Afgelopen zaterdag was het groot nieuws. Website met een groen slotje, zoals de onze, zijn niet per sé veilig. Maar hoe zit het nou echt? Wij leggen het je graag uit.
Phishing met een groen slotje
Het verhaal van de NOS richtte zich op criminelen die Phishing gebruiken om bijvoorbeeld achter bankrekeningnummers te komen. Het verbaasde de NOS dat ze gemakkelijk domeinnamen met banknamen erin konden kopen en daar met gemak een groen slotje op konden zetten. Ze laten dit gek klinken, maar het is eigenlijk heel logisch.
Banken kopen niet alle domeinnamen
Als bedrijf koop je een domeinnaam. Als je weet dat een klant gemakkelijk een spelfout maakt, koop je de domeinen met spelfouten ook op. Onze webdesigners van Digishock gaan zelfs zo ver dat ze het aankopen van extra domeinen als dienst aanbieden. Maar, er zijn heel veel TLD’s (dat zijn die extensies zoals .com, .nl etc) en dan zijn er heel vele tikfouten en combinaties met andere woorden te bedenken. Dit laatste is wat de NOS in haar verslaggeving gebruik van maakte.
SSL is niets meer dan een dom slotje
En dan het erop zetten van een groen slotje. Ook dat is betrekkelijk. Ja, het geeft aan dat de verbinding tussen jou en jouw website is beveiligd. En goed beveiligd. Maar het zegt niets over hoe veilig jouw website is. Stel dat je een WordPress website hebt, dan kan deze gehackt zijn en levert SSL enkel een beveiligde verbinding tussen de bezoeker en de gehackte site. Wel zo handig voor de hacker.
Schijnveiligheid of toch gewoon veilig?
Dat groene slotje balanceert op de rand van veiligheid en schijnveiligheid omdat in alle reclames wordt aanbevolen om te checken of er een groen slotje is. Neemt een bedrijf de moeite een hele dure versie van SSL te installeren (ook wel EV certificaat genoemd), krijgt het bedrijf de bedrijfsnaam naast het slotje. Maar die zie je niet wanneer je een smartphone gebruikt. Bovendien wordt de bedrijfsnaam niet altijd even goed gecheckt door de verstrekker. Dus het is een manier om zekerheid te geven, maar een zekerheid waar je niet teveel waarde aan moet hechten. Wij vonden deze dure certificaten voor onze website in ieder geval niet het geld waard. De technische veiligheid is niet beter of slechter met een EV certificaat. Het is echt alleen maar de naam in de adresbalk.
Is er dan niets veilig met een groen slotje? Jawel. De verbinding tussen jou en de website die je bezoekt. Maar of jouw computer een virus bevat, of dat de website malware verspreidt, daar ben je zeker niet tegen beveiligd.
SSL en de AVG (privacywetgeving)
Binnen de nieuwe AVG privacywetgeving worden websites geacht technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. SSL is één van die maatregelen, maar er is heel veel meer mogelijk. Zo weten ook wij met onze WordPress website. Zo zetten wij WebsiteNazorg in voor de extra WordPress beveiliging voor jullie, onze bezoekers, te bieden.