Wat is HTTPS?

en waarom gebruiken we het niet overal?

 

https

Het slotje dat u in uw browser ziet, samen met de “https://” aan het begin van uw adresbalk, tonen aan dat:

  • Uw verbinding beveiligd is met een “versleuteling” van de gegevens; zie verder
  • Uw verbinding maakte  met de website die u bedoelde te bezoeken (en niet met iemand die probeert om die website na te apen).

Men gebruikt de letter “s” om aan te duiden dat de verbinding Secure” is. Hierdoor geeft die verbinding jou dus de twee garanties geeft die hierboven staan opgelijst.

Wat is er dan zo on-secure aan gewone http? Wat doet die extra “s” juist?

Om die vraag te kunnen beantwoorden moeten we eerst kijken naar hoe het internet werkt. Alle verkeer dat via een netwerk van de ene computer naar de andere reist, vervoert zijn data in pakketjes. Deze pakketjes reizen bijvoorbeeld tussen u en het hoofdkantoor van uw bank waar u uw PC-banking doet. In dit voorbeeld gebeurt dat via het internet. In die pakketjes zitten o.a. gegevens over uw rekeningstand vervat, die gezien kunnen worden door mensen die in het pad zitten tussen de ontvanger (u) en de verzender (uw PC-banking website). Deze “digitale postbode”-rol kan door verschillende systemen worden uitgevoerd waar u geen vat op heeft. U weet dus ook niet wie deze informatie allemaal gelezen heeft op dat moment.

Wat uw bank dus doet, is ervoor zorgen dat de gegevens gecodeerd worden. Dit gebeurt op een zodanige manier dat ze compleet niet meer leesbaar zijn tijdens het transport. Enkel uw PC heeft een “geheime sleutel” waarmee deze code kan ontcijferd worden. Hierdoor kan dus enkel u lezen wat uw rekeningstand is op dat moment. Iedereen die onderweg mee zat te kijken, heeft immers alleen maar wat onverstaanbaar gebrabbel voorbij zien komen. Het feit dat dat “gebrabbel” voor verzender en ontvanger duidelijk leesbaar is, maar voor niemand daartussen, dat is wat die extra “s” doet in https.

Bovenstaand principe geldt voor alles wat we op het internet versturen. Kredietkaartnummers op een webshop, het wachtwoord om in te loggen op uw e-mail, etc. Staat u erbij stil om in uw adresbalk te kijken of gevoelige gegevens wel over een HTTPS-verbinding worden verstuurd. Ik hoop dat u er na het lezen van dit artikel in ieder geval iets meer begrip voor hebt.

Als dat dan toch zo fantastisch werkt, waarom gebruiken websites dan nog HTTP in plaats van HTTPS?

Een heel terechte vraag. De reden waarom dat nog niet bij iedereen in voegen is is heel eenvoudig. Om je website over HTTPS te laten werken moet je een zogenaamd “SSL-certificaat” kopen en dat kost geld. De prijs kan heel sterk afhangen van waar je het koopt, voor hoelang het geldig moet zijn en nog enkele andere details. In sommige gevallen kunnen webhosting-firma’s die webspace verhuren een beperking op hun minder dure pakketten zetten.  Dit zorgt ervoor dat de website op hun server niet eens over HTTPS kàn draaien omdat zij daar technisch niet de voorzieningen voor troffen.

Er is echter in de loop van 2016 een verschuiving op gang gekomen die u de mogelijkheid biedt om zelf, met behulp van “Let’s Encrypt” een veilig en gratis certificaat te maken. Dit enkel mits de server dit ondersteunt, uiteraard. Als u advies nodig heeft om een dergelijk certificaat op te zetten, kunt u hierover online veel terugvinden. Als u zich niet prettig voelt om daar zelf aan te beginnen prutsen, raad ik u aan om samen met uw hostingfirma te bekijken welk certificaat er in uw budget past, en toch de 2 garanties biedt die het belooft (zie bovenaan deze pagina).

HTTPS, Wat is het? – Uitgelegd in verstaanbaar Nederlands