Menu
Hoe werkt HTTPS / Browser Encryptie?

Hoe werkt HTTPS / Browser Encryptie?

Wanneer u verbinding maakt met een website, zult u vaak merken dat de URL alleen de naam van de website weergeeft. Maar naarmate we een meer digitale wereld betreden, wordt het ten zeerste aanbevolen dat sites SSL-certificaten en Transport Layer Security gebruiken om uw verbinding ermee te coderen. Dit wordt in uw browser weergegeven als https://, waarbij de S het belangrijkste is om naar te zoeken. Nu maken browsers zoals Safari op uw iPhone/iPad/iPod en Firefox op uw desktop/laptop het u gemakkelijk om te bepalen welke sites beveiligd zijn en welke niet door een slotpictogram naast de website weer te geven. Bekijk dit gekoppelde voorbeeld van de PayPal-website die niet alleen het slotpictogram toont, maar ook identiteitsverificatie bekend als een Extended Validation-certificaat (groene woorden naast het slot) om een ​​vertrouwensfactor te bieden om ervoor te zorgen dat u verbinding maakt met de echte PayPal-website.

In een notendop, wanneer u verbinding maakt met een website met een SSL-certificaat, betekent dit dat alles wat u doet in verband met die website, wordt versleuteld van uw browser naar de server van de website en vervolgens terug naar uw browser. Dit omvat inloggegevens, wachtwoorden, financiële informatie en alle andere persoonlijke gegevens. Zelfs op mijn website cryptoseb.pw heb ik een SSL-certificaat dat TLS gebruikt om al het verkeer te versleutelen. Ik heb er helemaal geen behoefte aan, maar het is een goede gewoonte om er altijd een te gebruiken. Encryptie is nooit een slechte zaak op internet. Maar wees voorzichtig, certificeringsinstanties (de grote bedrijven die vertrouwde SSL-certificaten uitdelen aan gebruikers) kunnen en zijn in het verleden gehackt/gehackt, wat de veiligheid van elk certificaat dat ze hebben uitgegeven in gevaar zou brengen. HTTPS biedt ons niet alleen codering voor de gegevens die onderweg zijn. Het geeft ons een manier om de gegevens te verifiëren. Met een website die alle informatie via platte tekst verzendt, weet u niet zeker of zelfs de website die u bekijkt de echte is. Als uw verbinding het slachtoffer is geworden van een man-in-the-middle-aanval, kunnen de gegevens op elk moment worden aangetast. Dit is geen gemakkelijke opgave wanneer een website correct gebruik maakt van SSL/TLS.

Versleuteling van en naar een website voldoet echter niet altijd aan de huidige normen en kan verkeerd worden geconfigureerd, zwakke algoritmen/coderingssuites gebruiken of vertrouwensproblemen hebben met het certificaat. De beste manier om erachter te komen of de website waarmee u verbinding maakt goede statistieken op hun certificaat heeft, is door naar https://www.ssllabs.com/ssltest/ te gaan en de website-URL in de scanbox te plaatsen. Ik heb cryptoseb.pw geconfigureerd om een ​​A+ te krijgen met volledige 100s onderaan de lijst. Dit is een serieuze overkill en verliest de ondersteuning van sommige oudere browsers, maar het betekent het hoogste beveiligingsniveau. Hier zijn enkele aanwijzingen waar u op moet letten om maximale coderingssterkte/vertrouwen te verkrijgen:

  • Certificaat is VERTROUWD
  • Sleutel is groter dan 2048 bits (RSA)
  • TLS1.2 aangeboden als een protocol maar NIET SSL
  • RC4/MD5-coderingen zijn NIET toegestaan ​​aan de serverzijde
  • Veilige heronderhandeling ingeschakeld
  • HSTS Strikte Transportbeveiliging ingeschakeld
  • Public Key Pinning (HPKP) ingeschakeld (niet absoluut noodzakelijk, alleen een bonus)
  • OCSP-nieten ingeschakeld
  • Forward Secrecy-coderingen hebben de voorkeur aan serverzijde

Volg de onderstaande stappen om deze native HTTPS-only-functies in Firefox, Chrome, Edge en Safari in te schakelen en vier met ons dat HTTPS echt overal voor gebruikers is: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere

Tags: Browser