Beveiligde verbinding
Zijn websites veilig als ze zijn voorzien van een slotpictogram in de browser? Nee, dat is echt te kort door de bocht. Het hangslotje in de adresbalk van je webbrowser geeft aan dat de verbinding tussen jouw apparaat en de website die je bezoekt cryptografisch versleuteld is. Hierdoor zijn de gegevens die je verzendt en ontvangt (zoals bijvoorbeeld wachtwoorden en creditcardnummers) beschermd tegen afluisteren door derden. Het hangslotje verschijnt als de website een SSL-certificaat (Secure Sockets Layer) of een TLS-certificaat (Transport Layer Security) gebruikt en geeft dus aan dat de verbinding tussen jouw apparaat en de website beveiligd is.
Geen garantie voor een veilige website
De aanwezigheid van SSL/TLS-certificaten en een hangslotje betekent echter niet dat de bezochte website zelf ook veilig is. Ook met een beveiligde verbinding kun je toch op een malafide website terechtkomen. Het hangslotje zegt alleen iets over de veiligheid van de verbinding en niets over de veiligheid en betrouwbaarheid van de website.
Malware
Ook criminelen kunnen gemakkelijk SSL/TLS-certificaten aanvragen en op hun frauduleuze websites instaleren. Een website kan er dan betrouwbaar en legitiem uitzien (inclusief het hangslotje), maar in werkelijkheid een phishing-website zijn die bedoeld is om je persoonlijke gegevens te stelen. Zo’n website bevat dan meestal malware die speciaal ontworpen is om je op te lichten, ondanks dat de gegevensoverdracht cryptografisch versleuteld is.
Staar je niet blind op het hangslotje
Staar je daarom niet blind op het hangslotje, maar kijk ook naar andere aspecten die erop wijzen dat een website veilig is. Controleer of de URL in de adresbalk correct is en kijk of er geen spelfouten of ongebruikelijke tekens in staan. Criminelen gebruiken vaak vergelijkbare domeinen om je te misleiden. Klik op het hangslotje om meer informatie te krijgen over het SSL/TLS-certificaat (wie het heeft uitgegeven en of het betrouwbaar is).
Phishing
Kijk ook of de website een duidelijk privacybeleid, cookieverklaring en contactgegevens heeft. Controleer of de webshop is ingeschreven bij de Kamer van Koophandel en kijk of de webwinkel geregistreerd is bij een webwinkelkeurmerk. Let daarnaast ook op ongewone pop-ups. Verzoeken om informatie of aanbiedingen zijn vaak tekenen van phishing-pogingen of andere frauduleuze activiteiten. Tevens kun je de domeinleeftijd checken om te achterhalen hoe lang een website al bestaat. Nieuwe domeinen kunnen verdacht zijn.
DANE en DNSSEC
Zorg ervoor dat je apparaten zijn voorzien van antivirussoftware en antimalware-programma’s. Deze software waarschuwt je voor verdachte websites en downloads. Gebruik browsersextensies om scripts te blokkeren die je kunnen omleiden naar onveilige websites. Controleer ook of de website gebruikmaakt van DANE (DNS-based Authentication of Named Entities) en DNSSEC (Domein Name Systeem Security Extensions) om DNS-verkeer te beveiligen.
Onleesbaar voor hackers
SSL/TLS versleutelt de gegevens die worden uitgewisseld, waardoor ze onleesbaar zijn voor hackers. De gegevens worden omgezet in een code om ze te beschermen tegen ongeautoriseerde toegang. SSL/TLS zorgt er dus voor dat gegevens niet worden gewijzigd tijdens de overdracht. Het certificaat bevestigt de identiteit van de website, waardoor het risico op phishing wordt verkleind.
Hoe werkt SSL/TLS precies?
Wanneer je een website bezoekt die SSL/TLS gebruikt begint je browser met het verzenden van een verzoek naar de server om een beveiligde verbinding te starten (een zogenaamde ‘handshake’). Je browser (de client) stuurt een bericht naar de server. Dit bericht bevat informatie over de ondersteunde versleutelingsmethoden en een willekeurig gegenereerd getal.
Vertrouwde certificeringsinstantie
De server reageert vervolgens met een bericht dat de versleutelingsmethode selecteert die beide partijen ondersteunen. De server stuurt ook zijn SSL/TLS-certificaat en een eigen willekeurig getal. Je webbrowser controleert het certificaat van de server om ervoor te zorgen dat het geldig is en is uitgegeven door een vertrouwde certificeringsinstantie (zoals bijvoorbeeld DigiCert, GlobalSign of Comodo). Als blijkt dat het certificaat betrouwbaar is, gaat de ‘handshake’ verder.
Sleuteluitwisseling
Je browser genereert een derde willekeurig getal (de pre-master secret) en versleutelt dit met de openbare sleutel van de server (deze sleutel komt van het certificaat). Dit versleutelde pre-master secret wordt vervolgens naar de server gestuurd. De server gebruikt zijn privé-sleutel om de pre-master secret te ontsleutelen. Met de pre-master secret en de willekeurige getallen van beide partijen (client en server) berekenen zowel de browser als de server dezelfde symmetrische sleutels. Deze symmetrische sleutels worden vervolgens gebruikt om de rest van de sessie te versleutelen.
Onleesbaar zonder de juiste sleutels
Alle gegevens die tussen je browser en de server worden uitgewisseld worden versleuteld met de symmetrische sleutels. De gegevensoverdracht tussen je webbrowser en de website die je bezoekt zijn onleesbaar zonder de juiste sleutels (zelfs als iemand de gegevens onderschept). Op het moment dat de versleutelde gegevens de ontvanger bereiken, gebruikt deze dezelfde symmetrische sleutel om de gegevens te ontsleutelen en leesbaar te maken.
Asymmetrische en symmetrische cryptografie
De versleuteling in SSL/TLS maakt gebruik van zowel asymmetrische als symmetrische cryptografie, om een veilige communicatie tot stand te brengen. Asymmetrische cryptografie wordt gebruikt voor de veilige uitwisseling van sleutels, terwijl symmetrische cryptografie zorgt voor de snelle en efficiënte versleuteling van de gegevens tijdens de sessie. Deze combinatie zorgt ervoor dat de communicatie tussen jou en de website beveiligd is tegen afluisteren en manipulatie door criminelen.
Veilig online
Wanneer het hangslotje in de adresbalk wordt getoond kun je ervan uitgaan dat je apparaat een veilige verbinding maakt met een website, maar je kunt er niet van uitgaan dat je op veilige website terechtkomt. Het zou dus zomaar kunnen dat je een beveiligde verbinding maakt met een gevaarlijke, frauduleuze website. Er zijn verschillende online tools om de betrouwbaarheid van een website te onderzoeken, zoals bijvoorbeeld ScamCheck en ScamAdviser. Ook de website www.internet.nl biedt de mogelijkheid om websites, e-mailadressen en je internetverbinding te testen. Door de betrouwbaarheid en authenticiteit van websites te onderzoeken en de juiste veiligheidsmaatregelen te treffen, kun je jezelf en je gegevens optimaal beschermen en blijf je veilig online.
