Webversleuteling wordt standaard

HTTPS heeft gewonnen, het omzetten van het web naar versleuteld surfen draait op volle toeren, en daar profiteert iedereen van – ook al ben je daar wellicht nog niet helemaal van overtuigd.

Het lijkt een kleine technische revolutie te gaan worden. Een paar jaar geleden was versleutelde websitetoegang een uitzondering. Behalve bij e-commerce­sites, inlogpagina’s en andere formulieren kwam je het amper tegen.

Het HTTP Archive constateerde in 2015 dat meer dan driekwart van alle webrequests met onversleuteld dataverkeer gebeurde.

Intussen zou die dienst zich wellicht beter ‘HTTPS Archive’ kunnen noemen, want de verhouding tussen HTTP en HTTPS is inmiddels wel omgekeerd.

Het webarchief bepaalt aan de hand van ongeveer 1,25 miljoen websites of bij het opvragen van de resources van een website HTTP of HTTPS gebruikt wordt.

De Firefox-dienst Tele­metry komt tot vergelijkbare waarden, waarbij geanonimiseerde gebruiksdata van de browser geanalyseerd zijn.

De security-onderzoeker Scott Helme vierde onlangs het doorbreken van de 50-procentgrens. De basis van zijn data is een miljoen domeinnamen die op de Alexa-lijst bovenaan staan.

Daarbij gaat het om een lijst van de meest opgeroepen websites. Helme onderzoekt daarbij echter niet of de url’s via HTTPS aan te roepen zijn, maar alleen of een HTTP-aanroep automatisch naar de versleutelde versie wordt doorgestuurd – anders zou het percentage zeker hoger zijn.

Anders gezegd: meer dan de helft van alle topwebsites is alleen nog versleuteld te bekijken. Vier jaar geleden was het aandeel aan websites dat alleen via HTTPS te bereiken was nog duidelijk minder dan tien procent.

De tendens van deze onderzoeken komt overeen met onze eigen ervaringen. Begin 2015 kwamen we nog amper een nieuwswebsite tegen die het versleuteld versturen van hun content aanbood – ook onze eigen website niet.

Dat laatste is inmiddels opgelost met behulp van Let’s Encrypt, en nu worden HTTP-verzoeken omgeleid naar de HTTPS-variant.

De meeste grote media-aanbieders hebben inmiddels hetzelfde gedaan en ook in de overheidssector is HTTPS inmiddels gemeengoed.

Het lijdt geen twijfel: HTTPS heeft gewonnen. Het is niet uit te sluiten dat onversleuteld HTTP-verkeer vroeger of later gaat compleet gaat verdwijnen. Met de hoofdrevisie van het HTTP-netwerk­protocol HTTP/2 wordt dat scenario waarschijnlijker – zie ook pagina 116 van c’t 12/2018.

Men is wel afgestapt van het oorspronkelijke idee om in de nieuwe HTTP-versie versleuteling verplicht te stellen, maar de gangbare browsers boycotten de gewone tekstmodus simpelweg.

Deze revolutie kwam van bovenaf. Vooral Google heeft versleuteling op drie plekken opgedrongen: bij browsers, bij het zoeken en bij reclame. De trend naar HTTPS komt in een tijd waarin websites steeds meer op webapplicaties gaan lijken en de grote platforms steeds meer gewicht krijgen.

Voor websitebeheerders is HTTPS intussen een best-practice geworden, een kwaliteitsstandaard. Een belangrijke datum daarvoor was augustus 2014, toen Google versleuteling tot SEO-kenmerk bombardeerde.

Websites die verzuimden met HTTPS te gaan werken, kwamen na verloop van tijd dan ook lager op de ranking te staan.

Browsers hebben op dit moment nog een geruststellend groen slotje in de adresbalk staan om aan te geven dat het om een HTTPS-website gaat, maar Chrome is recent overgegaan op de praktijk om onversleutelde websites als ‘Niet beveiligd’ in een slecht daglicht te stellen.

Anderen gaan daar nog verder in: de security-activist Troy Hunt en de al genoemde Scott Helme hebben met Why No HTTPS? een Hall of Shame gemaakt met niet-versleutelde websites.

Daar staan websites op die via HTTP te bereiken zijn – onafhankelijk van de vraag of ze ook via HTTPS op te roepen zijn of niet.

Er zijn volgens Google ook technische redenen voor een overstap: veel web-API’s zijn zonder versleutelde websites bij de Chromium-browsers helemaal niet meer te gebruiken.

Daar horen onder meer Geolocation bij voor het opvragen van je locatie, Notification voor berichten en Media Streams voor het opnemen van beeld en geluid – en de met Progressive Web Apps verbonden interfaces voor bijvoorbeeld offline opslag en pushberichten.

Een bijzonderheid bij de invoering van HTTPS is dat browsers een webpagina pas veilig noemen als alle erin opgeroepen resources versleuteld opgehaald kunnen worden.

Omdat veel websites content van verschillende domeinen ophalen, was dat in den beginne een hindernis voor het invoeren van HTTPS.

Dat gold met name voor websites met reclame, wat er vooral toe leidde dat nieuwssites lang hebben gewacht met het invoeren van HTTPS. Inmiddels heeft de reclamemarkt ingezien dat het anders moet en werken de meeste adservers nu met HTTPS.

Ook hier stuurde Google als een machtig reclamebedrijf (AdSense, Double­click) de markt naar een technische overgang: Google had het eigen aanbod medio 2015 grotendeels omgebouwd, zodat de meeste concurrenten snel moesten volgen.

Een hoofdargument van veel kleine en privé-websitebeheerders verviel aan het eind van 2015: Let’s Encrypt zorgde er toen voor dat HTTPS gratis werd. Medewerkers van Mozilla en de burgerrechten­organisatie EFF hadden dat project gestart.

Inmiddels gebruikt volgens W3Techs al meer dan een kwart van alle websites een certificaat van Let’s Encrypt – dat komt neer op 46,3 procent van alle versleutelde websites. Bij NetTrack heeft de aanbieder van gratis certificaten de 50-procentgrens echter al in april doorbroken.

Browsers kwalificeren de certificaten van Let’s Encrypt als ‘DST Root CA X3’, een van de rootcertificaten die alle browsers als vertrouwenswaardig kwalificeren.

De certificeringsinstantie IdenTrust, die ooit de Digital Signature Trust Company overnam, signeerde de tussencertificaten van Let’s Encrypt.

Daarom duikt dat minder bekende bedrijf in de statistieken op als grootste certificeringsinstantie. Ook andere aanbieders hebben gratis certificaten in het aanbod, zoals CloudFlare.

Certificering is wel een systematisch zwak punt van de webversleuteling. Als een certificeringsinstantie het in hen gestelde vertrouwen met opzet of uit laksheid misbruikt, stort het hele systeem in elkaar.

Ook daar nam Google verantwoordelijkheid voor het hele web: ze ontnamen Symantec het vertrouwen nadat die meermaals valse Google-certificaten had uitgegeven.

Symantec gaf zich gewonnen en verkocht dat marktsegment, waarop ze ooit marktleider waren, aan DigiCert.

Wellicht dat die beslissing ook in het licht van het succes van Let’s Encrypt te zien is, omdat met de gratis certificaten de prijzen compleet inzakten natuurlijk.

Desondanks: niet iedere websitebeheerder is ervan overtuigd dat hij HTTPS moet gaan gebruiken, en laat zich ook niet dwingen door Google. Want waarom zou je openbaar toegankelijke content bij het versturen moeten versleutelen?

HTTPS versleutelt echter niet alleen het verkeer naar de browser, maar ook het verkeer de andere kant op. Alleen het bron- en het doeladres zijn bij die overdracht in te zien.

Dat is vooral voor grote websites en websites met user-generated content van belang: een man-in-the-middle heeft dan geen mogelijkheden om uit te vissen of er achter een versleuteld YouTube-request een kattenfilmpje zit, of een auteursrechtelijk beschermd muziekstuk of een demovideo voor het in elkaar zetten van een bom.

Ook cookies zijn bij het versturen beveiligd. Die maken gebruikers identificeerbaar en bevatten toegangsinformatie voor de webdienst. ‘Cookie Theft’, het stelen van cookies, is dan ook een serieus beveiligingsprobleem.

Datzelfde geldt ook voor sessie- en OAuth-tokens die in de url meegestuurd worden. Bij onbeveiligd gebruik van een dienst via HTTP kan een afluisteraar in bijvoorbeeld een draadloos netwerk je account dan kapen.

Ook het probleem van het manipuleren van content is gevaarlijk. Dat hoeft nog niet eens illegaal te zijn.

Sommige toegangsproviders – berucht is bijvoorbeeld de Amerikaanse aanbieder Comcast, maar ook bij hotelwifi’s komt het voor – voegen simpelweg reclame toe aan de opgeroepen websites om wat bij te verdienen.

Vooral in landen als China en Turkije worden verbindingen door beveiligings- en censuurautoriteiten afgeluisterd en gecensureerd. Dat maakt bijvoorbeeld het werk van journalisten een stuk moeilijker.

HTTPS beperkt dergelijke spionage. Bovendien kunnen criminele hackers allerlei mogelijk code in onversleuteld opgeroepen webpagina’s binnensluizen. Troy Hunt laat in een video zien hoe dat er in de praktijk uit kan zien – zie de video hieronder.

HTTPS zorgt voor gegevensbeveiliging en security, maar kost niets – alleen wat moeite. Maar helemaal voor niets krijg je het niet. Een onderzoek in 2014 bracht een duidelijke toename in latentie aan het licht, vooral bij smartphones, door de op dat moment lang durende TLS-handshake.

Daar komt met het invoeren van TLS 1.3 echter verandering in. Ook het energieverbruik stijgt door het ver- en ontsleutelen een beetje.

Niet elke verandering is positief: data­compressie, security-tests, url-filtering en caching zijn met HTTPS niet of alleen met veel problemen voor elkaar te krijgen. Ook het analyseren van het eigen dataverkeer met tools als Wireshark loopt tegen problemen aan.

Hoe je de obstakels beoordeelt voor toegang tot versleutelde webcontent door politie en geheime dienst is meer een politieke vraag.

Op de negatieve lijst van Why No HTTPS? domineren websites die niet uit de economisch sterke westerse landen komen. Dat kan er ook mee te maken hebben dat in landen met een minder goede infrastructuur toegang tot internet vaak erg traag is en in het ergste geval alleen via satelliet kan.

In dergelijke gevallen zijn websites zonder een caching-proxy alleen met onverteerbare laadtijden op te roepen.

Maar je moet HTTPS dus niet de schuld geven van een falende internet-­­­­infrastructuur of van zwaarlijvige websites. Het gevaar van het manipuleren van openbaar verstuurde content weegt veel zwaarder.

Dat zorgt dat HTTPS-versleuteling een plicht is voor alle website-­exploitanten. Niet voor hun eigen beveiliging, maar die van bezoekers.

(Herbert Braun / Noud van Kruysbergen)