Google Chrome markeert HTTP-websites vanaf nu als onveilig

Na maandenlange waarschuwingen is het eindelijk zo ver. Google heeft versie 68 van Chrome uitgerold en pakt daarmee HTTP-websites nog strenger aan. Wie zijn website nog altijd niet heeft overgezet naar het veiligere HTTPS-protocol, krijgt vanaf nu het label ‘onveilig’opgeplakt.

Met HTTPS wordt het HTTP-verkeer van en naar websites versleuteld. Dat maakt het lastiger om verkeer af te luisteren. Google neemt al langer maatregelen om de adoptie van HTTPS te versnellen, zoals het bevoordelen van HTTPS-websites in de zoekresultaten en de markering met een groen slotje en het label ‘Veilig’ in de adresbalk.

In Chrome 68, dat Google deze week uitrolt, worden deze websites als ‘Niet veilig’ gemarkeerd in de adresbalk. Eerst nog gewoon in het grijs, maar vanaf Chrome 70 in oktober in opvallende rode letters.

De impact daarvan is niet min. Google is met een marktaandeel van 60 procent de populairste browser ter wereld. Dat betekent dat het grootste deel van je bezoekers de melding krijgt dat je website onveilig is, als je nu nog altijd niet naar HTTPS bent overgestapt.

Whynohttps

Hoewel er al belangrijke stappen zijn gezet naar een algemene adoptie van HTTPS, is er nog altijd veel werk aan de winkel. De meerderheid (542.605) van de 1 miljoen grootste websites redirect nog steeds niet naar het veiligere protocol, zo waarschuwt Cloudflare.

Securityspecialist Troy Hunt, bekend van de website haveibeenpwned.com, lanceert deze week de website whynohttps.com. Daar zal je een lijst kunnen vinden van ‘s werelds grootste websites die nog steeds niet standaard naar HTTPS zijn overgezet. Een overzicht van Belgische websites die nog niet automatisch van HTTP naar HTTPS redirecten, vind je hier. Voor de Nederlandse lijst kan je hier terecht.

Het zijn evenwel niet alleen de grote websites die moeten maken dat ze HTTPS ondersteunen. Kleine websites zijn net zo verantwoordelijk om hun bezoekers een veilige surfervaring te bieden. Dat hoeft zelfs niet duur te zijn. HTTPS-certificaten van Let’s Encrypt zijn gratis en geschikt voor eenvoudige websites.

Naast verbeterde veiligheid, biedt HTTPS bovendien ook commerciële voordelen. De meeste browsers en zoekmachines geven deze websites immers voorrang op HTTP-sites.

Slotje verdwijnt

Onveilige websites worden voortaan als dusdanig gemarkeerd in Chrome. Tegelijk worden ook de positieve beveiligingsindicatoren uitgefaseerd. Vanaf Chrome 69, dat voor september op de planning staat, verdwijnt het woord ‘Veilig’ bij HTTPS-websites en kleurt het groene slotje grijs, om uiteindelijk zelfs helemaal te verdwijnen.

“Gebruikers moeten verwachten dat het internet standaard veilig is en dat ze worden gewaarschuwd wanneer er een probleem is”, verklaart Emily Schechter, productmanager voor Chrome Security, die beslissing in een blogpost.