Jouw goede voornemen voor 2016: standaard beveiliging met https

0

Wie 2016 goed wil beginnen, schakelt zijn of haar website over van http naar https. Dit is niet per se nodig voor je eigen beveiliging, maar is belangrijk voor de privacy en beveiliging van bezoekers. Nu overschakelen kost weinig, is goed voor je karma en wordt beloond door Google.

Het verschil tussen open en beveiligd webverkeer

Een korte analogie: wie belangrijke informatie verstuurt, doet dat niet op een ansichtkaart. De postbode en alle huisgenoten kunnen immers meelezen. We doen brieven daarom in een envelop om een stukje privacy toe te voegen. Toen het world wide web begin jaren ’90 uitgevonden werd, was dit soort basisprivacy helaas niet standaard. Het standaard webprotocol (http) is bedacht in een tijd dat bescherming duur en lastig was. Iedereen kan meeluisteren, en zelf berichten aanpassen en vervalsen.

In de loop van de tijd is https bedacht, met de s van security: een beter protocol dat moeilijk af te luisteren is. Het wordt veel gebruikt bij websites waar je kunt inloggen: banken, e-commerce en social websites. Het alleen lezen van pagina’s of het doorkijken van producten gebeurt echter vaak nog op de onveilige manier. Https kost iets meer rekenkracht, maar door de steeds snellere computers is dit inmiddels verwaarloosbaar. Net zoals alle auto’s tegenwoordig goede remmen hebben, kan elke webserver https aan. Alleen wordt dit nu vaak niet aangezet.

De doorbraak van WikipediaScreen Shot 2015-12-20 at 22.26.03

Veel experts zijn er al langer van overtuigd dat https voor al het verkeer verplicht moet zijn. Weten wat iemand leest, zegt namelijk al veel over de persoon. Wie bijvoorbeeld zoekt naar informatie over zeldzame ziektes, doet dat meestal omdat iemand in de omgeving deze ziekte heeft. Ook wie zoekt naar bepaalde gay-vriendelijke hotels en bars, naar relatie-advies, of romantische cadeautips, doet dingen die privacy-gevoelig zijn en dus bescherming verdienen. Wikipedia had daarom al langer de wens om volledig over te gaan op de veilige variant, https, voor al het verkeer. Voor Wikipedia was dit een uitdaging, omdat de site een klein budget heeft (geen advertentie-inkomsten) en extreem veel bezoekers. In 2015 is het echter gelukt, vanaf juni 2015 gebruikt Wikipedia standaard https.

Wikipedia zelf ziet dit als een heel belangrijke stap: “To be truly free, access to knowledge must be secure and uncensored. At the Wikimedia Foundation, we believe that you should be able to use Wikipedia and the Wikimedia sites without sacrificing privacy or safety.” En dat is het eigenlijk ook: een vrij internet is belangrijk en daar is https bij nodig. En als Wikipedia het technisch aankan, kunnen alle Nederlandse sites dat ook.

Https en google-rankings

Google zelf heeft veel van de slimste data-scientists in dienst en weet hoeveel informatie je kunt halen uit iemands zoekopdrachten. Google heeft daarom zelf al langer geleden stappen genomen om te zorgen dat andere bedrijven niet kunnen zien wat Google wel ziet: het zoekgedrag. Er is veel negatiefs te zeggen over google en privacy, maar onprofessioneel zijn ze niet. De basisbeveiliging staat bij Google zelf aan.

Wie in 2016 wil winnen, zal milliseconden moeten inruilen voor meer privacy.

Het goede nieuws van dit jaar is dat Google nu ook bij de ranking rekening houdt met het gebruiken van het juiste protocol. Websites met https worden beter beoordeeld en iets hoger geplaatst dan minder professionele websites zonder https. Deze beslissing is een doorbraak: veel e-commerce-websites kozen voor de hoogste snelheid en geen https om een paar milliseconden te winnen: de privacy verloor het van de commercie. Wie in 2016 wil winnen, zal deze milliseconden moeten inruilen voor meer privacy. Google voert de factor https geleidelijk in. Op een technisch google-blog uit aug 2014 werd de toevoeging aangekondigd. De factor https heeft nu nog een kleine waarde omdat Google zijn eigen klanten niet voor verrassingen wil laten staan, maar de factor zal langzaam blijven toenemen tot iedereen de hint heeft begrepen.

Nederlandse websites slapen

Nederlandse e-commerce-partijen liepen dit jaar helaas achter. Als je op Bol.com zoekt naar boeken over kanker of depressie, krijg je onbeveiligde pagina’s terug die iedereen kan lezen. Hetzelfde geldt voor wie naar babykleding zoekt bij Hema of bloeddrukmeters bij Coolblue. Een gemiste kans van deze bedrijven om hun gebruikers te beschermen en om internationaal voorop te lopen. In al deze gevallen gaat het om privacy-gevoelige informatie, en bedrijven zijn verplicht om hier zorgvuldig mee om te gaan. Op 1 januari 2016 gaan de boetes omhoog (gelijktijdig met de invoering van de meldplicht datalekken), dus nu is een goed moment om dit probleem aan te pakken.

Screen Shot 2015-12-20 at 22.57.21Zelf aan de slag met https

Het aanzetten van https is technisch niet moeilijk. Het is een kwestie van de internet-hosting provider te vragen om een SSL-certificaat aan te vragen. Voor de meeste websites is het goedkoopste certificaat goed genoeg. Wie veel gebruik maakt van subdomeinen (bijvoorbeeld niet alleen mijnwebsite.nl maar ook xyz.mijnwebsite.nl) heeft een duurder wildcard-certificaat nodig. In het verleden waren de kosten van deze ssl-certifcaten een probleem: de certificaten werden als melkkoe gebruikt en met name organisaties met veel verschillende websites hadden geen zin om zich uit te laten melken. Er is een initiatief om de certificaten gratis te maken public beta: Let’s encrypt. Voor wie toch nog bij een duurdere provider zit die certificaten uitmelkt: wissel alsjeblieft. SSL is belangrijk.

Screen Shot 2015-12-20 at 23.00.14Sites testen

Als je een certificaat hebt, kun je de website checken met je eigen browser, en met de Qualis ssl-testtool. Deze doet een aantal testen. Ik heb voor het schrijven van dit artikel een aantal websites getest: Bol.com en Coolblue hebben beiden wel SSL-certicaten. Bol.com scoort het hoogst (A), Coolblue iets lager maar nog steeds goed (A-). Mijn eigen websites doen het extreem wisselend: softwarezaken.nl (gebouwd op WordPress, transip, goedkoop certificaat) scoort A, beter dan Coolblue. De Engelse variant ictinstitute.nl scoort nul punten. Het certificaat is niet besteld. Startupjuncture.com scoort ook goed, maar startupdelta.org heeft ook geen beveiliging. Blijkbaar heeft niemand daar aan gedacht: iets om in het nieuwe jaar te bespreken.

Ontloop privacy-boetes en kies voor https

Als je tussen het kerstdiner en de oliebollen door tijd over hebt, en toch iets aan een betere wereld en je eigen website wil doen: neem https. Binnen een paar uur en voor een paar tientjes ontloop je hoge privacy-boetes, stijg je op de lange termijn in Google en heb je een bijdrage geleverd aan een veiliger internet. Een goed begin van het nieuwe jaar.

Illustratie intro met dank aan Fotolia.