Fris & Fruitig

contact
Menu

Menu

Praten

Contact

Zien

  • Fris & Fruitig HQ
  • Brouwerijstraat 1
  • 7523XC Enschede
  • The Netherlands

Home / Blog / Hoe HTTPS je gegevens beschermt 🔒

Hoe HTTPS je gegevens beschermt 🔒

"Ik heb niets te verbergen"

Niemand heeft niets te verbergen. Denk maar eens aan je inloggegevens van je bank, je gezondheidsgegevens, een stiekem bezoek aan een website. Niemand wil dat deze gegevens zomaar op straat komen te liggen.

Niemand heeft niets te verbergen. Denk maar eens aan je inloggegevens van je bank, je gezondheidsgegevens, een stiekem bezoek aan een website. Niemand wil dat deze gegevens zomaar op straat komen te liggen.

Steeds meer apps werken tegenwoordig met gevoelige data. Je gegevens kunnen beschermd worden door ze via een versleutelde verbinding te versturen. Op die manier is het lastiger (niet onmogelijk) voor onbevoegden om deze te bekijken.

Wanneer is zo’n versleutelde verbinding nodig?

Soms is het niet direct duidelijk dat er gevoelige data wordt verstuurd. Zelfs als je enkel surft en geen persoonlijke gegevens invult op een website, kan het zijn dat je gevoelige informatie achterlaat. Denk maar eens aan het bezoeken van een website voor een klacht over je gezondheid, zoals een soa. De url van de website is dan al een privacygevoelig gegeven. Met een versleutelde verbinding maak je het moeilijker voor anderen om mee te kijken. Wel blijft bijvoorbeeld de URL nog altijd zichtbaar in je eigen browserhistorie en zichtbaar voor de server waar je mee communiceert.

HTTP is onveilig

Afgelopen jaar is meerdere keren in het nieuws gekomen dat veel websites gebruik maken van een onbeveiligde verbinding 1. Zelfs veel webapplicaties binnen de gezondheidszorg bleken niet over een versleutelde verbinding te beschikken 2 3. Om er zeker van te zijn dat je gegevens niet op straat komen te liggen is het zaak te checken of een website gebruikmaakt van een versleutelde verbinding. Dit kun je zien aan het (groene) slotje dat de browser weergeeft in de adresbalk bij het bezoeken van een website. Als deze ontbreekt maakt de website die je bezoekt geen gebruik van een beveiligde verbinding.

Het groene slotje in een browserbalk geeft aan of er HTTPS wordt gebruikt

Aan het (groene) slotje kun je zien of een website gebruikmaakt van een beveiligde verbinding

Hoe werkt HTTP?

Een HTTPS website maakt gebruik van een versleutelde verbinding. Om uit te kunnen leggen hoe deze versleutelde verbinding tot stand komt, laten we eerst zien wat er ongeveer gebeurt als je een website bezoekt of een bepaalde pagina opvraagt via een standaard HTTP-verbinding (dus zonder de ‘S’).

De HTTP handshake

Een HTTP verbinding wordt opgezet in 3 stappen

Op het moment dat je het adres voor een website (de url) in je browser invoert en op enter drukt, voert de browser verschillende acties uit voordat de website in beeld verschijnt. De verbinding kan vergeleken worden met een soort briefwisseling.

Omdat de server en computer (client) elkaar nog niet kennen, wordt er allereerst een verbinding opgezet. Tijdens het openen van de verbinding verstuurt de client een verzoek naar de server om een verbinding te openen (1). Als de server de verbinding accepteert, stuurt deze een reactie terug om te vertellen dat de verbinding geaccepteerd is (2). De client stuurt op zijn beurt een ontvangstbevestiging terug naar de server om te laten weten dat het bericht van de server ook goed ontvangen is (3). Beide partijen weten op die manier dat hun berichten goed bij elkaar aankomen. De verbinding is nu opgezet en de server en client kunnen elkaar gegevens blijven versturen. De client vraagt tijdens volgende verzoeken bijvoorbeeld een bepaalde pagina op, door een url mee te geven in een verzoek. Eventueel worden in hierop volgende aanvragen afbeeldingen en andere data opgevraagd via dezelfde verbinding. Als alle gegevens zijn verstuurd sluiten beide partijen de verbinding op een vergelijkbare manier als het openen van de verbinding.

Waar komt de onveiligheid nu vandaan?

De “briefwisseling” is vergelijkbaar met het versturen van ansichtkaarten; elke partij die de kaarten tussentijds in bezit krijgt kan lezen wat voor berichten er verstuurd worden. Tijdens het inloggen op een bepaalde website, worden in een dergelijke brief bijvoorbeeld de gebruikersnaam en wachtwoord van een account vermeld. Aangezien de gegevens via verscheidene computers en routers in het netwerk gedistribueerd worden, krijgen heel wat partijen in de tussentijd de brief te zien. Ook is het bij een HTTP verbinding mogelijk voor iemand met verkeerde bedoelingen om het internetverkeer via zijn computer te laten lopen. Gegevens zijn door afluisteraars dus gemakkelijk te onderscheppen en te lezen.

Hoe lost een HTTPS-verbinding dit op?

Bij HTTPS is het opzetten van de verbinding uitgebreider. De HTTPS handshake

Bij het opzetten van een HTTPS verbinding wordt een versleuteling afgesproken

Bij het sturen van de ontvangstbevestiging laat de client tevens aan de server weten dat deze graag een versleutelde verbinding wil opzetten (3). Dit houdt in dat de gegevens die op de “ansichtkaarten” worden geschreven versleuteld worden met een geheime code. De server stuurt hiervoor een digitaal certificaat naar de client, waarin informatie staat over de server (4). Deze bevat onder andere een publieke sleutel die gebruikt kan worden door de client om zijn data te versleutelen. De sleutel is zo opgesteld dat deze enkel gebruikt kan worden om berichten te versleutelen en niet om berichten te ontcijferen. De geheime sleutel om de berichten te kunnen ontcijferen is enkel in het bezit van de server. Met de publieke sleutel verstuurt de client een geheime boodschap naar de server, waarin deze een tijdelijke geheime code met de server deelt om het vervolg van de communicatie mee te versleutelen (5). De server bevestigt vervolgens de afgesproken versleuteling en (6).

Hoe weten we dat een server inderdaad is wie die beweert te zijn?

Het certificaat dat de server naar de client stuurt op het moment dat deze een versleutelde verbinding aanvraagt is ondertekend door een zogeheten Certificate Authority. Dit is een externe partij die door browsers vertrouwd wordt en aangeeft dat een server inderdaad hoort bij het domein van de website. De ondertekening van de Certificate Authority kan gecontroleerd worden door de browser, zodat deze niet zomaar vervalst kan worden. Je kunt via je browser eenvoudig het certificaat van een beveiligde website bekijken door in je browser op het slotje voor de adresbalk te klikken.

Het Let's Encrypt certificaat van www.frisenfruitig.nl

Je kunt het certificaat van een server bekijken door in de adresbalk op het slotje te klikken

Kan ik ervan uitgaan dat ik goed zit indien ik dat groene slotje zie?

Bij een HTTPS-verbinding, welke de browser aanduidt met een (groen) slotje, kun je er in principe vanuit gaan dat de meeste gegevens die je verstuurt versleuteld worden. Het is lastig om deze sleutel te ontcijferen. Uitgaande van een 128-bit sleutel voor de encryptie duurt het langer om de sleutel te ontcijferen dan het heelal reeds bestaat. De grootte van de sleutel en complexiteit van de versleuteling worden echter tijdens het opzetten van de verbinding tussen client en server onderhandeld. Dit is nodig om te zorgen dat ook verouderde computers en servers met elkaar kunnen communiceren. Helaas brengt dit ook een kleine onveiligheid met zich mee. Het is mogelijk hier misbruik van te maken en te zorgen dat een computer een minder complexe versleuteling gebruikt. Zo’n minder complexe sleutel kan wellicht gemakkelijker gekraakt worden dan de 128-bit sleutel uit ons voorbeeld.

Ervan uitgaande dat er wel een 128-bit sleutel wordt gebruikt kunnen we erop vertrouwen dat je veilig kunt browsen. Het is dan praktisch onmogelijk de sleutel te kraken. Ook is een certificaat lastig te vervalsen, omdat deze door een certificate authority moet worden ondertekend.

Wat door een onbevoegde met de versleutelde verbinding nog wel kan worden waargenomen is het ip-adres en daarmee ook het domein waarmee verbinding wordt gemaakt bij de HTTPS-verbinding. Er kan daardoor nog steeds worden achterhaald welke website je aan het bezoeken bent. Mocht je dit ook willen voorkomen dan kun je gebruik maken van bijvoorbeeld het TOR netwerk.

Andere voordelen van HTTPS

Over het algemeen is een website die gebruikmaakt van HTTPS dus beter beveiligd en geeft dit de gebruiker een veilig en vertrouwd gevoel. Ook zoekmachines zoals Google vinden veiligheid belangrijk. Websites die gebruikmaken van een veilige verbinding krijgen daardoor een hogere plek in de zoekresultaten 4. Met HTTPS ben je dus beter vindbaar. Daarnaast zijn er enkele nieuwe functionaliteiten voor websites, zoals service workers, push notificaties, autofill voor credit card gegevens en geolocaties, die niet gebruikt kunnen worden zonder HTTPS-verbinding. Als je wilt dat je website vertrouwen uitstraalt, beter vindbaar is en ook in de toekomst nog gebruikt kan worden is het dus raadzaam een pagina altijd te beveiligen met HTTPS. Zeker aangezien de Chrome browser vanaf de zomer sites die geen HTTPS ondersteunen actief gaat markeren als onveilig 5.

Zin om te beginnen? Wij ook!

Ook als je zelf nog geen duidelijk plan hebt. We geven je graag advies of stellen een offerte voor je op. Natuurlijk helemaal vrijblijvend en zonder kosten.
Samen zetten we de volgende stap!

Neem contact op

Praten

Contact

Zien

  • Fris & Fruitig HQ
  • Brouwerijstraat 1
  • 7523XC Enschede
  • The Netherlands

Fris & Fruitig