Zonder de encryptie te kraken kunnen partijen die verkeer doorgeven of aftappen met 89 procent zekerheid vaststellen welke pagina's op een HTTPS-beveiligde site worden bezocht. Dat bewijzen onderzoekers van de Berkeley universiteit in een nieuwe studie, getiteld I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis.

HTTPS-verkeer heeft vingerafdruk

HTTPS versleutelt niet alleen de inhoud van het verkeer tussen browser en server, maar ook specifieke url's, headers en cookies. Dus een provider of aftapper kan alleen zien tussen welke IP-adressen het verkeer loopt. Hieruit kan vaak wel het domein worden afgeleid (bijvoorbeeld: plastischechirurgie.nl) maar niet welke specifieke pagina's (url's) worden bezocht.

Geen enkele tussenpartij op het internet kan dus achterhalen of je op deze site komt voor een noodzakelijke huidtransplantatie na een brandwond of voor een penisvergroting.

Maar helaas is die privacy ons niet meer gegund. Door het meten, clusteren en analyseren van kleine variaties in een berg HTTPS-verkeer (6000 pagina's van 10 sites) kunnen patronen worden achterhaald, waaruit met behoorlijke zekerheid het opvragen van specifieke webpagina's kan worden gededuceerd. Deze variaties worden veroorzaakt door bijvoorbeeld pakketgrootte, caching, dynamisch gegenereerde content, of specifieke content gerelateerd aan gebruikers zoals cookies.

Oplossing: injectie van loze data

De onderzoekers richten hun 'aanval' door middel van verkeersanalyse op een tiental grote sites, waaronder Netflix, YouTube, en sites van verschillende banken, verzekeraars en een medische kliniek. Een mogelijke verdediging tegen de aanval is het toevoegen van wat extra, loze data tussen de TCP- en de applicatielaag waardoor er geen uniek patroon in het HTTPS-verkeer meer valt te ontwaren.