HTTP en HTTPS uitgelegd: een goede stap richting een veiliger internet?

Vergrootglas op HTTPS Icoon

Als je het internet net zo lang als wij gebruikt, dan kun je je misschien nog wel de dagen herinneren dat je handmatig ‘http://’ in moest typen voor het webadres. Hoewel dit stukje tekst nog wel voor het webadres te vinden is, hoef je het tegenwoordig niet meer zelf in te voeren. Browsers doen dat nu gelukkig automatisch. Maar wat betekent HTTP eigenlijk? En waarom zijn sites HTTPS gaan gebruiken? Dit lees je allemaal hier in dit artikel!


Wat zijn HTTP en HTTPS?

HTTP staat voor Hypertext Transfer Protocol. Dit is een protocol wat gebruikt wordt voor de communicatie tussen de web client en de webserver.

Hoewel het essentieel is voor het surfen online, merken we er eigenlijk bijna niks van, ook al is het protocol wel actief. Het nadeel van het HTTP-protocol is dat het verkeer tussen de web client en webserver niet versleuteld is. Dit betekent dat, in theorie, iedereen kan zien wat je doet als je een website bezoekt. Zie het als je bestelling bij de Starbucks, iedereen in de rij kan, als ze opletten, precies meeluisteren met wat jij bestelt. Dit proces heet packet sniffing en is mogelijk met gratis software.

Omdat onze communicatie steeds meer online plaatsvindt, delen we dus ook steeds meer gevoelige informatie. Hierom werd HTTPS in het leven geroepen. Dit is een beveiligde versie van HTTP, waardoor je er zeker van kan zijn dat je te maken hebt met een legitieme website en dat je persoonlijke informatie niet gelekt wordt. Alle communicatie die nu tussen jou en de website verloopt is nu netjes ingepakt en niet meer voor iedereen te zien. Kortom, jij en de Starbucks barista spreken nu een taal die alleen jij en de barista spreken (encryptie).

Encryptie voor je packets

De communicatie met een website met HTTPS wordt beschermd door iets genaamd Transport Layer Security (TLS) en voorheen Secure Sockets Layer (SSL). Dit protocol gebruikt een zogeheten asymetric public key infrastructure om de data te versleutelen. Dit werkt door middel van twee sleutels, de public key en de private key.

De website geeft bezoekers de public key, en je browser gebruikt deze om de informatie in te pakken. De informatie die door de public key versleuteld is, kan alleen worden ontsleuteld door de private key. De private key is alleen in handen van de website. Simpel gezegd stop je jouw informatie voordat je deze verstuurt in een doos met een slot, waarvan alleen de ontvanger de sleutel heeft.

Veiligheidscertificaat

Als een site HTTPS heeft, dan betekent dit dat de website is goedgekeurd door een zogenoemde certificaatautoriteit (CA). Dit is een organisatie die aangeeft of een website de juiste HTTPS certificaten heeft of niet. Wanneer een browser ziet dat een website gecertificeerd is door zo’n CA dan krijgt deze het HTTPS label mee.

Hoewel HTTPS in eerste instantie in het leven is geroepen door banken en andere financiële instanties om je betaalgegevens te beschermen, is het steeds meer de norm geworden voor websites. Vooral voor webshops en websites waarop persoons- en betaalgegevens kunnen worden verstuurd (denk aan accountmogelijkheden en contactformulieren) is HTTPS bijna verplicht geworden. Het is een essentiële schakel geworden in de bescherming van persoonsgegevens.


Hoe kan ik zien of een website veilig is?

Nu je weet wat HTTPS is vraag je je misschien af hoe je kunt zien of een website beveiligd is middels HTTPS of niet. Hoewel elke browser zijn eigen manier heeft om dit aan te geven is het eigenlijk vrij simpel bij alle browsers. Zo geeft Google Chrome het bijvoorbeeld aan door de veiligheidsstatus van een website weer te geven:

HTTPS Icoontjes

Een andere manier om te zien of een website veilig is of niet, is om te kijken naar of de URL begint met ‘http://’ of ‘https://’. Hierbij is ‘https://’ dan natuurlijk de veilige variant. Tegenwoordig wordt dit gedeelte van het webadres echter vaak verborgen. Wat browsers dan wel doen is iets van een icoontje tonen naast het webadres. In Chrome is dit bijvoorbeeld een groen slotje. Internet Explorer, Edge, Safari en Firefox werken ook met slotjes, maar ze maken deze niet altijd groen. Zie de onderstaande screenshot voor een klein overzicht van hoe je kunt zien of een website beveiligd is met HTTPS of niet.

HTTPS Slotjes Chrome Firefox Edge

Als je meer wil weten over het HTTPS-certificaat van de website, dan kun je op het slotje klikken om meer informatie te krijgen. Je ziet dan bijvoorbeeld van wanneer tot wanneer de site is beveiligd middels HTTPS en door het HTTPS-certificaat is verleend. Bij onze site ziet dat er als volgt uit:

Screenshot Veilige Verbinding HTTPS

Ook op sites zonder HTTPS kun je informatie opvragen over waarom een site niet veilig wordt geacht. Door te klikken op het informatie icoontje naast het webadres krijg je meer informatie te zien over de mogelijke veiligheidsproblemen van de website. Ook kun je zien welke informatie die je verstuurd naar de website wellicht door anderen te zien is. Hieronder zie je een screenshot van een ‘onbeveiligde’ website.

Screenshot Onveilige Verbinding


Hoe veilig is HTTPS eigenlijk?

Het klinkt misschien alsof HTTPS al je internetverkeer beveiligt. Helaas is dit niet zo. Hoewel HTTPS een goede indicator is van of een site legitiem is of niet en of ze een bepaalde mate van veiligheid garanderen. Het voorkomt niet dat anderen kunnen zien dat je die website hebt bezocht.

Het is hackers zelfs gelukt om een HTTPS-website te maken, specifiek gemaakt om bezoekers voor de gek te houden. Dus ook al zorgt HTTPS voor een veiliger internet, het maakt de beveiliging niet waterdicht.

De certificaatautoriteiten (CA’s) zijn meestal betrouwbaar, maar er hoeft maar een corrupte CA tussen te zitten en er kunnen valse HTTPS-certificaten uitgegeven worden. Zoals altijd bij het surfen op het internet is het belangrijk om je gezonde verstand te blijven gebruiken niet zomaar alles te vertrouwen.


Tips om te garanderen dat je altijd op een HTTPS website zit

Logo HTTPS EverywhereOmdat we tegenwoordig veel verschillende websites bezoeken is het onbegonnen werk om steeds zelf te moeten controleren of een website middels HTTPS is beveiligd of niet. Gelukkig hoeft dat tegenwoordig ook niet meer. Met handige software, zoals de browser extensie HTTPS Everywhere, wordt er gekeken of er een HTTPS-variant is van de website die je wilt bezoeken. Mocht dit zo zijn, dan word je daar automatisch heen gestuurd. Als een website geen HTTPS-variant heeft, dan zie je een waarschuwingsmelding.

Ook enkele VPN-diensten zijn begonnen om dit toe te voegen aan hun VPN. Je bent dan niet alleen beschermd middels VPN, maar je wordt ook automatisch naar HTTPS-websites doorverwezen als deze bestaan. Een VPN met een dergelijke automatische HTTPS redirect-optie is CyberGhost.

CyberGhost
Actie:
Probeer CyberGhost voor slechts €2.19 per maand!
Vanaf
€2.19
8.9
  • Hoge mate van gebruiksgemak
  • Hoge kwaliteit voor een scherpe prijs
  • Torrents en Netflix mogelijk
Bezoek CyberGhost

Hoe krijg ik HTTPS op mijn eigen website?

Het is vrij eenvoudig om je website te beveiligen middels HTTPS. Meestal kun je bij je hosting partij aanvragen dat je graag een HTTPS-certificaat zou willen hebben voor je website. Jouw hosting partij zal dit dan voor jou instellen tegen het voor hen geldende tarief.


HTTP en HTTPS samengevat

HTTP en HTTPS zijn protocollen die de communicatie tussen je browser en de server van een website regelen. Hierbij is HTTPS de veilige variant die het verkeer versleutelt. HTTPS werd in eerste instantie alleen gebruikt voor het beveiligen van gevoelige informatie, maar is tegenwoordig eerder de norm geworden voor websites.

Met het groene slotje naast het webadres kun je snel zien aan een website of deze middels HTTPS beveiligd is of niet. Het zelf aanvragen van een HTTPS-certificaat voor je eigen website kan bijna altijd bij je hostingpartij. En mocht je geen zin hebben om steeds te controleren of een website veilig is of niet, dan kun je speciale software gebruiken zoals HTTPS Everywhere of CyberGhost.

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen