Gratis SSL-certificaten maken het internet onveiliger

Een SSL-certificaat is onmisbaar voor elke site en shop waar privacygevoelige gegevens worden uitgewisseld. Sinds Google twee jaar geleden aankondigde dat het gebruik van SSL meegenomen wordt in de ranking en er sinds kort gratis SSL-certificaten worden aangeboden, is het gebruik van SSL behoorlijk gestegen. Vandaag de dag gebruiken zo’n 45.000 Nederlandse shops (ongeveer de helft van alle webshops) een SSL-certificaat (bron: SIDN.nl). Goed nieuws dus!

Groene balk

Of een site SSL gebruikt, zie je in de browser aan de groene balk die wordt weergegeven voor het domein. De groene balk krijg je echter alleen te zien als een site beveiligd is met een EV SSL-certificaat. Dit zijn de meest uitgebreide SSL-certificaten en het grootste verschil zit in de validatie ervan. De uitgever van zo’n certificaat doet een uitgebreide backgroundcheck van de aanvrager. Zo wordt er bijvoorbeeld gecontroleerd of er een legitiem bedrijf achter een aanvraag zit. Dat proces kan enkele weken in beslag nemen. Minder uitgebreide, maar net zo veilige certificaten zijn minder visueel aanwezig. Die herken je vaak alleen aan het slotje in de adresbalk en het feit dat er niet http:// voor een domeinnaam staat, maar https://.

Veel internetgebruikers weten niet dat er wat versleuteling betreft eigenlijk geen verschil zit tussen de certificaten. Het veiligheidsprobleem ligt echter niet in de versleuteling, maar in de validatie van de aanvrager van het certificaat. Voorheen werd elke aanvraag pas gevalideerd door de uitgever als de aanvrager door een backgroundcheck kwam. De nieuwe gratis SSL-certificaten zorgen ervoor dat iedereen, dus ook kwaadwillenden, makkelijk en snel een SSL-certificaat aan hun domein kunnen hangen. Zolang ze maar toegang hebben tot het domein.

Hackers vragen SSL-certificaten aan

Elk malafide bedrijf kan dus een (gratis) SSL-certificaat aanvragen. Zodra je op zo’n website komt en je ‘https’ in de adresbalk ziet staan, waan je je dus veilig. Er wordt toch een versleutelde verbinding opgezet, niet waar? Je gegevens zijn dan misschien veilig dankzij de versleutelde verbinding, maar de ontvanger hoeft dat niet per se te zijn. Omdat met gratis SSL-certificaten de backgroundcheck van de aanvrager wegvalt, vraag ik mij af hoe veilig gratis SSL werkelijk is. Commerciële SSL-leveranciers controleren handmatig of het domein waarvoor SSL is aangevraagd, wordt gebruikt voor phishing en malware. Omdat de gratis SSL-leveranciers dit controlepunt hebben geautomatiseerd, is het makkelijk te omzeilen.

Onlangs werd ook bekend dat het mogelijk was voor hackers om subdomeinen aan te maken zonder dat de rechtmatige eigenaar van het domein het wist. Dit subdomein pointen ze dan naar hun eigen servers en ze hangen er een gratis SSL-certificaat aan. Jij als nietsvermoedende bezoeker denkt op een legitieme pagina te zijn en laat misschien zelfs privacygevoelige gegevens achter. Gratis SSL is bedoeld om het internet veiliger te maken, maar we ontkomen er niet aan dat goede software misbruikt wordt door kwaadwillenden.

Ransomware

We zien dat veiligheid op het web vandaag de dag sowieso een veel besproken onderwerp is. Nog niet heel lang geleden werd de wereld opgeschrikt door een wereldwijde ransomware-hack. Waar deze hack precies vandaan komt, daar zijn de meningen nog over verdeeld, maar de gevolgen ervan zijn nog steeds voelbaar. Hoewel de hack vooral op organisaties en bedrijven was gericht, doet het niet veel goeds voor het gevoel van (web)veiligheid bij de particuliere internetgebruiker.

Bij Byte merken we de gevolgen van de wereldwijde hacks en (DDoS-)aanvallen ook. We raden onze klanten dan ook altijd aan om zoveel mogelijk veiligheidsmaatregelen te nemen. Denk bijvoorbeeld aan het tijdig updaten van je software, het gebruik van two-factor authentication, het wijzigen van je admin-url en natuurlijk de aanschaf van een (EV) SSL-certificaat. Zo kun je zelf de eerste stappen zetten voor een veiliger internet en zien jouw bezoekers dat ze zaken doen met een betrouwbare partij.

Lygia Smit, contentmarketeer en communicatiespecialist
Lygia Smit, contentmarketeer en communicatiespecialist

“Hackers misbruiken goede software”

Webdesigner 96: WordPress, Flexbox en CSS, Aan de slag met Sass

WordPress is een mooi CMS waar je snel mee uit de voeten kan. Maar als je eenmaal je theme hebt gekozen en content hebt toegevoegd, bestaat de kans dat je je blog of site nog verder wilt aanpassen en optimaliseren. De vraag is hoe je dat dan het beste aanpakt.

Koop direct in onze webshop!

Deel dit artikel of reageer