Achtergrond
Je hebt het vast al eens gezien: een klein slotje naast de URL in je browser. Voor veel bezoekers is het een onbewuste geruststelling dat een website veilig is. Maar wat betekent dat slotje precies?
Veiligheid
Hackers misbruiken steeds vaker nep-2FA-meldingen om je account over te nemen. Leer de signalen herkennen en voorkom dat één onbedoelde klik je beveiliging doorbreekt.
Achtergrond
Je hebt het vast al eens gezien: een klein slotje naast de URL in je browser. Voor veel bezoekers is het een onbewuste geruststelling dat een website veilig is. Maar wat betekent dat slotje precies? Het antwoord ligt bij SSL, voluit Secure Sockets Layer. Dit protocol, waarvan de moderne opvolger TLS heet, zorgt ervoor dat gegevens tussen je computer en een website versleuteld en dus onleesbaar voor pottenkijkers worden verstuurd.
Wanneer je een website bezoekt, stuur je voortdurend gegevens heen en weer. Denk aan je IP-adres, zoekopdrachten en soms ook wachtwoorden of betaalinformatie. Zonder beveiliging kan al dat verkeer worden onderschept, bijvoorbeeld door iemand op hetzelfde wifi-netwerk. SSL voorkomt dit door een versleutelde verbinding te creëren. De browser en de server spreken samen een geheime sleutel af waarmee ze alle gegevens coderen. Zelfs als iemand het verkeer onderschept, kan hij er niets mee, want de inhoud ziet eruit als een onleesbare wirwar van tekens.
Dat slotje in de adresbalk is het zichtbare bewijs dat deze versleuteling actief is. Zodra je een website bezoekt met een geldig SSL-certificaat, controleert je browser of het certificaat echt is uitgegeven door een betrouwbare instantie. Pas wanneer die controle is geslaagd, verschijnt het slotje en zie je dat het webadres begint met https:// in plaats van http://. Het slotje betekent dus dat je gegevens niet zomaar te achterhalen zijn en dat de website is wie hij zegt dat hij is.
Het opzetten van een beveiligde verbinding, de SSL-handshake, gebeurt in fracties van een seconde maar er gebeurt in die korte tijd verrassend veel. Zodra je een website bezoekt, vraagt je browser eerst om het digitale certificaat van de webserver. Dat certificaat is een soort digitaal paspoort voor de website. Het bevat onder meer de domeinnaam, de naam van de organisatie en de publieke sleutel die nodig is voor de versleuteling.
Het certificaat wordt niet zomaar door de website-eigenaar zelf gemaakt. Het moet worden uitgegeven door een Certificate Authority (CA), een internationaal erkende organisatie die als onafhankelijke derde partij optreedt. Denk aan namen zoals DigiCert of Sectigo. Deze instanties controleren of de aanvrager daadwerkelijk eigenaar is van het domein en, afhankelijk van het type certificaat, ook of het bedrijf achter de site echt bestaat. Dankzij die controle kan de browser erop vertrouwen dat het certificaat niet vervalst is.
Zodra je browser het certificaat ontvangt, controleert hij of het:
Geldig is (dus niet verlopen)
Ondertekend is door een vertrouwde CA
Bij de juiste domeinnaam hoort
Als alles klopt, gebruikt de browser de publieke sleutel uit het certificaat om een geheime sessiesleutel te verzenden. Alleen de server kan deze sleutel ontsleutelen, omdat hij de bijbehorende private key bezit. Die sessiesleutel wordt vervolgens gebruikt om de eigenlijke gegevensstroom te versleutelen met snelle symmetrische encryptie. Dit hele proces, van het opvragen en controleren van het certificaat tot het overeenkomen van de sessiesleutel, vormt samen de SSL-handshake.
Hoewel de meeste moderne websites inmiddels de verbeterde standaard TLS (Transport Layer Security) gebruiken, noemen we het in de praktijk nog vaak SSL. De naam is ingeburgerd, maar technisch gezien gaat het om TLS-handshakes en TLS-certificaten.
Door deze keten van controles en versleuteling kan een bezoeker er zeker van zijn dat hij echt met de bedoelde website praat en dat niemand onderweg de gegevens kan afluisteren of aanpassen. Dat is de kern van het kleine slotje in je browser en de reden dat een goed uitgegeven SSL/TLS-certificaat zo cruciaal is voor een veilige en betrouwbare website.
Een beveiligde verbinding is tegenwoordig niet alleen een luxe maar een noodzaak. Bezoekers verwachten dat hun gegevens beschermd zijn en zoekmachines zoals Google belonen websites met een https-adres met een betere ranking. Bovendien is het voor webshops en sites die persoonsgegevens verwerken vaak een wettelijke vereiste. Zonder certificaat krijgen bezoekers steeds vaker een waarschuwing in hun browser. Dat kost vertrouwen en klanten.