Als je een website wil openen in je browser, kan je via een aantal checks zien of de website veilig is. Allereerst zou de URL moeten beginnen met HTTPS, waarbij de s achter HTTP staat voor ‘secure’. Het verschil tussen een normale HTTP verbinding en een HTTPS verbinding, is dat de laatste is versleuteld door een TLS-verbinding (TLS is een encryptie protocol waarmee de communicatie tussen computers beveiligd kan worden) waardoor als het verkeer onderschept wordt, deze eerst ontsleuteld moet worden door het encryptie-algoritme te kraken. Ten tweede kun je kijken of er een hangslot in de adresbalk staat (en in sommige gevallen kleurt de adresbalk daarnaast groen).
Als je dit hangslot ziet, betekent het dat de website SSL beveiligd is. Secure Socket Layer (SSL) en Transport Layer Security (TLS) is het meest gebruikte beveiligingsprotocol en geeft dus aan of twee computers via het internet of via een intern netwerk veilig met elkaar kunnen communiceren. Ten derde kun je ook het certificaat van de website controleren. Door op het hangslotje te klikken krijg je een certificaat van de website te zien, met daarop onder andere informatie over de identiteit van de website en de beveiliging van de verbinding.
Vanaf oktober 2017 gaat Google het verplicht stellen dat websites hun certificaten transparant (Certificate Transparency) maken. De reden hiervoor is om een poging te doen het aantal domeincertificaten dat wordt misbruikt door hackers, terug te dringen. Door structurele fouten in het systeem van de certificaat autoriteit (CA), kunnen hackers deze fouten misbruiken en zo man-in-the-middle attacks of website spoofing attacks uitvoeren.
Certificate Transparency is een open source framework, ontwikkeld door Google en gebruikt om domeincertificaten te monitoren en te testen. In het verleden zijn er nogal eens CA’s geweest die verkeerde websites een certificaat hebben gegeven, waardoor hackers hier misbruik van konden maken, bijvoorbeeld door het certificaat na te maken (spoofen) en te gebruiken in één van bovengenoemde aanvallen. Een CA is in weze een entiteit die digitale certificaten leent aan websites, waarmee de eigenaar kan bewijzen dat hij of zij daadwerkelijk de eigenaar is. De taak van de CA is om te achterhalen of de identiteit van de aanvrager wel klopt. Alleen als de CA de identiteit kan bevestigen, krijgt de aanvrager een certificaat, anders niet.
Doordat certificaten een levensduur hebben van maximaal 39 maanden, zouden in 2020 alle certificaten gelogd en in lijn moeten zijn met de Certificate Transparency. Echter, Google voert deze richtlijn alleen in bij Chrome. Maar met een marktaandeel van ongeveer 60%, zullen de meeste website hier wel mee te maken gaan krijgen. De straf die staat op een niet gekwalificeerd/geregistreerd certificaat vanaf oktober 2017 is dat Chrome geen groene balk meer laat zien en er komt een waarschuwing dat het domein mogelijk niet vertrouwd kan worden. Dit zal ongetwijfeld grote impact gaan hebben, met name als ook andere browsers dit framework adopteren. Wij blijven de ontwikkelingen in ieder geval op de voet volgen!
