Het slot-symbool in je browser. Dit symbool is je waarschijnlijk zo vertrouwd, dat het je al niet meer opvalt. Het geeft aan dat je een veilige website bezoekt, althans dat denkt men.
Google en de FBI deelden al eerder hun zorgen over de veiligheid van websites met het slot-icoon. Het icoon geeft aan dat een website d.m.v. versleuteling (encryptie) informatie uitwisselt tussen de gebruiker en de achterliggende infrastructuur. Echter mag een bezoeker niet aannemen dat een website daarom ‘veilig’ of ‘betrouwbaar’ is.
Google heeft daarom aangekondigd te stoppen met het slot-icoon. Dit doen ze om twee belangrijke redenen:
Beide redenen dragen bij aan een zogeheten “schijnveiligheid”. Een websitebezoeker denkt dat hij/zij “goed/veilig” zit, terwijl het slotje enkel aangeeft dat het verkeer van en naar de website toe versleuteld wordt.
Wat betekent het in de praktijk dat Google gaat stoppen met het slot-symbool? In deze blogpost leggen we het uit.
Het slot-icoon in je browser geeft aan dat een website is beveiligd met een SSL of TLS certificaat. Dit certificaat wordt afgegeven voor websites die informatie-uitwisseling van gebruikers beschermen met een versleuteling.
Tegenwoordig zijn 99% van de websites voorzien van ‘https’ (versleutelingen) en daarmee het slotje. Het heeft altijd het idee gegeven dat een website veilig te bezoeken is. In zekere zin klopt dit. Je bezoekt een website die versleutelde informatie verstrekt en jouw gegevens beschermt.
Maar ook landingspagina’s bij phishing-aanvallen maken dankbaar gebruik - of beter gezegd misbruik - van ons vertrouwen in het slot-icoon. Zij voorzien hun website van diezelfde ‘https’ versleutelingen waardoor de gebruiker ten onrechte aanneemt dat hij op een veilige site is beland.
Misverstanden over het slot-icoon zijn zo wijdverspreid dat organisaties, zoals de FBI, expliciete richtlijnen publiceren waarin staat dat het slot-icoon geen indicatie is van veilige en betrouwbare websites.
Google is momenteel bezig met een grote update van het design van de browser Google Chrome. Het slot-icoon wordt vervangen door een ‘tune’-icoon. Dit is een gebruikersinterface-element dat wordt geassocieerd met app-instellingen. Het icoon zegt niets over de veiligheid en betrouwbaarheid.
Door op het ‘tune’-icoon te klikken krijg je de website-specifieke instellingen te zien. In het menu dat wordt getoond zie je ook terug of het een veilige, versleutelde verbinding is, of niet.
Google blijft gebruikers waarschuwen voor onbeveiligde ‘http’-verbindingen. Het slotje met een streep erdoor blijft hiervoor bestaan. Maar hoe dat precies wordt getoond, is nog onbekend. Vermoedelijk komt het naast het ‘tune’-icoon te staan.
