Facebook beveiligt alle verbindingen met https

Beveiligingsexperts hebben er al jaren op aangedrongen dat Facebook beter beveiligt door alleen nog maar gebruik te maken van versleutelde https-verbindingen. Ook facebook zelf kwam tot het inzicht dat https “essentieel is om de beveiliging van Facebook-accounts te verzekeren”, schreef medewerker Alex Rice in mei vorig jaar in en blog voor ontwikkelaars.

Banken en e-commerce sites waren wegbereiders

Hetzelfde https-protocol wordt al veel langer gebruikt voor websites die persoonsgegevens van bezoekers vragen en die worden gebruikt voor financiële transacties. Het verkeer tussen gebruiker en webserver wordt hierbij versleuteld door middel van Secure Sockets Layer (SSL). Bijvoorbeeld banken en ook veel webshops maken standaard gebruik van https, herkenbaar aan een hangslotje in de URL-balk van de webbrowser. Ook een zoekdienst als Google is overgestapt op https.

Facebook bood https al langer als optie

Sinds begin 2011 kunnen gebruikers van Facebook er wel zelf voor kiezen altijd een https-verbinding te openen. Dat werkte aanvankelijk niet perfect. Zodra een gebruiker binnen Facebook een applicatie van een derde partij opende die https niet ondersteunt, schakelde de hele verbinding terug naar het niet beveiligde http-protocol.

Contentleveranciers die het platform van Facebook gebruiken, hadden tijd nodig om hun applicaties compatibel maken met https en moesten een SSL-certificaat aanvragen. Ze kregen daarvoor de tijd tot 1 oktober 2011.

Verbinding wordt iets trager

Het gebruik van https heeft een klein nadeel: de verbinding wordt in eerste instantie iets trager. Dat geldt vooral bij het eerste contact met de website. Na het opbouwen van de versleutelde verbinding is het snelheidsverlies nauwelijks merkbaar.