt gezegd dat ze lager zijn, en binnenkort zal Google Chrome alle HTTP-websites labelen als "Niet veilig", niet alleen degenen met een inlogformulier. Met andere woorden, HTTPS wordt de norm, geen uitzondering. Als we een veiliger World Wide Web willen, is dit een zeer belangrijke stap.
