Onveilige websites in Google Chrome?

Geertje Zwarts
Geplaatst op 5 december 2014

Het beveiligen van je website zorgt ervoor dat die website persoonlijke data versleuteld verstuurd. Hier heeft Melanie al in een eerder artikel aandacht aan besteed. Het versleutelen van deze data zorgt er voor dat namen, wachtwoorden en dergelijke niet onderschept kunnen worden door anderen. Websites die de data versleutelen, zijn te herkennen aan het eerste deel van hun url. De url begint namelijk met https in plaats van http.

Het meestgebruikte protocol is SSL (Secure Sockets Layer). Hierbij wordt gebruik gemaakt van verschillende certificaten. In het begin werd SHA-1 ontwikkeld, welke inmiddels opgevolgd is door SHA-2. En hier bevindt de kern van dit artikel. Want veel websites maken nog gebruik van SHA-1.

Verschil SHA-1 en SHA-2

Beide varianten bevatten een algoritme die ervoor zorgen dat data beveiligd verstuurd wordt en geeft de bezoeker duidelijkheid dat de website die ze bezoeken de echte website is. Alleen, het algoritme van SHA-1 is zwak en zal alsmaar zwakker worden over de tijd heen. De kans neemt hierdoor steeds meer toe dat dit algoritme gekraakt wordt. Het algoritme van SHA-2 is veel sterker en daarmee ook veiliger. Het gebruiken van SHA-2 verzekert je er dus van dat je website de komende jaren nog steeds veilig is.

Houdbaarheid Certificaten

Als webmaster kun je een certificaat aanvragen bij een uitgever van deze certificaten. Hierbij zal ook een vervaldatum aangemaakt worden: de datum tot wanneer het certificaat geldig. Nu zijn er best veel websites die een SHA-1 certificaat hebben dat nog enkele jaren geldig is.

Google wil de veiligheid van websites kunnen garanderen.

- Peter

Om die veiligheid te garanderen gebruikt Google hun browser Chrome om mensen op de hoogte te brengen van de status van het certificaat. Hoe langer je SHA-1 certificaat nog geldig is, hoe gevaarlijker Google het vindt. De browser zal in dat geval een melding geven dat de website onveilig is. Dit kan door een geel driehoekje of erger, een rood kruis.

Veiligheid garanderen?
Meer informatie

Wanneer welke melding in Google Chrome

Vanaf begin 2015 gaat Google Chrome strenger controleren op de vervaldatum van certificaten. In het schema hieronder kun je zien welke melding bij welke vervaldatum geldt. In het eerste kwartaal van 2015 komt een update voor Google Chrome, waardoor er strenger gekeken wordt door de browser naar de vervaldatum van het certificaat.

Op dit moment worden websites met certificaten die verlopen na 2016 nog aangemerkt als een gewone website (dus zonder beveiliging). Begin 2015 worden deze websites aangeduid als onveilige websites door middel van een rood kruis. Websites met een certificaat dat verloopt in het jaar 2016 krijgen begin volgend jaar een gele driehoek.

Gele driehoek

De gele driehoek

Rood kruis

Het rode kruis

tot 201620162017 en later
November 2014groengroenonbeveiligd
Eerste kwartaal 2015groengele driehoekrood kruis

Waarom je beveiligingscertificaat aanpassen

Bezoekers willen graag dat data beveiligd verstuurd wordt. Zij vertrouwen persoonlijke gegevens aan jou toe, dus is het wel zo aardig om ervoor te zorgen dat deze niet in verkeerde handen vallen. Op dit moment is SHA-1 nog veilig, maar de vraag is hoe lang dit nog duurt. Het aanpassen van je certificaat naar SHA-2 zorgt er dus voor dat je er zeker van bent dat je website veilig blijft.

Daarnaast kunnen bezoekers van je website afschrikken. Geel en oranje zijn kleuren van waarschuwing en gevaar. Als bezoekers in hun browser gele driehoeken of rode kruizen zullen zien, neemt de kans toe dat zij de website niet zullen vertrouwen. Gevolg: het bezoek van je website neemt af. En dat wil je als webmaster natuurlijk niet.

Bij het bouwen van websites maken wij tegenwoordig al gebruik van het veilige SHA-2, zodat onze klanten zich geen zorgen hoeven te maken. Mocht je het idee hebben dat je website nog een SHA-1 certificaat heeft, laat het dat weten.

Blijf op de hoogte!

Geertje Zwarts

Een veelzijdig internet specialist, zo zou je Geertje kunnen typeren. Vanuit haar technische achtergrond blogt ze veel over content marketing en vernuftige technieken.

Meer over Geertje