Development

Governance
stop

Chrome doet volgend jaar non-HTTPS content in de ban

HTTPS-sites die ook HTTP-content laden krijgen het lastig.

© CC0 - Pixabay.com ivanacoi
4 oktober 2019

HTTPS-sites die ook HTTP-content laden krijgen het lastig.

Google wil af van pagina's die beveiligd zijn met https maar ondertussen ook onbeveiligde links gebruiken om bijvoorbeeld afbeeldingen, audio, video of scripts te laden.

Tot nog toe worden dergelijke praktijken oogluikend toegestaan in de Chrome-browser. De aanpak kenmerkte de transitie van een onbeveiligde wereld via het http-protocol naar een veiliger wereld met https. In het laatste geval wordt de informatie versleuteld op zijn weg van de hostserver waarop een paginacode staat, naar de computer die de informatie heeft opgevraagd. Bij http gebeurt dat niet en is het verkeer in principe door iedereen af te tappen en te bekijken.

Inmiddels is zo'n 90 procent van alle verkeer dat Chrome-browsers bereikt, beveiligd via een https-verbinding, stelt Google in een blogpost. Tijd dus voor een volgende stap, vindt Google. De Chromegebruiker moet niet langer in de waan zijn een beveiligde website te bezoeken terwijl delen van de website helemaal niet beveiligd zijn.

Blokkade langzaam ingevoerd

Vanaf de introductie van Chrome 79 - in december dit jaar - zal in stapjes alle webpagina-inhoud die niet over een https-verbinding komt worden geblokkeerd, kondigt Google aan in een blogpost. Aanvankelijk kunnen gebruikers alsnog aangeven dat ze de inhoud willen laden. De browser gaat dan wel waarschuwen dat de site onveilig is. Vanaf januari 2020 zullen die 'unblocking options' geleidelijk verdwijnen.

Om al te veel ongemak te voorkomen bij deze overgang, bouwt Google wel een service in de browser in die website-exploitanten tegemoet komt. Deze zet alle http-verzoeken automatisch om in https-verzoeken. Kan de server waar de informatie vandaan komt deze ook over een https-verbinding leveren, is er dus niks aan de hand. Ondertussen raadt Google webmasters aan hun code na te lopen op het gebruik van verzoeken die nog http gebruiken - zogeheten mixed content - en die aan te passen.

Lees meer over
Lees meer over Development OP AG Intelligence
1
Reacties
Klomp 08 oktober 2019 11:25

Dankzij Google creëren we een schijnveiligheid.
De mensen denken dat het een veilige website is, maar alleen het verkeer tussen de server en de cliënt is versleuteld. Dat zegt niets over de website. Zeker niet als de uitgifte van certificaten zo eenvoudig kan en door diezelfde google vertrouwd worden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.