Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Google heeft een nieuw onderdeel aan zijn transparency report over https-gebruik toegevoegd, waarin de toename van het gebruik sinds 2015 is te zien. Daaruit blijkt dat inmiddels 51 procent van het webverkeer in de Windows-versie van de Chrome-browser via https verloopt.

Aan de cijfers op de site van de transparantierapporten is te zien dat het Chrome-verkeer op alle desktopbesturingssystemen in meer dan de helft van de gevallen via een beveiligde verbinding verloopt. Voor Windows was dat een jaar geleden nog 42 procent, waarmee een stijging van negen procentpunten is waar te nemen. Een soortgelijke groei is daarnaast op Mac-, Chrome OS- en Linux-systemen te zien. In een bijbehorende blogpost spreekt het Google-beveiligingsteam de verwachting uit dat https-gebruik alleen zal toenemen.

Het enige gemeten mobiele besturingssysteem is Android. Dat scoort het laagst van alle platformen met een percentage van 42 procent. Een jaar geleden was dat nog 34 procent, waardoor ook daar een groei heeft plaatsgevonden. De cijfers van Google, die afkomstig zijn van Chrome-gebruikers die statistieken met de zoekgigant delen, geven bovendien informatie over de tijd die gebruikers op https-sites doorbrengen.

google https stats

Zo blijkt dat Linux-gebruikers 83 procent van de tijd dat zij webpagina's bezoeken van een https-site gebruikmaken. Voor de overige desktopsystemen liggen de percentages rond de zeventig procent. Ook hier scoren Android-gebruikers weer laag met een percentage van veertig procent.

Bij een https-verbinding vindt versleuteling van de gegevens tussen een server en een gebruiker plaats, bijvoorbeeld aan de hand van tls. Daardoor kan een derde partij onderschepte communicatie niet zonder meer inzien. Onlangs kondigde Google aan dat het loginpagina's die geen https gebruiken als onveilig gaat markeren. De Nederlandse Autoriteit Persoonsgegevens is van mening dat https verplicht is als gebruikers bijzondere persoonsgegevens via het internet versturen, bijvoorbeeld via een contactformulier.

Moderatie-faq Wijzig weergave

Reacties (64)

Een extensie als HTPPS Everywhere: https://chrome.google.com...clmclpchllfjekcdonpmejbdp

draagt misschien ook bij aan dit beeld. Deze leid je automatisch om naar https indien beschikbaar.
Bedankt voor de tip. Ga ik zeker eens uitproberen.

Wij zijn als hosting club inmiddels begonnen met de uitrol van LetsEncrypt in combinatie met HSTS. ( Uiteraard allemaal met toestemming van de klant )

Het zetten van de HSTS header zorgt er voor dat nadat een bezoeker je site heeft bekeken heeft via https, alle toekomstige bezoeken van deze browser direct naar HTTPS gaan. HTTP wordt zelf onbruikbaar gemaakt.

Dus:
Eerste bezoek van de site. http://<domein> -> redirect -> <https://<domein>
Tweede bezoek van de site. direct naar https://<domein>

Na het activeren van HSTS laten we deze vervolgens 'preloaden' via https://hstspreload.appspot.com

Dit is een lijst die door vrijwel grote browsers gebruikt wordt en bevat een statische lijst met alle domeinen waarvan HTTP uitgeschakeld geacht wordt te zijn. Als je de site dan bezoekt ga je direct naar https://<domein>. Ook al ben je nog nooit eerder op deze site geweest.

Mijn verwachting is samen met Google dat HTTPS een grote opmars zal maken de komende tijd. Op termijn verwacht ik dat vrijwel het hele web HTTPS only zal worden.
Met services als Lets Encrypt zijn er geen excuses meer om geen HTTPS in te voeren.

Laatst kwam ik nog een partij tegen zonder HTTPS. Type aanbieder boekhoudsoftware. Prutsers!
Euh jawel. Mijn hoster bied het niet aan :(

Kan wel via een hele ingewikkelde omweg, beetje klooien ben ik niet vies van maar hier kwam ik iig geen wegwijs uit. Ze zeggen dat het komt doordat ze een custom versie van directadmin draaien maar volgens mij doen ze het gewoon om eigen SSL certificaten te pushen.
En dat zet voor mij kosten technisch geen zoden aan de dijk :(

Dus als het had gekund had ik het graag via Let's Encrypt gedaan maar helaas niet voor iedereen mogelijk....
Hangt er van af wat je website is maar als je persoonsgegevens verwerkt (v.b. contactformulier of login) heb je simpelweg geen keus. De wet verplicht dan https.

Als dat hier het geval is zul je dus of gewoon moeten betalen voor een certificaat (niet bezuinigen op veiligheid) of een andere hoster kiezen waar je wel letsencrypt kan gebruiken.
Volgens mij heeft een betaald https certificaat nog steeds een A grade. Wat is dat van die Lets encrypt?
LetsEncrypt krijgt ook netjes een A rating bij sites als SSL Labs. Met HSTS aan een A+. ( laatste geld ook voor commerciele certificaten.

Het enige certificaat waar je nog voor zou moeten willen betalen zijn wildcard certificaten ( *.domein.nl ) of EV certificaten. ( Certificaten waarbij de bedrijfsnaam in de balk getoond wordt zoals bij bijvoorbeeld www.bol.com

Deze twee varianten zijn namelijk nog niet mogelijk met LetsEncrypt. ( En ik verwacht dat dit ook niet zal gebeuren. )
Cloudflare is mogelijk je oplossing zonder dat beetje klooien en kost je niks.
Zo te horen zit je bij Antagonist. ;) De reden dat het voor hun een probleem is om het aan te bieden heeft te maken met hoe hun hostingplatform in elkaar steekt. Het is niet een kwestie van even een vinkje zetten zodat het via directadmin werkt.

Ze zijn er publiekelijk vrij duidelijk over dat ze het graag zouden willen aanbieden en dat ze het niet zien als concurrentie mbt betaalde certificaten. Appels en peren.

Maar ze geven wel degelijk de mogelijkheid Lets Encrypt te kunnen gebruiken door de juiste tool te installeren via ssh.

Zoek in de link hieronder even naar de post van 2 augustus door WouterNL.
https://forum.antagonist.....php?f=2&t=13121&start=45

Werkt perfect en ben zelf momenteel bezig een script te maken die het vernieuw-proces automatiseert, aangezien het voor ons gaat om zo'n 48 domeinen is handmatig nogal veel werk. Maar ook dat is dus relatief simpel op te lossen via de api.

Alleen omdat iets niet point-and-click is, betekend nog niet dat het niet kan.
Een excuus is als de server of die client geen sni ondersteunt. IIS 7.5 bijvoorbeeld.
En ik vind dat er geen excuus meer is om nog zo'n antiek fossiel als IIS 7 te gebruiken. Als je perse op een oud platform wilt draaien kun je altijd nog een andere webserver zoals Apache of Nginx installeren.
Windows 2008 R2 wordt nog heel veel gebruikt en ondersteund. Oud fossiel is wat overdreven.
Internet Explorer wordt ook nog veel gebruikt. Dat is ook gewoon een oud fossiel.
Internet Explorer 11 is prima bruikbaar.
Een VHS recorder is ook nog prima bruikbaar, maar daarom ook gewoon een oud fossiel. Als je het meest optimale uit je browser zou willen halen, dan moet je in ieder geval geen Internet Explorer gebruiken.

https://html5test.com/results/desktop.html
Je begon je verhaal met:
"Met services als Lets Encrypt zijn er geen excuses meer om geen HTTPS in te voeren."

Die zijn er wel. Bijvoorbeeld het niet kunnen gebruiken van SNI. Dat is gewoon realiteit. Ook al zou het eventueel anders kunnen. Dat kost tijd en dus geld.

Fossielen, geen fossielen, internet explorer, google'spyware'chrome of wat dan ook doet niet terzake.

[Reactie gewijzigd door HansvDr op 7 november 2016 12:07]

google'spyware'chrome of wat dan ook...
Je bent er dus zo eentje...

Helemaal nergens in het verhaal wordt Chrome benoemd, maar hoppa, daar komt Chrome en Evil Google ineens tevoorschijn. Het waarom is me onduidelijk. Het staat je immers vrij om een andere meer up-to-date browser dan Chrome te gebruiken.

Want in essentie gaat het daar om: up-to-date zijn of niet. Ik vind het de normaalste zaak van de wereld om mijn servers up-to-date te houden, evenals mijn PC en telefoon. Veiligheid is mij in ieder geval wel wat waard.
Jij begint over IE. Dus wie is er zo één????

Een Windows 2008 R2 server wordt nog gewoon ondersteund. En wordt in het bedrijfsleven nog vol op gebruikt. Omzetten kost geld en voor enkel wat https voor veel bedrijven niet de moeite waard.Dat is de praktijk

[Reactie gewijzigd door HansvDr op 7 november 2016 18:29]

Zelfs dat vind geen excuus. IIS 7.5 heeft natuurlijk al lang en breed een opvolger gekregen.

Overigens was hier het excuus anders. Ze zeiden: "Oh, we zijn het vergeten, maar we gaan het direct in orde maken." Pas na 8 weken bleek het gefixed te zijn, want eerder konden de beheerders het niet doen.

En for the record: dit is een toonaangevend bedrijf met een half miljard euro omzet per jaar!
Des te groter het bedrijf, des te langer zo'n traject loopt.

Wij hebben ook meer dan een jaar moeten wachten eer het SHA1 certificaat werd vervangen voor eentje met een SHA2 handtekening. Dat is letterlijk twee weken geleden pas gebeurd.
Een excuus is als de server of die client geen sni ondersteunt. IIS 7.5 bijvoorbeeld.
Dan zet je daar een reverse proxy voor die dat wel ondersteunt (Pound, HAProxy...). Probleem opgelost.
Of je gebruikt dus geen https voor die sites.
En dat is bij de verwerking van persoonsgegevens nou niet echt een optie.
werkt deze ook niet bij iis7.5? nieuwe easy letsencrypt client voor iis

https://github.com/Lone-Coder/letsencrypt-win-simple/releases
Je hoeft geen SNI te ondersteunen natuurlijk om een verbinding m.b.v. een certificaat te beveiligen.
Dat SNI beheervoordelen met zich meebrengt is leuk, maar een gebrek aan betekent niet dat ze dezelfde beveiliging alsnog kunnen gebruiken.
Klopt, maar voor een 2008 server met 200 websitejes van klantjes die amper iets betalen ga je geen 200 ipadressen regelen. Geen sni, dus geen https.

Verhuizen naar een andere server 2012 omdat ze https willen kan, tegen meerkosten. Zie daar een reden om geen https te gebruiken.
Third party dependencies die geen HTTPS ondersteunen, bijvoorbeeld iframes?
Sorry, maar dat is geen excuus maar eerder een gebrek aan architectuur. Dependencies op frames zonder https? Tijd voor een refactor.

1. Beveiliging
2. Functionaliteit
Gebrek aan architectuur?! Kan gewoon een klantwens/eis zijn.....
Misschien nog te weinig praktijkervaring?
Muah, dat denk ik niet. Ik zal alleen een klant vertellen dat voor dat iframe gewoon een certificaatje op de host moet, en anders niet. Dan kan het opeen snel gedaan zijn hoor...

Ik besef me prima dat iframes soms moeten vanwege vendor X die iets geklust heeft dat in de template moet. Maar hard dependen op iets zonder https op een secure omgeving is gewoon not done...
-

[Reactie gewijzigd door madcow22 op 6 november 2016 03:18]

Heb onlangs geprobeerd om een Let's Encrypt certificaat te installeren op mijn Synology, maar helaas zonder succes. Tijdens de aanvraag wordt me gevraagd om een emailadres van mijn domein in te geven. Aangezien ik geen mail server heb, heb ik dat niet. Een gmail adres opgeven gaat niet.
Volstrekt logisch natuurlijk.
Yup, Let's Encrypt was voor mij de doorbraak. Vooral omdat het zichzelf up to date houdt. Bij de meeste andere providers moet je om de zoveel jaar manueel alles gaan updaten. Allemaal goed en wel als je je er full time mee kan bezig houden, maar als je freelance sites opzet is het echt miserie om dat soort dingen goed te tracken. Bij updates maakt het niet uit als ik eens een weekje later ben door omstandigheden, maar als een certificaat vervalt ligt het hele bedrijf stil in sommige gevallen.

Let's Encrypt was daar dus de oplossing die ik nodig had. Automatisch, en ook nog eens gratis waardoor ik niet elke 2 jaar moet uitleggen waarom ze die rekening echt wel moeten betalen. Dankzij de logs heb ik ook weken op voorhand een waarschuwing als er toch iets mis gegaan is met het updaten van het certificaat waardoor ik meer dan genoeg tijd heb om een oplossing te zoeken.

Echt een super initiatief. Dit had echt al 10 jaar geleden moeten bestaan.
Het is een open source project van de Linux Foundation. Alle kosten worden betaald door sponsors. Het is inderdaad bijna te mooi om waar te zijn, maar het feit dat de Linux Foundation met grote namen als sponsors hier achter zit geeft mij genoeg vertrouwen.
De code is opensource en de dienst CA is gratis te gebruiken.

En natuurlijk hebben ze sponsers, wat de sponsers betalen krijgen kunnen ze terug vragen aan de belasting.
ISRG is a California public benefit corporation
Alleen vertrouwelijke gegevens over HTTPS is nog steeds niet veilig genoeg.
De enige veilige methode is om AL het verkeer van een site over HTTPS te laten lopen.
ik verbaas me soms nog over de laksheid van sommigen. neem nou pdfmerge.com als je gevoelige documenten wil uploaden, dan moet je zelf naar https gaan. Waarom is dat niet standaard? als je de tijd hebt om dat er even in te tikken, dan heb je ook tijd om even een http redirect te doen, dan wel via html tags, dan wel via javascript, dan wel via nginx/apache.vind ik geen extra service, vind ik een standaard service.
ik verbaas me soms nog over de laksheid van sommigen. neem nou pdfmerge.com als je gevoelige documenten wil uploaden, dan moet je zelf naar https gaan.
Ehm pdfmerge.com en soortgelijke diensten moet je gewoon geen gevoelige documenten uploaden.
Als jij dat wel doet dan ligt de laksheid bij jou...
klopt. was een simpel voorbeeld waar dit duidelijk in voorkomt. Ander voorbeeld. Als je een domein koppelt aan een blogspot, dienst van google. dan kan je geen certificaten gebruiken, kortom je domein is http, terwijl via de subdomein https mogelijk is. gek he? en ja, over blogspot.com, nl en zo hebben ze controle, maar serieus. waarom kun je geen certificaten uploaden. Ik bedoel, het is google!!! dat zelfde bedrijf dat als visie heeft dat iedereen op de https zit.
Precies, mensen die open en bloot belangrijke documenten op zulke servers zetten verdienen sowieso geen computer...
"There is no cloud, it's just somebody else's computer"
Waarom maakt chrome os zo'n rare lijn?
opvallend is ook dat er rond januari 2016 een grote dip zit in vrijwel elk besturingssysteem. Is dit misschien een nieuwe wet die nieuwe eisen stelt aan https?
De daling bij januari zou kunnen omdat dan velen vakantie hebben. Chromebooks zijn in Amerika erg populair (hier nog niet heel erg) en dat kan wel zo'n resultaat geven. Immers thuis zijn er alternatieve systemen.
De grafiek geeft het percentage https verbindingen van het totaal aantal verbindingen via het OS weer. Als er minder verbindingen opgezet worden vanwege vakantie zou de relatieve hoeveelheid https niet perse hoeven te dalen.
In de vakantie gebruik je wellicht een andere mix van sites als op school of op werk.

Of misschien gebruiken velen de schoollaptop uberhaupt amper een tijdje niet, en is de statistiek enkel over de resterende gebruikers. :)
Velen hebben thuis een andere pc dan Chromebook. De andere besturingssystemen laten ook daling zien maar die worden nog enigszins opgevangen door de andere pc. De Chromebook staat vermoedelijk voor onderhoud ofzo op school ff uit te rusten.
Volgens mij het enige correcte antwoord.
Chromebooks zijn in de VS nogal populair op scholen geloof ik, dan is het best mogelijk dat er met kerst en tijdens de zomervakantie een duidelijke dip is.
Hartstikke leuk dat https, maar het was voor mij onlangs verdomde lastig om via het internet enkele bestanden naar mijzelf toe te sturen op een usb-loze Pentium 1 laptop met Windows 98 erop. 'Vroeger' kon je nog surfen naar vele sites, het zag er misschien niet uit maar het functioneerde nog een beetje. Nu had ik moeite om überhaupt een werkende website te vinden omdat https nou niet echt goed ondersteund wordt door browsers die op Windows 98 draaien. Op een gegeven moment eindelijk een website zonder https gevonden waar ik een emailadres kon aanmaken zodat ik eindelijk die paar documentjes kon versturen, wil de browser geen captchas weergeven :X :X Uiteindelijk maar gewoon de harde schijf uit de laptop gehaald, kostte mij veel minder moeite :9
Ik verlang af en toe terug naar de "IE6 horror" van jaren geleden. Vandaag de dag is de mobile-first, dikke vinger naar phablets, responsiveterror, Chrome-fetish en https schijnveiligeid via 30 thirdparty domeinen met nog een bak Jquery ellende als lazy load velen malen erger. In de IE tijd had je gewoon renderfouten. Nu heb je vaak een blanco scherm, of krijg je alles in een formaat voor slechtzienden met 30% van de functionaliteit.

[Reactie gewijzigd door blanka op 5 november 2016 09:45]

Lekker offtopic natuurlijk ondertussen, maar ik denk dat ftp nog wel eens de oplossing had kunnen zijn voor je. Natuurlijk is het ook bijzonder amusant om zo'n oude laptop open te schroeven. Toen zat er vaak nog lege ruimte op heel veel plaatsen! _/-\o_ :Y)

Ontopic: Sinds Let's Encrypt initiatief krijgen klanten dit van mij als service erbij. Kost weinig tijd om 1x in te stellen en daarna loopt het vanzelf via DirectAdmin door. Moet wel binnenkort mijn belangrijkste certicaat vervangen, nu nog bij StartCom SSL. Die gaat er uit na dat debacle van laatst. Iemand een goede tip voor voordelig wildcard certificaat?

[Reactie gewijzigd door Sjarelke op 6 november 2016 03:16]

Yup, same here naar dan met cPanel. SSL kan gratis geïnstalleerd worden of men besteld ze gewoon via client area erbij. Wildcard.... bij mij? Ik gebruik al jaren Comodo aangezien ze prijstechnisch voordelig zijn maar toch alle types aanbieden met sterke keys.
Het werd een beetje een spelletje voor mij, ik wilde mij beperken tot de mogelijkheden van de laptop zelf en moest dus op de laptop zonder hulpmiddelen ervoor zien te zorgen dat de data overgezet kon worden. Als ik er nog meer moeite in had gestoken had ik vast wel een https loze website gevonden die gratis ftp aanbood, maar was bang dat ik dan ook weer tegen captchas aan zou lopen. En na meer dan een uur gekloot was ik er gewoon klaar mee haha :P Maar ja, offtopic is het zeker.
Mensen die zich afvragen hoe het komt dat Google weet hoeveel https verbindingen door Chrome worden gebruikt :
Since early 2015, we have measured the prevalence of HTTPS connections, thanks to Chrome users who share usage statistics.
Default staat dit (natuurlijk) aan, je kunt het uitzetten onder Chrome/settings/show advanced settings

Zo 'advanced' vind ik deze setting overigens niet, kennelijk moet de setting een beetje lastig te vinden zijn.
wanneer je chrome installeert dan vragen ze dat heel duidelijk alfred
Klopt. Dit staat er al voordat je uberhaupt ook maar iets gedownload hebt vlak boven de download knop.
Het is natuurlijk wel heel erg dat Google dit weet en deelt met de wereld.... /s
Maar je stelt nu de verkeerde vraag: als ze dit weten, wat meten ze dan nog allemaal?
Googles HTTPS push komt grotendeels uit het verlangen om zelf zicht op alles te houden zonder anderen iets te delen. Kijk naar het intrekken van referrers in Google. Als je bij hun via https google analytics afneemt kun je nog iets zien, maar voor buitenstaanders houdt het op. Zelf volgen ze alles. De drijfveren zijn minder nobel dan gepresenteerd. Alles om Facebook bij te benen, de alles omarmende ommuurde tuin waar Google zelf niet bij mag.

[Reactie gewijzigd door blanka op 5 november 2016 09:54]

God Jezus... Sommigen gaan wel heel serieus in op je comment. Misschien moet je de volgende keer de /s volledige uitschrijven. ;-)
Alleen jammer dat als ik inoreader via https gebruik, ik de previewfunctie niet kan gebruiken. Die functie is juist zo makkelijk, want anders moet ik de feed steeds in een nieuwe tab openen en dat wil ik niet.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True