Menu

keyboard
Van HTTP naar HTTPS?

Wanneer u nieuwe tekst op uw website zet, dan doet u dat op uw eigen computer vanuit uw browser. Uw browser verzend dan de door u ingevoerde gegevens naar de computer waar uw website op draait (de webserver). Vanuit uw website worden vervolgens weer gegevens naar u terug gezonden. Dat gaat snel en vanzelf.
Als een bezoeker een formulier op uw website invult gebeurd het zelfde. Ook dat gaat snel en vanzelf.
Het verkeer heen-en-weer van die gegevens gebeurt meestal onversleuteld. Iemand die dat verkeer opvangt kan zo alles "meelezen" dat wordt uitgewisseld.

Die gegevens worden verstuurd volgens het HyperText Transfer Protocol (HTTP). Dit protocol regelt het verkeer tussen een webbrowser (een webcliënt) en een webserver.
Gegevens worden hierbij onversleuteld verzonden. Dat betekent dat iemand die zich toegang verschaft tot de data direct mee kan lezen. Wanneer gegevens via een draadloze verbinding worden verstuurd, via een wifi, dan is het vrij simpel om die toegang te krijgen: een speciaal daarvoor gemaakt programmaatje installeren en starten is voldoende.
Wanneer zo je inlog-gegevens worden afgevangen dan kan zoiets snel heel vervelende gevolgen hebben.

Het HyperText Transfer Protocol Secure (HTTPS) is een uitbreiding van het HTTP-protocol met als doel om veilig gegevens te kunnen versturen en ontvangen. Dat gebeurd door alle gegevens te versleutelen. Daarbij moeten zowel de zender als de ontvanger alle data versleutelen en ontcijferen. Dat kost (reken)tijd en werd tot voor kort daarom vooral gedaan bij het inloggen op een website, bij betalingsverkeer over internet en bij het verzenden van privacy-gevoelige gegevens.

De extra rekentijd die het versturen van gegevens over een HTTPS-beveiligde verbinding kost is tegenwoordig nauwelijks meer relevant. Daarom wordt het steeds normaler om alle pagina's van een website via https te versturen. Google stimuleert dat door de websites die met https werken hoger in de zoekresultaten weer te geven.

Wat voegt dat s-je toe aan mijn website?

De versleuteling van gegevens is belangrijk, maar net zo belangrijk is dat de website waar je gegevens heen zelf ook echt die website is, en niet een nep-site. Veel hacks werken doordat een bestaande website wordt nagemaakt en zich voordoet als de authentieke website.
Om met het HTTPS protocol te kunnen werken dient een website in de Europese Unie een gewaarborgd SSL certificaat te hebben. Dat certificaat houdt in dat voldaan is aan een aantal kwaliteitseisen die onder meer waarborgen dat de identiteit van de website degelijk is vastgesteld. Er zijn wereldwijd ongeveer 5 organisaties die SSL certificaten maken en bijhouden, en een veel grotere groep organisaties die als tussenpersoon dergelijke certificaten te koop aanbieden en helpen bij het installeren ervan.

Wat kost een certificaat?

Voordat een certificaat wordt afgegeven wordt die identiteit dus vastgesteld. Hoe meer werk daar van wordt gemaakt hoe hoger de kostprijs van het certificaat wordt.
Het minimum dat vereist wordt, is een check op basis van het document waarin het certificaat wordt aangevraagd. Dat aanvraag document bevat de naam van de website, het contact e-mailadres, en gegevens over de organisatie die eigenaar is van de website. Voordat het certificaat wordt afgegeven wordt nagegaan of dat e-mailadres hetzelfde is als het e-mailadres dat is opgegeven bij de registratie van de website naam (de zgn. domeinnaam registratie). Er wordt dus alleen gecontroleerd of de aanvrager van het certificaat controle heeft over het domein waarvoor het certificaat wordt aangevraagd.
Het is mogelijk om tegen extra kosten extra zekerheden te geven. Daarbij worden organisatiegegevens gecontroleerd door naar een openbaar register te kijken. Voor een bedrijf bijvoorbeeld bij de Kamer van Koophandel. Aanvullend hierop wordt naar de organisatie gebeld om na te gaan of daar ook inderdaad echt de aanvraag vandaan komt. Daarnaast kan nog gevraagd worden om toezending van extra documenten.
Naarmate er meer werk nodig is worden de kosten ook hoger.
Dat meerwerk vertaald zich in een groene balk in het webadresveld van de webbrowser: dat oogt extra zeker.
Een certificaat dient jaarlijks vernieuwd te worden.

Naast die jaarlijkse aanschafkosten van het certicaat zelf, is er dus jaarlijks werk bij het (her)aanvragen ervan, en bij het instellen van de website en de website-server.

Wat levert het op?

https
photo credit: https via photopin (license)


Een hogere positie in de zoekresultaten van Google, meer veiligheid en een betere betrouwbaarheid voor de bezoekers die gegevens naar de website sturen. U voorkomt op die manier onveilig verkeer en u maakt dat ook zichtbaar via een beveiligd slotje in de adresbalk van de webbrowser.
De Nederlandse overheid zit er achter aan dat u voorkomt dat gegevens in verkeerde handen kunnen komen. U dient tegen te gaan dat persoonsgegevens verloren kunnen raken of dat er onbevoegde toegang krijgen tot die gegevens. Tegen gaan betekent dat u de juiste beveiligingsmaatregelen dient te nemen om dit soort van datalekken te voorkomen. Dat kan door bijvoorbeeld gebruik te maken van encryptietechnieken: door gebruik te maken van HTTPS dus.
Het is vanaf 1 januari 2016 verplicht om ernstige datalekken te melden. Denk daarbij aan alle situaties waarin er onbevoegde toegang is tot: inloggegevens, financiële gegevens, kopieën van identiteitsbewijzen, gegevens die betrekking hebben op levensovertuiging en/of op gezondheid.
Melden betekent: melden aan de personen waarvan de gegevens zijn gelekt, en bij een overheidsinstantie (de Autoriteit Persoonsgegevens). Voorkomen is dan ook beter.