‘Lang niet alle sites met SSL-certificaat zijn ook echt veilig’

Abonneer je gratis op Techzine!

Er zijn voor consumenten een aantal manieren om te bepalen of een website veilig is. Zo kan er gekeken worden naar het webadres: begint dat met https:// dan is het vrijwel zeker een veilige site. Dat soort sites worden ook zo aangemerkt door browsers, doordat ze naast de adresbalk een groen slotje weergeven. Dat slotje blijkt echter lang niet altijd een garantie.

Dat meldt de NOS op basis van eigen onderzoek. De staatsomroep controleerde of sites wel terecht het predicaat ‘veilig’ krijgen. Daarvoor gebruikte men diverse zwarte lijsten voor onveilige websites. Het bleek dat meer dan 4.300 sites die op zwarte lijsten staan, toch als veilig aangemerkt worden.

SSL-certificaten

Dat komt vooral doordat sites in veel gevallen het predicaat ‘veilig’ hadden gekregen en pas daarna op de zwarte lijsten terecht kwamen. Het gaat dan om de lijsten van het SANS-instituut, Artists Against 419, MalwareDomainList en OpenPhish. De NOS bekeek of sites een geldig SSL-certificaat hadden en als dat zo was, welke autoriteit dat certificaat uitgegeven had.

Het bleek bij veel organisaties kinderlijk eenvoudig om een SSL-certificaat aan te vragen. Diensten als LetsEncrypt, CPanel en Comodo verleenden die binnen enkele seconden, waarmee sites als veilig aangemerkt worden door browsers. Dat is niet altijd het geval: de SSL-diensten kijken enkel of een site over een veilige verbinding beschikken.

Dat is volgens de NOS en kenners die het sprak niet langer voldoende. Een beveiligde verbinding wil immers niets zeggen over de inhoud van een site.