HTTPS, wat is dat?
Bij websites kennen ook mensen die minder technisch onderlegd zijn het fenomeen “www”. Dat staat voor World Wide Web. Als iemand zegt “www punt” dan weet iedereen dat het om een website gaat. Toch is er een andere standaard die van groot belang is om veilige communicatie via internet mogelijk te maken en dat is HTTPS. Het betreft een afkorting die staat voor Hypertext Transfer Protocol Secure, wat een uitbreiding is op het voorgaande Hypertext Transfer Protocol (HTTP).
Wat is er mis met HTTP?
Op internet worden data pakketjes over en weer verzonden. Het is van belang dat de ontvanger geverifieerd wordt, toch is dit lange tijd niet het geval geweest. URL’s die gebruik maken van HTTP maken standaard gebruik van poort 80, het voorvoegsel is http://. Bij HTTPS wordt standaard poort 443 gebruikt, het voorvoegsel is ditmaal https://.
Het grote verschil tussen deze twee methoden is de beveiliging. HTTP is niet beveiligd wat betekent dat het relatief eenvoudig is om data te onderscheppen. Zo kan informatie van gebruikers worden gestolen, of websites kunnen worden voorzien van malware. Er was dus behoefte aan een beter beveiligd systeem voor URL’s (Uniform Resource Identifier).
Hoe werkt HTTPS?
Het gebruik van HTTPS is identiek aan HTTP, met als enige verschil dat er gebruikt wordt gemaakt van Secure Sockets Layer (SSL) of Transport Security Layer (TLS). Dit is een manier om te verifiëren of de aangeroepen website de juiste is. De authenticatie vindt plaats via een derde partij die een digitaal certificaat ter beschikking stelt. Voorheen was dit een behoorlijk kostbare methode. Sinds 2016 wordt het veilige protocol actief gepromoot door de Electronic Frontier Foundation met ondersteuning van browser ontwikkelaars.
HTTPS maakt een veilig kanaal op een onveilig netwerk. Dit biedt een betere bescherming tegen hackers. Het originele HTTP protocol wordt op TLS geplaatst waarmee het volledig versleuteld kan worden. Tot de informatie die beveiligd is behoren onder andere:
- De URL die opgevraagd wordt
- De parameters van de aanvraag
- Headers en cookies
Desondanks is het systeem niet geheel veilig. Zo is het vanwege het onderliggende TCP/IP protocol onvermijdelijk dat de web adressen en poortnummers niet versleuteld worden verzonden. Zo kan in sommige gevallen de domeinnaam nog steeds worden achterhaald, maar de subpagina niet.
Buitengesloten door browsers
Hoewel het veilige protocol al behoorlijk lang bestaat, heeft het lang geduurd tot de meerderheid van websites HTTPS zou gaan ondersteunen. Naast de kosten zijn er ook veel websites die sterk verouderd zijn en nooit geüpdatet worden. Browsers zouden steeds strenger worden in de weergave van websites. Eerst werden websites wel geladen maar werd er een melding zoals “onveilige verbinding” voor de URL geplaatst.
Een groen slotje voor de URL gaf aan dat het een veilige verbinding betrof. Steeds meer browsers zouden HTTP adressen gaan blokkeren, met de optie om de pagina met verouderd protocol toch te laden. Het slotje is nu minder prominent aanwezig en een onveilige pagina laden wordt niet altijd meer toegestaan. Hoewel HTTPS verwijst naar Secure Sockets Layer (SSL) is sindsdien Transport Layer Security (TLS) de standaard geworden.