FYI.

This story is over 5 years old.

Dit zijn de grootste websites die nog steeds geen encryptie gebruiken

Een onbeveiligde verbinding maakt het kinderspel voor hackers om jouw data te onderscheppen en te manipuleren.
16.3.16
Beeld: seanbear/Shutterstock

Een groot deel van de grootste websites gebruiken nog steeds geen encryptie, of passen het nog niet correct toe, waardoor hun gebruikers blootgesteld kunnen worden aan hackers en spionnen.

Ondanks een grote beweging voor meer encryptie op het web, meestal HTTPS genoemd en herkenbaar aan een groen slotje in de adresbalk van je browser, gebruikt slechts 25 van 's werelds top 100 websites standaard encryptie, volgens een onderzoek dat donderdag op Google is gepubliceerd.

Advertentie

De internetgigant publiceerde data over hun eigen diensten en andere websites, om andere websitemakers aan te moedingen – en misschien zelfs om ze belachelijk te maken - om betere instellingen te gebruiken om de privacy en veiligheid van hun gebruikers te bewaren.

"Steeds meer mensen besteden hun tijd online en [encryptie] wordt steeds essentiëler voor online veiligheid," schrijven Google-werknemers Rutledge Chin Feman en Tim Willis in blog post.

Onder de sites die geen encryptie gebruiken, of het niet standaard of met de moderne instellingen implementeren, bevinden zich grote nieuwssites zoals VVC, The New York Times en CNN, maar ook grote pornowebsites of winkeliers zoals eBay of Amazon.

De aandacht van de meeste mensen gaat uit naar een andere soort encryptie, die de data op je mobiele telefoon beveiligt, maar web-encryptie is ook erg belangrijk voor het dagelijks leven van mensen. Zonder die extra 'S', die verwijst naar het gebruik van Transport Layer Security (TLS), is alles dat je online doet niet volledige privé of beveiligd, waardoor iedereen toegang heeft tot deze data – en deze niet alleen kan bekijken, maar ook onderscheppen en manipuleren.

News & porn sites are notably short on HTTPS implementation. Good thing the news stories you read & the porn you watch isn't sensitive info.
— Eva (@evacide) 15 maart 2016

Wanneer je geen beveiligde verbinding gebruikt kunnen hackers die ook de Wi-Fi gebruiken van je favoriete cafe, je wachtwoorden of bankinformatie stelen. Ook kan een internetprovider bij een onveilige verbinding je online activiteit in de gaten houden en deze privé data doorspelen naar adverteerders. Maar een onderdrukkende overheid zou ook bij kunnen houden welke artikelen je leest en welke websites je bezoekt, en specifieke pagina's binnen een website censureren. Overheidsspionnen kunnen zelfs jouw verbinding gebruiken voor een cyberaanval op iemand anders.

Advertentie

"HTTPS biedt veiligheid (zonder de [encryptie] sleutels kan je online verkeer niet bijhouden) en integriteit (online wordt geverifieerd bij aankomst bij zijn bestemming, om te controleren of het hetzelfde is als wat werd verzonden)," schrijft Joseph Hall, hoofdtechnoloog bij het Center voor Democratie en Technologie, in een online chat met Motherboard. "Integriteit is een belangrijke waarde die in de hele Crypto War mist, het verzekert je ervan date en tussenpersoon (tussen browser en bestemming) niks in de content kan toevoegen, verwijderen of veranderen."

Dat is waarom privacy en veiligheidsadvocaten zich hard maken om encryptie over heel het web te gebruikt te laten worden, en niet alleen bij login-portalen of pagina's die privé-data van gebruikers bevatten.

"Deze planeet heeft een veiliger medium voor communicatie nodig, en dat zal de veilige versie van het web worden," vertelt Peter Eckersley, hoofdcomputerwetenschapper bij de Electronic Frontier Foundation, aan Motherboard.

Google is een van de grootste bedrijven geweest die het gebruik van encryptie promoten, maar ook anderen, zoals Apple, Mozilla, en de EFF zijn onderdeel van de beweging.

Veranderen naar HTTPS gaat niet zo gemakkelijk als een knop omzetten

Er zijn verschillende uitdagingen geweest die het proces naar een volledig beveiligd web moeilijker hebben gemaakt. Ten eerste is het het krijgen va een TLS- of SSL-veiligheidscertificaat duur en komt er heel wat papierwerk bij kijken. Maar dat is nu niet meer het geval, met dan aan recente initiatieven zoals Let's Encrypt, en CloudFlare's Universal SSL, die het gratis en gemakkelijk maken encryptie toe te passen op websites. Vorige week maakte het Let's Encrypt-project bekend dat zij binnen drie maanden publiekelijk zullen worden, en tot dusver hebben zij al voor 2,5 miljoen webdomeinen HTTPS-certificaten verzorgd.

Maar voor websites met een complexe infrastructuur, en voor content die wordt aangeleverd door derden (zoals advertenties), is het veranderen naar HTTPS niet zo makkelijk als het omzetten van een knop. Daarom kunnen websites, vooral nieuwswebsites, alleen beveiligd worden als de advertenties die zij laten zien ook beveiligd zijn.

Advertentie

Google is al lang bezig met hun gevecht om het web beter beveiligd te laten worden, maar zelfs Google zelf is niet volledig beveiligd met HTTPS.

Van alle Google-diensten gaat 75 procent van alle gebruikersverzoeken nu via beveiligde verbinding. In 2013 was dit nog maar 52 procent, volgens hun eigen data dat in een nieuwe sectie van hun transparantie-rapport is gepubliceerd. Maar dat is exclusief YouTube, welke natuurlijk een groot deel van het verkeer over Google's servers vormt. Google publiceert nog geen statistieken over deze site, maar zegt dat ze er aan werken. (Een woordvoerder van het bedrijf weigerde te reageren.)

Het is nog onduidelijk wat dit betekent, maar het is mogelijk dat sommige delen van YouTube nog steeds niet volledig beveiligd zijn, of dat Google nog steeds de infrastructuur van de website in de gaten houdt. Google zou in 2014 HTTPS-encryptie geïmplementeerd hebben op YouTube, toen een onderzoeker onthulde dat overheden met behulp van bedrijven als FinFisher en Hacking Team gebruik maakten van de onbeveiligde YouTube videostreams om doelwitten te infecteren met spyware.

Een ding is zeker, het zal misschien langzaam gaan, maar de beweging naar een beter beveiligd web lijkt niet te stoppen.

"In 2016 moet iedere website HTTPS zijn, of het nu een nieuwe website is die net online komt, of een oude," zei Eckersley.