Meer waarschuwingen bij onbeveiligd verkeer in Google Chrome

24 oktober 2017

Vanaf Chrome versie 62 waarschuwt Google nog strenger bij websites zonder SSL certificaat. Sinds januari dit jaar waarschuwt Chrome al bij webpagina's die via een onversleutelde HTTP-verbinding persoonlijke gegevens zoals wachtwoorden en creditcardgegevens verwerken. Vanaf deze maand wordt er gewaarschuwd bij alle onbeveiligde invulvelden.

Welke waarschuwingen waren er al?

Vanaf Chrome versie 53 zijn de veiligheidsindicatoren aangepast. Vanaf Chrome versie 56 wordt er actief gewaarschuwd zodra een webpagina waarop je gegevens kunt invullen niet is beveiligd met een SSL certificaat. Dit wordt weergegeven met een 'i' in de URL-balk waarop je kunt klikken voor meer informatie. Volgens Google hebben deze aanpassingen veel effect op het gedrag van bezoekers: het invullen van wachtwoorden en creditcardgegevens via een onbeveiligde HTTP-verbinding is sindsdien met 23% afgenomen.

Welke waarschuwingen zijn er nu?

De waarschuwingen zijn uitgebreid in Chrome versie 62, die per 17 oktober beschikbaar is. Hierin is het volgende gewijzigd het op het gebied van SSL:

• Er wordt nu standaard gewaarschuwd bij alle invulvelden die via HTTP bereikbaar zijn. Alle pagina’s zonder HTTPS-verbinding tonen een ‘i’.  Zodra je iets wilt intypen in een onbeveiligd invulveld, wijzigt de waarschuwing naar ‘i’ plus ‘Not Secure’.
• In de Incognito modus van Chrome wordt de ‘Not Secure’ waarschuwing direct getoond bij álle HTTP pagina's, ook als je geen gegevens in wilt vullen (rechts op onderstaande afbeelding).

Door te klikken op de waarschuwing geeft de browser de volgende waarschuwingstekst weer:

Ook waarschuwingen bij FTP verkeer

Vorige maand heeft Google aangekondigd vanaf Chrome versie 63, gepland voor december 2017,  ook een 'Not Secure' waarschuwing te gaan tonen bij FTP websites. Dit was aanvankelijk geen onderdeel van het plan, maar wordt nu toegevoegd omdat FTP verkeer niet versleuteld is.  FTP, kort voor File Transfer Protocol, is een netwerkprotocol  dat stamt uit 1971 en gebruikt wordt voor het uitwisselen van bestanden tussen servers en clients. Net zoals HTTP kan FTP beveiligd worden met SSL, en wordt dan FTPS. Omdat FTP niet vaak gebruikt wordt, hebben weinig browsers ondersteuning voor FTPS. Chrome ondersteunt ook geen FTPS.

Google geeft aan overwogen te hebben helemaal te stoppen met de ondersteuning van FTP, omdat het protocol zo weinig wordt gebruikt en niet veilig is, maar gaat als alternatief hiervoor nu een waarschuwing tonen. Het advies aan FTP gebruikers is om voor publieke downloads over te stappen naar HTTPS.

Waarom al deze wijzigingen?

Google neemt al langere tijd een duidelijk standpunt in over een veiliger internet - met als doel een volledig versleuteld internet voor zoveel mogelijk privacy en veiligheid voor internetgebruikers. Het uitgangspunt hierbij is dat HTTPS niet alleen door webshops en banken gebruikt zou moeten worden, maar door álle websites. Ook als het alleen gaat om een eenvoudig contactformulier, inlogmogelijkheid of inschrijfformulier. Dit stimuleren ze op verschillende manieren: door standaard HTTPS te  gebruiken voor hun eigen diensten, maar ook door het  gebruik van SSL door de grote websites inzichtelijk te maken, het gebruik van HTTPS te belonen en het gebruik van HTTP af te straffen.

Zo startten ze in 2014 in de veelgebruikte e-mail dienst Gmail met het forceren van een veilige HTTPS verbinding voor alle Gmail gebruikers, en wordt sinds hetzelfde jaar het gebruik van een SSL certificaat op de hele website meegenomen als ranking factor in de Google zoekmachine.

Hoe voorkom je waarschuwingen op jouw website?

Om waarschuwingen in Chrome te voorkomen heb je een HTTPS verbinding nodig. Op dit moment maakt Google geen onderscheid tussen de verschillende soorten SSL certificaten, dus heb je voor het voorkomen van deze waarschuwingen aan een voordelig SSL certificaat zonder bedrijfsgegevens voldoende. Mits goed ingesteld, kun je met een SSL certificaat ook profiteren van een hogere positie in de Google-zoekresultaten.

Naast een versleutelde verbinding is authenticatie een belangrijke functie van een SSL certificaat - dit geldt eigenlijk voor alle publieke, en vooral voor commerciële  websites. Met de Certificaat wizard vind je voor iedere toepassing het juiste certificaat.