Hoe veilig is HTTPS? Een inleiding op een protocol dat een groot deel van het web beschermt

Met het wijdverbreide gebruik van internet is de bescherming van persoonlijke informatie en gevoelige gegevens een belangrijk punt van zorg geworden. HTTPS (Hypertext Transfer Protocol Secure) is van bijzonder belang als protocol dat de veiligheid van de communicatie op internet garandeert. Hier zijn de beveiligingsmaatregelen die HTTPS biedt en de voordelen die het internetgebruikers biedt.

HTTPS en gelaagde beveiliging

HTTPS is geen eenvoudige structuur die uit één stuk bestaat. HTTPS is als een systeem en HTTPS bestaat uit verschillende onderdelen. Om ervoor te zorgen dat het systeem dat door meer dan één onderdeel is gemaakt, in een bepaalde volgorde werkt, moeten de onderdelen waaruit dat systeem bestaat ook veilig zijn.

In de wereld van vandaag is communicatie het brandpunt waar beveiliging het meest nodig is. De basis van deze wereld is gebouwd op het TCP/IP-protocol. Maar als het gaat om veiligheid, de TCP/IP-protocolsuite is begonnen tekort te schieten.

Hoewel er pogingen zijn gedaan om deze tekortkomingen aan te pakken met nieuwe protocollen, blijft er een fundamenteel probleem dat het hele systeem kan beïnvloeden. Om bijvoorbeeld een applicatie die via HTTPS werkt als veilig te beschouwen, is het essentieel om een ​​goed te hebben inzicht in de lagen waaruit het systeem bestaat en om de daarin aanwezige beveiligingskwetsbaarheden te beoordelen lagen.

Vier extra protocollen spelen een rol om de HTTPS-verbinding tot stand te brengen. Dit zijn de SSL/TLS-, TCP-, IP- en ARP-lagen. Voor nu kun je negeren hoe ze werken. Waar u op moet letten, is dat hoe veilig HTTPS ook is, een kwetsbaarheid in andere protocollen HTTPS zal beïnvloeden. Dus is HTTPS in dit geval onveilig?

Is HTTPS echt veilig?

Banken, sites voor online winkelen en verschillende instellingen gebruiken meestal 128-bits coderingsmethoden. Hoewel 128-bits codering volgens de huidige normen betrouwbaar is, is deze methode alleen niet voldoende. Naast encryptie moeten ook andere infrastructuren veilig zijn.

Het eerste en belangrijkste aanvalstype waarmee SSL wordt geconfronteerd, zijn man-in-the-middle-aanvallen. Bij aanvallen van het MITM-type plaatst de aanvaller zichzelf tussen de slachtofferclient en de server, met als doel te luisteren en verkeer te manipuleren.

De aanvaller grijpt in met MITM in HTTP-verbindingen genereert een vals certificaat, wat een fout genereert in de browser van de gebruiker omdat het certificaat niet is ondertekend door een geldige CA. In het verleden was het mogelijk om browserwaarschuwingen eenvoudig te omzeilen. Maar tegenwoordig zijn de SSL-incompatibiliteitswaarschuwingen die door de browsers worden gegeven echt intimiderend.

Het meest voor de hand liggende voorbeeld hiervan zijn de waarschuwingen van moderne browsers dat de site waarop u wilt inloggen mogelijk onveilig is vanwege incompatibiliteit met SSL-certificaten. Deze waarschuwingen zorgen er vaak voor dat bewuste gebruikers die inloggen op de site de site verlaten.

Zijn er andere kwetsbaarheden die HTTPS onveilig kunnen maken voor de gebruiker?

De relatie tussen SSL en HTTP

De overgrote meerderheid van websites gebruik SSL (HTTPS) voor veiligheidsdoeleinden. Maar tegenwoordig gebruiken de meeste systemen met SSL HTTP en HTTPS samen. U opent eerst een webpagina via HTTP. Daarna werkt HTTPS op links die gevoelige informatie bevatten.

Bedrijven gebruiken niet alleen HTTPS. Dit komt omdat SSL extra capaciteit aan de serverzijde vereist. Bovendien, als u ervan uitgaat dat de sessie-informatie grotendeels wordt overgedragen via cookies in HTTP, en als de ontwikkelaars aan de serverzijde de beveiligde functie voor de cookies, iemand die naar het verkeer kan luisteren, kan namens u toegang krijgen tot de systemen via cookies zonder dat u een account nodig heeft informatie.

De beveiligde functie van cookies helpt om cookies alleen via een beveiligde verbinding over te dragen. Daarom is het een probleem waar vooral aandacht aan moet worden besteed door degenen die zich vanaf de server ontwikkelen.

Hoe kunt u worden beschermd?

Wanneer u een website invoert, moet u de URL controleren. Het is niet genoeg om te zien dat de ingevoerde URL begint met HTTPS. Tegelijkertijd kan iedereen zijn eigen SSL-certificaat schrijven. Controleer ook het SSL-certificaat dat de website gebruikt. Om meer te weten te komen over het certificaat, verplaatst u uw cursor naar het slotpictogram in de adresbalk en klikt u erop.

Wees ook altijd sceptisch wanneer u uw persoonlijke en bankgegevens aan websites geeft. Niemand wil geconfronteerd worden met onomkeerbare resultaten. Zorg ervoor dat u uw nieuwste software up-to-date houdt en blijf uzelf altijd informeren over cyberbeveiligingsbewustzijn.