Google gaat Secure melding in Chrome weer verwijderen

6 juni 2018

Sinds begin 2017 toont Chrome een groene 'Veilig' of ‘Secure’ melding bij alle websites met een HTTPS verbinding.  Onlangs is aangekondigd dat deze melding vanaf september 2018 niet meer getoond zal worden, en dat alleen EV certificaten nog een positieve indicator zullen tonen. Uit onderzoek van de NOS blijkt ook dat de huidige meldingen verwarring veroorzaken en malafide websites juist helpen.

Naar HTTPS als standaard

In haar streven naar een veiliger internet sleutelt Google al geruime tijd in Chrome aan de weergave van websites met en zonder SSL certificaat. Zo geeft een onbeveiligde website een waarschuwing, en een beveiligde website nu een positieve melding. Hiermee gaat Chrome een stapje verder dan andere browsers, die standaard een slotje en https:// weergeven bij ieder SSL certificaat, en bij EV certificaten een extra bedrijfsnaam in een groene kleur.

Chrome toont onveilige websites ook als veilig

Een onbedoeld neveneffect van de extra ‘Secure’ melding die sinds begin vorig jaar wordt getoond, is dat dit phishing websites een extra vertrouwde uitstraling geeft. Omdat er nu geen onderscheid wordt gemaakt tussen SSL certificaten zonder of met bedrijfsgegevens, toont de browser ook het label ‘Secure’ als een malafide of phishing site met kwade bedoelingen een SSL certificaat gebruikt. Een Domein Validatie certificaat heeft weinig controles, en is hiervoor dus gemakkelijk te verkrijgen. Hierdoor ontstaat de misvatting dat HTTPS staat voor een betrouwbare website, terwijl een standaard HTTPS verbinding alleen aantoont dat de verbinding met de website beveiligd is. De voor september aangekondigde wijziging lost dit probleem gelukkig op.

Klaar voor de volgende stap

De aandacht voor SSL heeft het gebruik hiervan een enorme boost gegeven, in februari dit jaar:

  • Was ruim 68% van het Chrome verkeer op Android en Windows beveiligd;
  • ruim 78% van Chrome verkeer op Chrome OS en Mac beveiligd;
  • en 81 van de top 100 sites gebruikten standaard HTTPS.

Volgens Google is de tijd nu rijp voor een omslagpunt, waarbij veilig de standaard is, en er alleen wordt gewaarschuwd als dit niet zo is. Vanaf juli dit jaar starten ze dan ook met het tonen van een Not Secure waarschuwing bij alle onbeveiligde websites. Vanaf september wordt de ‘Secure’ melding bij standaard HTTPS niet meer getoond, en uiteindelijk willen ze het slotje en https:// helemaal niet meer tonen bij een beveiligde verbinding. Alleen een EV certificaat, waarbij de controles voor uitgifte strenger zijn waardoor dit certificaat bezoekers meer zekerheid over de identiteit van een website geeft, zal nog een positieve indicatie geven. De ‘Not Secure’ melding zal vanaf oktober dit jaar ook duidelijker zichtbaar worden

Wat betekenen deze wijzigingen voor jou?

Als de aangekondigde wijzigingen doorgevoerd worden, krijgen we de volgende situatie:

Geen HTTPS

Negatieve weergave

Standaard SSL (Domein - en Organisatie validatie)

Neutrale weergave

EV SSL

Positieve weergave

In die nieuwe situatie zal iedere website een SSL certificaat nodig hebben om browser waarschuwingen te voorkomen. Het type certificaat maakt hiervoor niet uit. Certificaten met Domein - en Organisatie verliezen echter hun zichtbaarheid in de browser. Heb je een zakelijke of commerciële website? Dan kun je jezelf onderscheiden en extra vertrouwen uitstralen met een EV certificaat met groene adresbalk.

Overzicht van https wijzigingen in Chrome

Alle wijzigingen die Chrome de afgelopen tijd heeft gedaan en heeft aangekondigd op het gebied van de weergave van HTTPS.

Wijziging

Datum

Chrome versie

Introductie nieuwe security indicators

september 2016

53

Not secure melding bij invullen persoonsgegevens

januari 2017

56

Not secure melding bij alle invulvelden

oktober 2017

62

Not secure melding bij alle onbeveiligde websites

juli 2018

68

Uitfasering Secure melding

september 2018

69

Not Secure melding ernstiger

oktober 2018

70

point up