Beheer

Security
https

Firefox zet volgende stap in blokkade van sites zonder https

Slechts een kwart van de domeinen in .nl-topdomein heeft de benodigde certificaten.

18 november 2020

Slechts een kwart van de domeinen in .nl-topdomein heeft de benodigde certificaten.

De nieuwste Firefox-versie (versie 83) heeft een instelling waarmee alle sites die niet beveiligd zijn via een https-verbinding worden geblokkeerd. Firefox-maker Mozilla verwacht dat https-only binnenkort de standaard instelling wordt.

De blokkade van onbeveiligde sites is een instelling die nu nog niet standaard is geactiveerd, melden onder meer Venturebeat en  ZDNet. Gebruikers van de browser vinden de HTTPS-Only-modus onder het tabje Privacy and Security van de voorkeuren. Wanneer deze wordt geactiveerd, worden sites die alleen een onbeveiligde http-verbinding ondersteunen, niet meer geladen. In plaats daarvan verschijnt een foutmelding op het scherm die wijst op de onbeveiligde verbinding. Dat scherm biedt overigens wel de optie om alsnog de http-site te laden.

Mozilla zet hiermee de volgende stap in het proces om onbeschermd verkeer over internet uit te bannen. Dat initiatief is gestart met Let's Encrypt, de organisatie die in 2016 begon met het verstrekken van gratis digitale-certificaten. Tot dan toe was het aanvragen van een certificaat een kostbare zaak, die alleen werd gedaan door organisaties die echt moesten zorgen dat de informatie die bezoekers op de site achterlieten, veilig was.

Nog veel onbeschermde domeinen

Hoewel Let's Encrypt heeft gezorgd voor een enorme impuls aan het beveiligen van webverkeer, heeft maar ongeveer een kwart van de domeinen in het .nl-domein een Transport Layer Certificaat (TLS)-certificaat zoals blijkt uit statistieken van SIDN, de beheerder van het .nl-domein. Nu zijn er onder die 6 miljoen domeinen ook veel die niet actief zijn, maar er zijn er ook heel wat die alleen wat statische informatie tonen en dus weinig baat hebben bij het beveiligen van het verkeer tussen bezoeker en website. Hoewel het aanvragen van het certificaat weliswaar gratis is, rekenen hostingpartijen doorgaans extra voor het gebruik van de infrastructuur die nodig is om de beveiligde verbinding daadwerkelijk tot stand te brengen.

Toch verwacht Mozilla dat steeds meer eigenaren van domeinen overgaan tot deze beveiliging en dat het spoedig mogelijk zal zijn de oude http-verbindingen compleet te verbannen door de HTTPS-Only-modus als standaard instelling in browsers op te nemen.

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
3
Reacties
Bop 19 november 2020 15:56

Maak ook gebruik van Let's Encrypt voor een ontwikkel-domein.
Was erg blij dit te ontdekken, om kosten en gedoe te vermijden.

Gedoe blijft er echter wel doordat het certificaat elke 3 maanden vernieuwd moet worden.
Dat zou van mij best een jaar mogen zijn.

Bert Klomp 18 november 2020 13:21

Door dat het aanvragen van certificaten gratis en heel eenvoudig is, is het absoluut geen extra veiligheid meer. Alleen het verkeer is versleuteld, maar voor informatie wat op internet beschikbaar is, heeft dat geen toegevoegde waarde.
Vroeger kon je een site met een certificaat "vertrouwen" maar dat is nu dus niet meer zo, waardoor het drie keer kloppen niet meer klopt. Het slotje is aanwezig, maar de site is en blijft onbetrouwbaar.
Daarom vind ik het erg jammer dat dit zo is ingezet. Ik had liever gezien dat we kunnen vertrouwen op een certificaat, dat de eigenaar bekend is.

Ronald Kunenborg 18 november 2020 13:00

"Hoewel het aanvragen van het certificaat weliswaar gratis is, rekenen hostingpartijen doorgaans extra voor het gebruik van de infrastructuur die nodig is om de beveiligde verbinding daadwerkelijk tot stand te brengen."

Een certificaat via Cloudflare regelen is redelijk eenvoudig en (tot nu toe) volledig gratis. Zolang mensen netjes via DNS je website benaderen, is het verkeer met je website "versleuteld" (met wat kanttekeningen, maar goed genoeg voor Firefox).

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.