Google heeft aangekondigd dat wat Chrome betreft het advies dat we jarenlang aan gebruikers gaven om het groene slotje te zoeken in de prullenbak kan. Vanaf juli doet de browsermaker het andersom en worden gebruikers juist gewaarschuwd voor onveilige verbindingen en kan je zonder melding aannemen dat de site veilig is.

Naar versleuteld web

Het bedrijf probeert daarmee websitebeheerders verder onder druk te zetten om certificaten uit te rollen en al hun pagina's te versleutelen. Deze beslissing om HTTP-sites te markeren als onveilig komt niet uit het niets: Google kondigt dit al aan sinds 2014 en heeft allemaal tussenstappen gezet om HTTP te benadelen ten opzichte van HTTPS.

De omslag naar een versleuteld web is daarmee vrijwel verzekerd, aangezien Chrome inmiddels een marktaandeel heeft van meer dan zestig procent en sitebeheerders dat niet kunnen negeren. Beveiligers prijzen de stappen van Google.

Andere browsers

"Ik hoef mijn moeder niet meer te adviseren op zoek te gaan naar het slotje", zegt Sophos-onderzoeker Chester Wisniewski. "Ze kan gewoon haar computer gebruiken." Maar wat doet de rest? Gaan browsers het voorbeeld volgen van Google, of blijven ze het oude beleid volgen om juist veilige sites te benadrukken? We kijken naar een paar grote alternatieve browsers.

Safari

Apple's browser gebruikt nog het traditionele model: een klein slotje is zichtbaar in de adresbalk als een pagina is beveiligd met een certificaat en verkeer tussen de Mac en de site is versleuteld. Als je geen slotje ziet, versleutelt de site het verkeer niet. Maar er verandert ook het een en ander bij Safari.

Recente versies voor iOS en macOS zetten stappen die Google eerder zette: als een gebruiker bij een onversleutelde site is en informatie in een invulveld probeert in te geven, komt er een rode waarschuwing in de adresbalk te staan met de melding 'Website is onveilig'. Eind maart is deze methode toegevoegd aan het nieuwe macOS 10.13.4 en gebruikers van 10.11 en 10.12 kregen deze update meteen in Safari 11.1.

Firefox

Mozilla volgt ongeveer hetzelfde pad als Google's Chrome en zal uiteindelijk alle sites zonder versleuteling duidelijk markeren. Maar Firefox is nog niet op dat punt aanbeland. Momenteel zie je een slot waar een rode streep doorheen staat als je een onversleutelde pagina bezoekt die wel inloggegevens vereist.

Als je op het uitroeptekentje ervoor klikt, krijg je meer informatie te zien die aangeeft dat de verbinding onveilig is en "ingevoerde aanmeldingen op deze pagina kunnen worden onderschept". Behalve dat, regeert de traditie: HTTPS wordt voorzien van een groen slotje in de adresbalk en reguliere HTTP blijft ongemarkeerd.

Mozilla heeft ook aangegeven deze iconografie te veranderen. "Firefox zal uiteindelijk het doorgehaald slotje laten zien voor alle pagina's die geen HTTPS gebruiken om aan te geven dat ze niet zijn beveiligd", zo zeiden twee beveiligingsengineers van Mozilla bijna anderhalf jaar geleden al in deze blogpost.

De feature om alle HTTP-verbindingen te markeren in Firefox, maar is nog niet standaard ingeschakeld in de huidige versie (60). Gebruikers kunnen hem wel handmatig inschakelen door in een boolean in het uitgebreide configuratie-overzicht aan te passen. Tik about:config in de adresbalk en zoek naar security.insecure_connection_icon.enabled. Met een dubbelklik wordt de waarde omgeschakeld van false naar true.

Chrome

Chrome heeft nog steeds zijn gebruikelijke slotje om HTTPS-sites te markeren en wijst niet heel duidelijk op onversleutelde pagina's, behalve dat je nu een uitroepteken in de adresbalk ziet. Klik daarop om een uitvouwmenu te zien met details over de onbeveiligde verbinding, net zoals Firefox dat doet bij pagina's met invoervelden. Chrome doet het al bij álle pagina's en geeft een waarschuwing weer in de adresbalk als het een pagina is die om credentials vraagt.

Maar Google gaat deze zomer nog een stap verder die de visuele signalen helemaal omdraait. Dat is vanaf Chrome 68, die gepland staat voor de week van 22 juli. Vanaf dat moment worden álle HTTP-sites gemarkeerd als 'Niet veilig' in de adresbalk, op de plek waar je nu Veilig ziet als er sprake is van HTTPS.

De volgende stappen zijn dat het groene veld met 'Veilig' dat je nu bij HTTPS-sites ziet alleen nog maar een slotje wordt. Dat staat gepland voor Chrome 69, die begin september moet uitkomen. Dat is volgens Google een stap richting een neutraler label. Vanaf oktober krijgen HTTP-sites een rood driehoekje naast de tekst 'Niet veilig' (dat ook rood wordt) en die verschijnt zodra je iets in een veld invoert.

Om deze feature nu al in te schakelen (vanaf versie 66) tik je chrome://flags in de adresbalk en zoek je naar het onderdeel 'Mark non-secure origins as non-secure'. Kies 'Enable (mark with a Not Secure warning)' en herstart Chrome. Als je ook het rode pictogram wilt zien dat vanaf Chrome 70 default verschijnt, kies je 'Enable (mark as actively dangerous)'.

Edge

Net als Apple's Safari volgt Microsoft met zijn browser het oude model waarin juist beveiligde sites worden gemarkeerd. Edge geeft een slotje weer links van het adres als een digitaal certificaat garandeert dat het verkeer tussen de Windows 10-machine en de website is versleuteld. Geen slotje betekent HTTP.

Om meer te weten over die onversleutelde site, klikken mensen ook hier op het pictogram 'i' links van de url. "Wees hier voorzichtig", staat er dan te lezen. "Uw verbinding met deze website is niet versleuteld. Hierdoor kan iemand eenvoudiger gevoelige informatie, zoals wachtwoorden, stelen. In tegenstelling tot de andere drie browsers, geeft Edge geen speciale waarschuwing wanneer een HTTP-site een invoerveld heeft en daar begint te typen.