Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Websites met SSL beveiligen: ja, maar met beleid

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 29 april 2015 10:00 uur

Geld verdienen? Dan verkoop je als hoster altijd een SSL-certificaat bij een hostingpakket. Er zullen weinig klanten zijn die twijfelen aan het nut van een dergelijke beveiliging, gezien al het nieuws over cybercrime en zelfs een heuse mondiale top in Den Haag. De vraag is echter of we niet doorschieten in de discussie over HTTPS. Aanleiding: een rapport van OpenState, een organisatie die zich naar eigen zeggen bezighoudt met ‘gebruik en ontsluiten van open data’.

Eerst maar het concrete voorbeeld: onder de titel ‘Geen veilig versleuteld webverkeer mogelijk met meeste websites van de overheid’ somt OpenState een aantal onveilige sites op. Wij citeren: “Zo maken de websites van de Algemene Inlichtingen en Veiligheidsdienst (aivd.nl), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl) en het Nationaal Cyber Security Centrum (ncsc.nl) wel altijd gebruik van het HTTPS protocol, maar doen de websites van de Belastingdienst (belastingdienst.nl), de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (ctivd.nl) en Agentschap Telecom (agentschaptelecom.nl) dat niet voor al het webverkeer naar deze websites.”

Inderdaad. Wie naar belastingdienst.nl gaat, komt via een normale http-verbinding op de website uit. Het publieke gedeelte van de site, waarop generieke informatie over verschillende belastingen, toeslagen en regelingen is te vinden. Pas als je een toeslag wilt aanvragen of aangifte wilt doen en er dus daadwerkelijk persoonlijke gegevens worden verstuurd naar de systemen van de fiscus, wordt er een beveiligde verbinding geopend en moet de bezoeker door een authenticatielus, al dan niet via DigiD. Wat is dan het probleem van OpenState? Waarom zou je als dienst een publiek gedeelte van een site met SSL beveiligen? Er vindt geen uitwisseling plaats van persoonlijke gegevens tussen browser en server.

“Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd. Het lage aantal websites van de overheid die het HTTPS-protocol gebruikt, is opmerkelijk omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS.” Nogmaals: dat is niet van toepassing als de bezoeker alleen de algemene pagina’s bezoekt.

Dichter bij het huis van hosters: webshops. Exact hetzelfde fenomeen. Laten we een van de grootste shops in Nederland pakken als voorbeeld. Ga naar wehkamp.nl: gewoon HTTP. Pas op het moment dat er persoonlijke gegevens worden uitgewisseld omdat de klant een bestelling wenst te doen, wordt een beveiligde verbinding opgezet in HTTPS. En waarom zou dat slecht zijn? Of onveilig? OpenState heeft het overigens alleen over overheidssites, met de constatering dat het aantal beveiligde sites (met HTTPS) erg laag is.

Laten we als hostingbranche vooral kijken naar wat de klant echt nodig heeft. Natuurlijk: beveiliging is goed. En noodzakelijk. Maar met beleid, graag. Adviseer de klant hierin en maak de klant bewust van diverse mogelijkheden op het gebied van beveiliging. Op welk niveau moet je een website of shop beveiligen? Wat voor type SSL-certificaat heeft de klant nodig? Alleen domeinbescherming (certificaatprijzen variëren tussen paar tientjes en honderd euro) of is er meer nodig, bijvoorbeeld in het geval van een shop waarvoor een certificaat met EV is aan te bevelen (kosten ongeveer duizend euro per jaar). Blind alles beveiligen en de klant op kosten jagen is geen service, goed en kundig adviseren wel.

Herman, 29 april 2015 3:08 pm

Waarom zou je als dienst een publiek gedeelte van een site met SSL beveiligen? Er vindt geen uitwisseling plaats van persoonlijke gegevens tussen browser en server.


Een reden die niet alleen door de auteur over het hoofd gezien wordt: het gebruik van TLS is niet enkel vanwege privacy overwegingen wenselijk. Het gebruik van een geldig certificaat en HTTPS bevestigt de tevens authenticiteit van de bron en garandeert die integriteit van de gepubliceerde informatie i.e. die pagina met informatie over de verschuldige belasting tarieven of geldige aftrekposten is ook de daadwerkelijk informatie gepubliceerd door de belastingdienst.

Zonder HTTPS encryptie is het technisch trivial om content live aan te passen.

Ik hoef niet eens direct van echt kwade opzet uit te gaan: een scenario waar de aanbieder van "gratis WiFi" die dit kosten-dekkend wil maken door advertenties aan elke opgevraagde pagina toe te voegen is niet ondenkbaar. Een banner en link naar concurrent Bol toegevoegd op elke pagina van Wehkamp lijkt grappig, maar vergelijkbaar een advertentie en dus een impliciete aanbeveling voor een commercieel pakket op belastingdienst.nl/Downloads is verre van gewenst voor een dergelijke overheidsdienst.

Dat is een risico dat je ook op een site met algemene publieke informative af kunt dekken door gebruik te maken van HTTPS en zelfs het goedkoopste certificaat. De extra CPU load op de webserver is verwaarloosbaar en samen met de marge op het certificaat zie ik voor veel hosters een mooie mogelijkheid om extra toegevoegde waarde te bieden.

Kelly van Duin, 29 april 2015 4:42 pm

Hoi Jeroen,

Om te beginnen ben ik het er mee eens dat de kritiek op de overheidssites en webshops niet helemaal terecht is: de https:// verbinding zorgt ervoor dat de gegevens die bezoekers achterlaten versleuteld worden verzonden. Op pagina's waar bezoekers geen gegevensachterlaten, is dat dus geen must. Dit is ook geheel volgens de regels zoals die bijvoorbeeld voor webshops gelden (WBP).

Wat betreft het adviseren van klanten heb ik nog wat aanvullingen:

Zodra een certificaat bedrijfsgegevens bevat zorgt het (zoals Herman al aangaf) naast de versleuteling van gegevens voor een identiteitsgarantie. Deze garantie is het sterkst bij EV certificaten die de eigenaar van een site direct in de adresbalk tonen. Dit kan voor webshops omzetverhogend werken maar bijvoorbeeld ook voor overheidswebsites de betrouwbare uitstraling verhogen (Niet voor niets geeft de overheid zelf alleen SSL certificaten inclusief bedrijfsgegevens uit). Overigens is een EV certificaat wel iets goedkoper dan de genoemde € 1.000, nl. vanaf ca. € 100 per jaar.

Daarnaast is het zowel qua beveiliging als uit commercieel oogpunt tegenwoordig zonde het certificaat niet op alle pagina's te gebruiken. De extra laadtijd die het oplevert weegt niet op tegen de voordelen zoals het niet meer hoeven schakelen tussen beveiligde en onbeveiligde pagina's en het feit dat Google https sites beloont met een hogere positie in de zoekresultaten. Klanten op kosten jagen is hiervoor niet nodig, een eenvoudig domein gevalideerd a € 9 per jaar is hiervoor al voldoende. Wel is het zaak dit zorgvuldig in te stellen, meer hierover: https://www.sslcertificaten.nl/knowledgebase/FAQ/Beveilig_de_hele_website_met_SSL_-_waar_moet_je_op_letten

Pim Effting, 30 april 2015 8:26 am

Nuance is natuurlijk altijd mooi ! :-)

Nog een aantal extra punten om mee te nemen in de discussie over SSL / HTTPS:

De meeste klanten kiezen niet voor een certificaat omdat het verplicht is (zie CBP richtsnoer), maar omdat Google vindt dat deze websites hoger moeten scoren. Bovendien zou het vertrouwen wekken bij de klant en dus tot hogere conversie leiden. Het is dus een commerciële afweging en niet echt een principiële.
zie http://googlewebmastercentral.blogspot.nl/2014/08/https-as-ranking-signal.html

Daarnaast zien we in de praktijk ook veel verkeerd geïnstalleerde certificaten. Denk aan SHA-1 of incomplete chains. Maar ook verouderde technieken zoals SSLv3. In dat geval creëer je een schijnveiligheid of maak je het zelfs erger (denk aan browserfouten).

Sjoerd van Groning, 30 april 2015 12:41 pm

Ik denk dat de kosten van een SSL certificaat beperkt zijn (en anders moet je heel even shoppen). Er zit een duidelijke meerwaarde in om verkeer tussen client en server te beveiligen. Dat maakt misbruik minder eenvoudig en verhoogt de betrouwbaarheid.

Het enige grote (kosten-)issue is dat nu nog voor oude Windows versies extra ip-adressen nodig zijn. Als dat marktaandeel afneemt, zullen de kosten nog lager worden omdat er geen dedicated ip-adres meer nodig is.

Mijn advies is om als het enigszins mogelijk is er gewoon een certificaat op te zetten.

Sander Backus, 30 april 2015 1:35 pm

Waarom zouden alleen requests waar gebruikers gegevens achterlaten versleuteld moeten zijn? Het is ook niet wenselijk dat je browsegedrag op publieke sites af te luisteren is.

Arno Vis, 30 april 2015 6:55 pm

Ik denk dat de conclusie is dat het niet uitmaakt of je een SSL certificaat neemt voor de encryptie, de authenticatie, de wetgeving of gewoon commerciële overwegingen. Een SSL certificaat is altijd beter dan geen SSL certificaat. En voor de kosten hoef je het niet te laten.

Ik denk dat de enige overweging die je hoeft te maken is of je in plaats van een simpel certificaat zoals een DV certificaat beter voor een OV of EV certificaat kan kiezen voor redenen die voor jou of je klanten van belang zijn.

Marco Miltenburg, 1 mei 2015 7:33 am

Wat heel veel webshops helaas ook fout duren is dat ze het inloggen en invoeren van adres- en betaalgegevens wel netjes via HTTPS doen naar daarna vrolijk weer terug switchen naar HTTP.... maar ik blijf wel ingelogd?!? Hoe? Juist, door middel van cookies. En via HTTP worden die in clear-text verstuurd en loopt de klant het risico op session hijacking. Mijn advies is al jaren: HTTPS everywhere (and always), de overhead is nihil en de kosten nagenoeg ook.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.