Wat is HTTPS?
Misschien heb je wel eens van ‘HTTPS’ gehoord, of vaag ergens iets gelezen over ‘SSL’. Het zijn termen die we allemaal al jaren gebruiken als het gaat om het verbinding maken met het internet. Maar wat houden die termen eigenlijk in? Waarom zou je HTTPS moeten gebruiken en niet HTTP? En wat wordt er dan beveiligd? In dit artikel gaan we dieper in op online veiligheid door het gebruik van het HTTPS-protocol en een SSL-certificaat.
Wat betekent HTTPS?
Als je een website bezoekt, begint het adres met ‘HTTP’ of ‘HTTPS’. Http is de gewone manier van het bezoeken van een website. Als er geen gevoelige informatie verstuurd hoeft te worden, maar de website uit eenrichtingsverkeer bestaat, is dit vaak veilig genoeg. Maar tegenwoordig stappen veel websites over op ‘HTTPS’. Daarbij staat de ‘s’ voor ‘secured’.
Bij een HTTPS-verbinding wordt alle informatie versleuteld. Alleen de verzender en de ontvanger kunnen de informatie lezen. Derde, kwaadwillende partijen, kunnen de informatie niet ontsleutelen. Daardoor is het veiliger om dit protocol te gebruiken. Banken gebruiken daarom bijvoorbeeld HTTPS, en niet HTTP.
Wat hebben HTTPS en SSL met elkaar te maken?
Tegenwoordig staat in de wet dat persoonsgegevens ‘adequaat’ moeten worden beveiligd tegen misbruik en ongeautoriseerde toegang. Daarom maken steeds meer websites gebruik van HTTPS. Om een HTTPS-verbinding tot stand te laten komen, moet een certificaat gebruikt worden.
Dit certificaat noemen we een SSL-certificaat. Hierbij staat ‘SSL’ voor ‘Secure Socket Layer’, oftewel een extra beveiligingslaag. Het is geen certificaat van de overheid of iets dergelijks, maar een certificaat van een beveiligingsinstantie. Zonder een geldig certificaat kan er geen HTTPS-verbinding tot stand worden gebracht.
Zonder SSL dus geen HTTPS. De meeste moderne browsers geven netjes een melding als het SSL-certificaat van de website die je wilt bezoeken niet op orde is. Zo word je beschermd tegen het onbedoeld bezoeken van onveilige sites.
Het verschil tussen HTTP en HTTPS
Bij HTTP wordt geen versleutelde verbinding tot stand gebracht. Het is internetten in zijn puurste vorm: een computer verstuurt een aanvraag naar een andere computer (de server), doordat je op een link klikt en daarmee een verbinding aanvraagt. De webbrowser (zoals Google Chrome of Internet Explorer) stuurt de aanvraag naar de server. De server reageert en de pagina wordt geopend. Alle informatie wordt ruw verstuurd. Dit is de manier waarop het internet jarenlang, vanaf de jaren ‘90 heeft gewerkt.
Bij HTTPS wordt wél een versleutelde verbinding tot stand gebracht. Alle gegevens die je invoert op een website, zoals een gebruikersnaam of wachtwoord, worden versleuteld verzonden. Kwaadwillenden kunnen de gegevens niet onderscheppen, omdat er geen chocola van de gegevens te maken valt. Het idee van het verbinden en aanvragen blijft hetzelfde, maar het verschil is dat de informatie versleuteld is, en pas op het eindpunt wordt ontsleuteld. Daarom is het een goed idee om altijd eerst te controleren of een website HTTPS gebruikt, voordat je gegevens invoert. Zeker als het om creditcard- en bankgegevens gaat. Kijk dan ook goed naar het adres: bezoek je wel echt de website van de bank en heb je niet te maken met bijvoorbeeld phishing?
Bij phishing hengelen criminelen naar kostbare gegevens. Ze zetten bijvoorbeeld een nepwebsite op die lijkt op die van de bank. Hier vult een klant van een bank dan zijn gegevens in, in de overtuiging dat de website van de bank is. Immers, het logo staat er, de huisstijl is hetzelfde en de taal lijkt betrouwbaar. Echter, het adres blijkt anders te zijn, Hoewel de website HTTPS gebruikt en een groen slotje heeft, blijkt dit niet de website van de bank te zijn. Als je hier je gegevens hebt ingevuld, kunnen criminelen er met je geld vandoor gaan. Daarom is het goed niet blind te vertrouwen op HTTPS, maar ook zelf extra controle uit te voeren.
Waarom is HTTPS zo belangrijk?
Het grootste voordeel van HTTPS is dat bezoekers van websites worden beschermd tegen derde partijen die meeluisteren. Stel dat je een onbeveiligde Wi-Fi verbinding gebruikt en zonder extra beveiliging naar een website (met HTTP) surft. Ongecodeerde informatie kan dan ergens op het netwerk worden opgevraagd, onderbroken, gevangen en verzameld. Kwaadwillenden kunnen met je meekijken en er met je gegevens vandoor gaan.
HTTPS beschermt niet alleen jouw gegevens, maar zorgt er ook voor dat er echt een veilige verbinding tot stand komt. Alle data tussen de browser en de server zijn versleuteld. Kwaadwillenden kunnen niet meekijken. Daarnaast maakt HTTPS bijna altijd gebruik van het TCP-protocol, een transportprotocol dat zorgt voor een betrouwbare overdracht van gegevens. (Leestip: moet je TCP of UDP gebruiken?)
Diensten als Google vinden een veilige verbinding zelfs zo belangrijk dat de nieuwste Chrome versie incomplete URL’s automatisch met het HTTPS-protocol laadt. Als er geen HTTPS-versie beschikbaar is, zal Chrome pas het HTTP-protocol gebruiken. In dat geval zal Chrome echter de melding in de adresbalk tonen dat de site “Niet veilig” is. Google stimuleert website-eigenaren een beveiligde verbinding te gebruiken door veilige websites een hogere positie in de zoekmachine te geven. Je vindt dus sneller een veilige website in Google.
Boetes voor websites zonder HTTPS
In de Wet bescherming persoonsgegevens (Wbp) staat hoe eigenaren van websites zich online moeten gedragen. Deze regels vloeien voort uit de Europese richtlijnen. Internetveiligheid wordt zo serieus genomen, dat websites zonder HTTPS in theorie zelfs boetes zouden kunnen krijgen. Wie niet voldoende maatregelen neemt om bezoekers beter te beveiligen, kan een boete tot € 4.500 aan de eigenaar van de website worden opgelegd. De wet zegt niet letterlijk dat HTTPS of SSL verplicht is, maar zegt wel dat er een verplichting is om persoonsgegevens goed te beschermen. Daar hoort ook de mogelijkheid tot het opzetten van een beveiligde verbinding bij.
VPN: een beveiligde verbinding
HTTPS wordt steeds meer in één adem genoemd met andere manieren om je online te beveiligen, zoals VPN. Misschien vind je de termen een beetje verwarrend: je denkt misschien ‘Wat is VPN?’ en ‘wat heeft VPN te maken met HTTPS?’ De eerste overeenkomst is dat het bij beide om extra beveiligde verbindingen gaat. Net als bij HTTPS, is alle data die je door een VPN stuurt, versleuteld. Een VPN is een soort tunnel waar data doorheen gaat, wordt versleuteld, aan het eind van de tunnel wordt ontsleuteld en waarmee je uiteindelijk het internet bereikt en surft op een veilige manier.
Bij HTTPS komt ook een beveiligde verbinding tot stand, maar met het verschil dat je niet via een tunnel werkt. Dat houdt in dat je eigen IP-adres nog steeds wordt meegestuurd, dat je locatie nog steeds gevolgd kan worden en dat informatie ongewenst kan worden meegestuurd. Alleen hetgeen je verstuurt naar de beveiligde verbinding wordt versleuteld. Een VPN is daarom een welkome aanvulling op de tools die je gebruikt voor je digitale veiligheid.