Chrome gaat per juli alle sites zonder HTTPS onveilig tonen

9 februari 2018

Vanaf Chrome versie 68, verwacht per juli 2018, worden álle websites zonder SSL certificaat als onveilig weergegeven, zo kondigde Google aan in haar blog.

Wat wijzigt er precies?

Vanaf juli dit jaar zal er in de Google Chrome browser niet meer gekeken worden naar de inhoud van een webpagina, en of deze wel of geen invulvelden bevat - er wordt dan een waarschuwing getoond op alle pagina's die geen beveiligde HTTPS verbinding gebruiken.

HTTPS in Chrome 68

Google voert de wijzigingen in Chrome geleidelijk door. Vanaf januari 2017 waarschuwt Chrome bij webpagina's die via een onversleutelde HTTP-verbinding persoonlijke gegevens zoals wachtwoorden en creditcardgegevens verwerken. En sinds oktober vorig jaar wordt er gewaarschuwd bij alle pagina’s met onbeveiligde invulvelden.

Waarom deze wijzigingen?

Deze wijziging is een volgende stap in het streven van Google naar HTTPS als standaard, waar ze vanaf 2015 actief mee bezig zijn. Zelf geven ze aan dat ze verwachten dat de markt halverwege dit jaar klaar is voor deze aanpassing. Het grootste gedeelte van het verkeer via Chrome verloopt inmiddels via HTTPS en het gebruik van HTTPS neemt, zoals wij al eerder berichten, alleen maar toe. Bovendien gebruikt ruim 80% van de Top 100 websites nu al HTTPS.

Hoe voorkom je waarschuwingen op jouw website?

Om waarschuwingen in Chrome te voorkomen heb je een HTTPS verbinding nodig, waarvoor je een SSL certificaat nodig hebt. Op dit moment maakt Google nog geen onderscheid tussen de verschillende soorten SSL certificaten, dus is voor het voorkomen van waarschuwingen in principe elk SSL certificaat geschikt.

Certificaten met bedrijfsgegevens

Naast een versleutelde verbinding is authenticatie een belangrijke functie van een SSL certificaat - dit geldt voor alle publieke, en vooral voor commerciële websites. Hiervoor heb je een SSL certificaat met bedrijfsgegevens nodig. De sterke stijging van het HTTPS gebruik zorgt ook voor een flinke toename van SSL misbruik voor phishing sites. Hier worden voornamelijk certificaten met Domein validatie voor gebruikt, omdat het uitgifteproces daarvoor minder streng is. De verwachting is dan ook dat Google op termijn nog meer onderscheid gaat maken tussen certificaten zonder of met bedrijfsgegevens of EV certificaten met groene adresbalk.

Wil je dus als organisatie vertrouwen uitstralen, en je imago en de veiligheid van je bezoekers beschermen? Dan heb je minimaal een certificaat met bedrijfsgegevens nodig. Met de Certificaat wizard vind je voor iedere toepassing het juiste certificaat.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.