Chrome waarschuwt vanaf juli bij alle onbeveiligde websites

16 augustus 2018

Eind juli is van de veelgebruikte Google Chrome browser versie 68 uitgerold. Vanaf deze versie krijgen alle websites zonder HTTPS verbinding een 'onveilig' melding die bezoekers erop attendeert dat de verbinding niet beveiligd is - een wijziging die nogal wat impact kan hebben als we kijken naar de huidige stand van zaken.


Waarschuwing wordt ernstiger

De huidige wijzigingen zijn een omslagpunt: in plaats van het markeren van wel veilige websites, naar het markeren van onveilige websites.

De 'Not secure’ of ‘Niet beveiligd’ melding wordt sinds oktober 2017  getoond zodra je iets wilt invullen op een website zonder HTTPS. Vanaf juli dit jaar worden álle websites  zonder SSL certificaat als onveilig weergegeven. Er wordt dus niet meer gekeken naar de inhoud van een webpagina,  of deze wel of geen invulvelden bevat en welke gegevens er gevraagd worden - er wordt standaard een waarschuwing getoond op alle pagina's die geen beveiligde HTTPS verbinding gebruiken. Vanaf oktober (Chrome 70) wordt bovendien de waarschuwing bij invulvelden zonder HTTPS opvallender: zodra je iets wilt intypen wordt de ‘Not Secure’ melding rood, en voorzien van een waarschuwingsdriehoekje.

De sterke stijging van het gebruik van HTTPS zorgt ook voor een flinke toename van SSL misbruik met phishing sites. Hier worden voornamelijk certificaten zonder bedrijfsgegevens voor gebruikt omdat deze goedkoop en gemakkelijk verkrijgbaar zijn. Mede hierdoor heeft Google aangekondigd dat ze vanaf Chrome 69 (september 2018) het groene slotje met de aanduiding ‘Secure’ in de adresbalk zullen aanpassen naar een grijs slotje. Vanaf dit moment wordt alleen voor een EV certificaat nog een groene adresbalk met bedrijfsnaam getoond.

HTTPS planning in Google Chrome

Impact op gedrag van bezoekers

Een browser die website bezoekers waarschuwt voor het feit dat een website niet veilig is, zal direct invloed hebben op de (online) reputatie van een website en het gedrag van websitebezoekers. Uit recent onderzoek van DevOps blijkt dat ruim 90% van de respondenten zich zorgen maakt om hun online veiligheid, en een voorkeur heeft voor bedrijven die zich inzetten voor het beschermen van gevoelige informatie. Het feit dat Chrome de meestgebruikte browser is, maakt de impact groter. Het marktaandeel van Chrome is wereldwijd zo’n 60%, en dit aandeel neemt gestaag toe. Bovendien toont Mozilla Firefox ook al geruime tijd waarschuwingen bij onbeveiligde invulvelden

Desondanks blijkt uit cijfers van Qualys dat in juni dit jaar iets minder dan 60% van de populairste websites HTTPS gebruikt. En dan hebben we het nog niet eens over de kleinere websites, blogs, etc, waar dit percentage waarschijnlijk lager ligt. Ook in Nederland zijn er nog veel populaire websites zonder HTTPS.

Browser waarschuwingen voorkomen én groen blijven

Zonder SSL certificaat toont Chrome een website dus standaard als onveilig. Met een certificaat met Domein Validatie wordt een website als veilig gemarkeerd omdat het dataverkeer versleuteld wordt via HTTPS. Echter is een website hiermee niet direct betrouwbaar of als betrouwbaar te herkennen - daarvoor heb je een SSL certificaat met Uitgebreide Validatie nodig. Alleen een EV SSL certificaat toont op termijn namelijk nog het groene slotje en de bedrijfsnaam, wat veiligheid en betrouwbaarheid uitstraalt. Bezoekers zien zo direct dat de gegevens die ze invullen versleuteld worden, én dat ze echt op de website van jouw bedrijf zijn, en niet op een phishing website.

Meer lezen over alle HTTPS ontwikkelingen in Google Chrome

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.