Groei HTTPS zet door en wijzigingen in weergave

30 maart 2020

Het jaar 2018 was voor het gebruik van SSL een omslagpunt, waarbij HTTPS dé standaard werd. Deze lijn heeft zich doorgetrokken - In oktober 2019 werd maar liefst 94% van alle bezochte webpagina's wereldwijd in Chrome op alle platformen via HTTPS geladen. Maar naast positieve, heeft deze ontwikkeling ook onbedoelde negatieve gevolgen die gestaag meegroeien. Wat is er nog meer gebeurd in 2019, en wat verwachten we voor dit jaar?

De SSL markt in cijfers

Mobiele HTTPS bezoeken via Android liepen lange tijd achter op het HTTPS gebruik via andere platformen. Ondertussen is hier een inhaalslag gemaakt- van 71% twee jaar geleden tot de huidige 92%. De tijd die bezoekers doorbrengen op HTTPS sites is tegenwoordig zelfs bijna 100%, wat aangeeft dat bezoekers een algemene voorkeur hebben voor HTTPS boven HTTP.

Het aantal SSL certificaten neemt gestaag toe: in maart dit jaar detecteerde Built With zelfs 145.000.000 actieve SSL certificaten op het gehele internet. Let's Encrypt domineert als uitgever van DV-certificaten, op het gebied van EV SSL hebben Sectigo en DigiCert het grootste aandeel met een gezamenlijke 78%

En in Nederland? Het totaal aantal .nl-websites dat gebruik maakt van een geldig SSL certificaat is volgens SIDN in de afgelopen 19 maanden toegenomen met bijna 50% tot ruim 1,33 miljoen. Hiervan is het aantal nieuwe certificaten van commerciële CA's toegenomen met 29%. Naast een sterke toename van het aantal DV certificaten, zien we dat het aantal OV certificaten ook flink is toegenomen, van 26.000 in maart 2019 tot 70.000 in maart 2020.

Een slotje is niet per definitie veilig en betrouwbaar

We wisten het het natuurlijk al, maar ook onderzoek bevestigt dat het gebruik van HTTPS in z'n algemeenheid al lang geen garantie meer is voor een betrouwbare website. Vrijwel alle phishing websites gebruiken tegenwoordig HTTPS en tonen dus een 'betrouwbaar’ slotje. Hiervoor wordt praktisch alleen DV certificaten gebruikt en met 0,4% vrijwel geen EV certificaten, omdat deze vanwege de strenge controles voor uitgifte erg moeilijk te bemachtigen te zijn.

Bezoekers denken onterecht dat het slotje een veilige en dus ook betrouwbare website impliceert, ook geholpen door de voorlichting hierover - veel adviesorganen en organisaties zoals brancheorganisaties en financiële instellingen adviseren (of deden dit tot voor kort) bezoekers te letten op het slotje. Wat ook niet meehelpt is het feit dat iedere browser net een andere weergave hanteert, en browsers continu de weergave van HTTPS wijzigen.

Als gevolg hiervan noemen sommige partijen het slotje misleidend - het slotje in de browser zegt tenslotte niet dat een website betrouwbaar is zoals veel bezoekers denken, maar alleen dat data versleuteld uitgewisseld wordt. Google heeft mede hierdoor de kleur van het slotje het afgelopen jaar gewijzigd van groen naar grijs, ook hebben ze het plan aangekondigd het slotje per 2021 zelfs helemaal niet meer tonen in de Chrome browser.

Andere wijzigingen in browserweergave

Vanaf versie 70 per oktober 2019 markeert de veel gebruikte browser Mozilla Firefox alle webpagina's zonder HTTPS verbinding als onveilig. Hiermee volgt de browser het voorbeeld van Google Chrome, die al sinds 2018 waarschuwt bij onbeveiligde verbindingen. Safari volgde in maart vorig jaar.

Nog een opvallende wijziging qua browserweergave was afgelopen jaar het niet meer tonen van de bedrijfsnaam in de (groene) adresbalk bij EV certificaten in Chrome. Chrome is al geruime tijd bezig met een omslag naar HTTPS als standaard en het vereenvoudigen van de weergave van domeinnamen. Zo zijn ze de afgelopen al gestopt met het tonen van HTTP of HTTPS voor de domeinnaam, en werd de weergave van een EV SSL certificaat grijs in plaats van groen.

Vanaf respectievelijk september en oktober vorig jaar tonen Chrome en Firefox de bedrijfsnaam en de landcode bij EV SSL niet meer direct in de url-balk. De bedrijfsnaam wordt nu getoond in het ‘Page Info’ blok, dit is de pop-up die je direct te zien krijgt als je klikt op het slotje naast de domeinnaam in de url-balk. En zoals verwacht roept deze wijziging veel discussie op.

Een vooruitblik

Uiteraard blijft dit een verwachting, maar puttend uit onze ervaring in de sector vanaf 2002, durven we een voorzichtige inschatting te maken.

• Ondanks het wegvallen van de meest opvallende visuele indicator van EV SSL, zal het belang van EV certificaten niet afnemen. Enerzijds omdat de organisatie nog steeds, namelijk binnen één muisklik, zichtbaar is, anderzijds door het immer toenemende misbruik van minder streng gecontroleerde SSL certificaat voor phishing doeleinden.
• Door de toenemende internetcriminaliteit zal de noodzaak voor online monitoring blijven toenemen, bijvoorbeeld door gebruik te maken van scanning tools die malware detecteren. CA's spelen hierop in door slimme producten aan te bieden in combinatie met SSL certificaten.
• Het voorstel van Google voor een verdere beperking van de maximale geldigheidsduur van SSL certificaten naar 1 jaar is afgelopen september gesneuveld omdat een meerderheid van de leden van het CA/Browserforum hier tegen gestemd heeft, waarmee de wijziging voorlopig van de baan lijkt. Maar omdat er ook veel voorstanders zijn, bestaat de kans dat de looptijd dit jaar alsnog beperkt wordt. Zo is de beperking naar 1 jaar per 1 november 2019 al voor alle PKIoverheid certificaten doorgevoerd, en gaat Apple dit voor de Safari browser per 1 september 2020 ook doorvoeren.
• Het gebruik van HTTPS zal nog verder toenemen en er komt meer aandacht voor de juiste configuratie hiervan. De GDPR was in Europa vorig jaar een flinke boost, en het aanpassen van de regelgeving gaat door. Eind vorig jaar heeft de Nederlandse overheid door het publiceren van een ontwerpbesluit de intentie uitgesproken om het gebruik van HTTPS en HSTS te verplichten voor alle publiek toegankelijke overheidswebsites. Er worden hierbij geen eisen gesteld aan het type of validatieniveau van de certificaten, wel wordt het gebruik van oude TLS versies beperkt. Dat er ruimte is voor verbetering blijkt wel uit het feit dat ondanks de 94% gemeten door Google, een stuk lager percentage ook een veilige website heeft.
• De populariteit van digitale ondertekening neemt door de vele voordelen, Europese standaardisering én het groeiend aantal toepassingen snel toe. Ook voor thuiswerken zijn digitale handtekeningen een veilige en betrouwbare oplossingen om het digitale werkproces binnen een organisatie te optimaliseren. Eind vorig jaar heeft Xolphin het nieuw label Ensured voor digitale PDF ondertekening gelanceerd, waarbij gebruik wordt gemaakt van door Adobe vertrouwde digitale handtekeningen op veilige hardware.