Chrome krijgt modus voor https-only

De Google Chrome-browser krijgt binnenkort een Https-Only Mode. In deze modus worden alle URL's geüpgraded naar https-links, tenzij er geen https-versie is. Dan krijgt de gebruiker een waarschuwingspagina te zien met de vraag of hij of zij alsnog wil doorklikken.

De modus wordt in Chrome in te schakelen via chrome://flags. Deze instelling is automatisch uitgeschakeld. Volgens 9to5Google zorgt de instelling indien ingeschakeld ervoor dat alle bezochte sites automatisch worden geüpgraded naar https. Chrome doet dit nu al wanneer de gebruiker niet in de URL schrijft of het om een http- of https-URL gaat. De https-only-modus lijkt dan ook vooral handig te zijn voor wanneer gebruikers op een link klikken, of wanneer gebruikers handmatig http:// voor een URL schrijven.

Mocht de site geen https-versie hebben, omdat het bijvoorbeeld om een oude site gaat of omdat dit bewust gedeactiveerd is, dan krijgt de gebruiker bij het navigeren naar de website eerst een waarschuwing te zien. Vermoedelijk komt er in deze waarschuwing te staan dat de site geen https ondersteunt.

De gebruiker krijgt dan de keuze om verder te navigeren of om naar een andere site te gaan. Chrome zal de keuze van de gebruiker opslaan en de volgende keer geen waarschuwingspagina tonen. Wanneer de https-only-modus verschijnt, is niet bekend. Onder meer Firefox heeft sinds versie 83 een vergelijkbare functie.

Door Hayte Hugo

Redacteur

Feedback • 30-06-2021 10:58 44

30-06-2021 • 10:58

44

Lees meer

Optioneel 'view source'-verbod Chromium werkt na verhelpen 3 jaar oude bug
Optioneel 'view source'-verbod Chromium werkt na verhelpen 3 jaar oude bug Nieuws van 14 november 2021
Google Chrome voor Android krijgt functie om RSS-feeds te volgen
Google Chrome voor Android krijgt functie om RSS-feeds te volgen Nieuws van 9 oktober 2021
EFF stopt met ontwikkeling van Https Everywhere-browserextensie
EFF stopt met ontwikkeling van Https Everywhere-browserextensie Nieuws van 23 september 2021
Google draait Chromium-update met iframes die websites stukmaakt terug
Google draait Chromium-update met iframes die websites stukmaakt terug Nieuws van 5 augustus 2021
Chrome 92 krijgt verbeterde phishingdetectie en wordt minder cpu-intensief
Chrome 92 krijgt verbeterde phishingdetectie en wordt minder cpu-intensief Nieuws van 21 juli 2021
Google test weglaten https-slotje in adresbalk van Chrome
Google test weglaten https-slotje in adresbalk van Chrome Nieuws van 15 juli 2021
Google scherpt veiligheidsregels Chrome Web Store aan in de strijd tegen malware
Google scherpt veiligheidsregels Chrome Web Store aan in de strijd tegen malware Nieuws van 30 juni 2021
Google gaat weer volledige url's tonen in Chrome-browser
Google gaat weer volledige url's tonen in Chrome-browser Nieuws van 12 juni 2021
Edge 92 krijgt Automatic Https-functie die versleutelde verbindingen forceert
Edge 92 krijgt Automatic Https-functie die versleutelde verbindingen forceert Nieuws van 2 juni 2021
Https Everywhere stapt over op DuckDuckGo-regels en wordt uitgefaseerd
Https Everywhere stapt over op DuckDuckGo-regels en wordt uitgefaseerd Nieuws van 19 april 2021
Google brengt Chrome 90 uit en maakt https standaard
Google brengt Chrome 90 uit en maakt https standaard Nieuws van 15 april 2021
Firefox 83 met 'https-only'-modus verschijnt
Firefox 83 met 'https-only'-modus verschijnt Nieuws van 17 november 2020
Meer producten en artikelen
Browsers Google Chrome Chromium Http Https

Reacties (44)

-Moderatie-faq
44
44
15
3
0
23
Wijzig sortering
Vorkie 30 juni 2021 11:16
Enigste vervelende is redirect websites. Dat is wel lastig als je nogal wat merken en diensten hebt….
The Zep Man
@Vorkie30 juni 2021 11:21
Enigste vervelende is redirect websites. Dat is wel lastig als je nogal wat merken en diensten hebt….
Waarom is dat lastig? Normaliseren en automatiseren. Met Let's Encrypt kan het zelfs zonder certificaatkosten.

De HTTP site laat je exclusief een doorverwijzing doen naar de HTTPS site, en de HTTPS site laat je vervolgens doorverwijzen naar waar je de browser heen wil sturen. Voeg een goede HSTS header toe, en je zal HTTP verkeer drastisch zien verminderen over tijd.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 13:39]

Vorkie @The Zep Man30 juni 2021 11:35
Jazeker :-)

Voor mkb allemaal niet zo spannend, zoals ik al zei, merken en diensten + als aanvulling wereldwijd, multinational, IP bewaking en zeker niet vergeten, marketingafdelingen…

Het is wat lastig, niet ondoenbaar. :-)
tom.cx @Vorkie30 juni 2021 11:32
Er zitten sowieso redirect in websites.

Je hebt websites die niet eens meer www.example.com in de DNS hebben. Dan gaat de browser eerst jouw ingetoetste adres controleren en als die niet bereikbaar is gaat hij naar domein.voorbeeld.

Ik kom zelfs nog websites tegen die op het WWW subdomein https://www.example.com niet eens een SSL-certificaat hebben, maar alleen op https://example.com terwijl er vaak helemaal geen kosten zitten op het extra subdomein www. Daarnaast is het natuurlijk zoals @The Zep Man aangeeft eenvoudig te automatiseren met de API's van Let's Encrypt.

[Reactie gewijzigd door tom.cx op 23 juli 2024 13:39]

The Zep Man
@tom.cx30 juni 2021 11:36
Ik kom zelfs nog websites tegen die op het WWW subdomein https://www.example.com niet eens een SSL-certificaat hebben, maar alleen op https://example.com terwijl er vaak helemaal geen kosten zitten op het extra subdomein www. Daarnaast is het natuurlijk zoals @The Zep Man aangeeft eenvoudig te automatiseren met de API's van Let's Encrypt.
En bij Let's Encrypt kan je het www subdomein (gratis) aan het certificaat toevoegen. ;)
tom.cx @The Zep Man30 juni 2021 11:38
Zeker. Het is zelfs mogelijk om wildcard certificaten aan te vragen. Hier moet je alleen wel op DNS niveau de authenticatie kunnen doen. De eenvoudige authenticatie d.m.v. het uploaden van bijv. een HTML bestand of het maken van een bepaalde map werkt daar niet voor.
Verwijderd @tom.cx30 juni 2021 15:03
Het internet kan volgens mij op die manier ook sneller, als je niet eerst het domein oproept met http:// maar ipv daarvan direct de https raadpleegt. Bij de aanroep zit er wat DNS tijd en time to first byte tussen, om zo een 301 te versturen naar de https versie. Skip die stap en het wordt inderdaad sneller.

Maar goed; wie vandaag de dag nog een site zonder https bouwt.
tom.cx 30 juni 2021 11:01
Mooie funtie. Ik heb het in Firefox ook aanstaan. Dan heb je https Everywhere niet meer nodig als extensie.
Je krijgt dan keurig een melding als een site nog http-only is en of je deze überhaupt nog wel wil bezoeken.
Marve79 @tom.cx30 juni 2021 11:06
Het verbaast me hoeveel websites van bijv ondernemers nog http zijn. Laatst wilde ik een tafel boeken bij een michelin restaurant en die had nog http en vroeg zelfs om credit card gegevens om de boeking te bevestigen. Toen maar ergens anders gaan eten.

Michelin zou die ster om die reden eigenlijk al af moeten pakken.
breezie @Marve7930 juni 2021 11:09
Het kan ook zo zijn dat het formulier voor invoer van de reservatie/creditcard in een iframe met https draait. Dan is er volgens mij geen probleem.
TTommie @breezie30 juni 2021 11:15
Ook dit is niet secure. ;-)

Common ways iFrames are exploited
Clickjacking or UI redress attack – a popular way of tricking a user to click on a button or link that is overlaid on top of your website. The user thinks they’re clicking on your website or button, but instead, they’re clicking on a transparent or camouflaged button that takes them to the attacker’s site. This will cause your customers to think they’re on your website when they’re in fact providing their information to the attacker.

Unauthorized content republishing – Other website owners may use iFrames to portion out some of your unique content to display on their website instead of getting permission to use this content, or directing their users to your website.
breezie @TTommie30 juni 2021 12:38
Goed punt. Niet bij stil gestaan.
zarex @TTommie1 juli 2021 08:54
En daarom laat apple (terecht) in de safari browsers geen cookies meer toe in iframes.
Marve79 @breezie30 juni 2021 11:11
Nee dat was dus niet zo want Chrome zei iets in de trend van: Automatisch aanvullen van credit card gegevens is uitgeschakeld omdat er geen HTTPS aanwezig is.
The Zep Man
@breezie30 juni 2021 11:12
Het kan ook zo zijn dat het formulier voor invoer van de reservatie/creditcard in een iframe met https draait.
Hoe verifieer je dat als gebruiker? ;)

Verder kan een HTTP site ook nare zaken injecteren. Juist doordat je begint met een onbetrouwbare verbinding is niets te vertrouwen.
gimbal @The Zep Man30 juni 2021 15:05
Als power user kun je het controleren met de developer tools. Even de page inspector gebruiken, juiste elementje selecteren en je ziet al snel wat er onder water gebruikt is en waar het naartoe gaat.

Maar dat is wel redelijk over de top, het praat slecht design niet goed.
SebasFM @breezie30 juni 2021 11:15
Als het goed is krijg je dan van je browser een waarschuwing dat er mixed content (deels http, deels https) op de pagina is te vinden.
David Mulder @breezie30 juni 2021 14:00
Dit is insecure want een mitm kan dan gewoon de 'hoofdwebsite' vervangen door een versie van de website met een iframe van zichzelf. Iframe dat https gebruikt beschermd enkel tegen passieve aanvallen, niet tegen actieve... en is dus min of meer compleet nutteloos.
Mathi159 @Marve7930 juni 2021 11:08
Mwah, dat is een beetje als een IT keurmerk afpakken omdat de programmeur niet kan koken...
Marve79 @Mathi15930 juni 2021 11:10
Nee want koken staat los van programmeren, maar de website van een restaurant maakt deel uit van de kwaliteit/beleving ervan (wat mij betreft). En je hoeft geen website beheerder te zijn als kok maar je kunt het toch uitbesteden. Een simpele wordpress website met https kost je echt werkelijk bijna niks.
Berlinetta @Marve7930 juni 2021 11:21
Kennelijk voor de meeste mensen teveel.
Brummetje @Marve7930 juni 2021 11:24
Ook dat kan je weer omdraaien. Je hoeft geen kok te zijn als programmeur maar je kunt het toch uitbesteden.

Ben het absoluut met je eens dat het niet heel netjes is en ook wel dom te noemen. Maar een Michelin ster heeft niks met de website te maken.
RGAT @Brummetje30 juni 2021 12:34
En toch, als het restaurant constant last heeft van lekkages door gebrekkig onderhoud (een kok is immers geen bouwvakker, timmerman etc) verwacht ik dat zo'n hok geen sterren krijgt.
Als je als restaurant niet de 0 euro per maand wilt uitgeven (gemiddelde kosten Letsencrypt) aan een veilige site die voldoet aan de wetgeving en de privacy van je klanten iig probeert te beschermen verwacht ik inderdaad dat zo'n friettent niet verder komt in een Michelin test, iets met hoeveel aandacht en zorg ze steken in hun restaurant.
Frame164 @Brummetje30 juni 2021 22:09
Een website is tegenwoordig een integraal onderdeel van een bedrijf. Dus als je dat doet moet het eenzelfde kwaliteit hebben als de rest van je bedrijf. Doe het anders niet.

En als eten van Michelinsterrenkwaliteit is, maar het restaurant heeft een interieur als een snackbar, dan is die ster echt weg. Het geheel wordt beoordeeld, niet alleen het eten. En daar hoort een website gewoon bij. Zeker als je de site kan gebruiken voor boekingen waarbij je persoonsgegevens gebruikt.
.oisyn Moderator Devschuur® @Marve7930 juni 2021 11:57
maar de website van een restaurant maakt deel uit van de kwaliteit/beleving ervan (wat mij betreft)
Dat kun je prima vinden, maar dat is niet waar een Michelin-ster om draait. Dat gaat louter om het voedsel, niet om de ambiance en de beleving. Dus nee, een ster weghalen omdat er geen HTTPS is is net zo onzinnig als een ster weghalen omdat de weg ernaartoe onveilig is.
Frame164 @.oisyn30 juni 2021 22:10
De ambiance telt wel degelijk mee.
.oisyn Moderator Devschuur® @Frame16430 juni 2021 23:51
Nee, daar zijn de bestekjes voor.
De Michelingids heeft als hoofdindeling de 'categorieën'. Deze worden aangeduid met bestekjes. De eenvoudigste categorie voor de restaurants is die met één bestekje ("vrij geriefelijk"); vijf bestekjes vormen de hoogste categorie ("zeer luxueus"). Als de bestekjes rood gekleurd zijn, is het restaurant beoordeeld als 'aangenaam'.

De sterren duiden op uitzonderlijke kwaliteit van een keuken. De sterren zijn in beginsel onafhankelijk van de categorie (het aantal bestekjes dus).
geekeep @Mathi15930 juni 2021 11:19
Mwah, dat is een beetje als een IT keurmerk afpakken omdat de programmeur niet kan koken...
Zou je ook zo redeneren als:
- ingrediënt x mist in het gerecht omdat het ordersysteem (= IT) een bug bevat en de levering niet doorgekomen is?
- je bij de EHBO terecht komt omdat de allergienotitie niet doorgekomen is richting de keuken vanwege brakke Wifi (= IT)?
- een avond kou lijdt omdat het klimaatsysteem (= IT) iets te enthousiast is?
- er geen rekening uitgedraaid kan worden vanwege papiergebrek omdat het voorraadsysteem (= IT) niet synchroniseert?
CH4OS @tom.cx30 juni 2021 11:24
Ik kwam vandaag de optie ook tegen, toen ik de password manager uitschakelde (ik gebruik al twee password managers, een persoonlijk (Enpass) en een zakelijk (LastPass), een derde erbij is dan wat overbodig. Ik zat te denken om HTTPS-only in te schakelen, maar wist niet of Firefox ook dit zou doen wat je nu beschrijft. Bedankt voor de bevestiging, kan ik die optie nu ook met een gerust hart inschakelen.
Magic Power @tom.cx30 juni 2021 13:06
Hier hetzelfde. In Firefox had ik de extensie Https Everywhere ook gebruikt, maar nu regelt Firefox dat zelf. Van de websites die ik bezoek zijn ze praktisch allemaal Https, behalve één website die ik regelmatig bezoek. Daarvoor heb ik een uitzondering gemaakt, zodat ik op de bookmark kan klikken zonder dat ik telkens die melding voor die website krijg.
P1nGu1n 30 juni 2021 11:34
Voor wie het interessant vindt om de implementatie te zien (in C++):Er komt toch meer bij kijken dan je zou denken :P
Sando @P1nGu1n30 juni 2021 11:50
Wellicht interessant om te vermelden dat Brave dit al een paar jaar standaard doet, maar dan met een ingebouwde extensie van de Elektronic Frontier Foundation geloof ik.

Het is dus best veel werk om dit "gewoon" in te bouwen. Fijn dat Chromium dit nu gaat doen.

En jammer dat Tweakers het over Chrome heeft, dat moet Chromium zijn, waardoor het uiteindelijk in veel meer browsers dan alleen Chrome komt. Denk aan Brave, Edge, Opera, en het in Linux populaire Chromium zelf natuurlijk.
P1nGu1n @Sando30 juni 2021 11:56
Brave doet niet hetzelfde, Brave heeft HTTPS Everywhere ingebouwd. Dat gebruikt een gigantische whitelist van websites die HTTPS ondersteunen, en redirect alleen websites naar HTTPS die op die lijst staan. Deze feature in Chromium redirect alle websites naar HTTPS, en toont een scherm wanneer een website geen HTTPS ondersteunt.
Sando @P1nGu1n1 juli 2021 01:32
Brave heeft HTTPS Everywhere ingebouwd.
Dat is dus die extensie van de Electronic Frontier Foundation die ik bedoel. Die gebruikt inderdaad een lijst (die tegenwoordig constant wordt geüpdatet door de crawlers van DuckDuckGo.)

Overigens toont Brave ook een scherm als de website opeens naar http gaat. AliExpress doet dat bijvoorbeeld bij elke zoekopdracht, wat op zichzelf een interessant stiekem principe is.
The information you’re about to submit is not secure
Because this form is being submitted using a connection that’s not secure, your information will be visible to others.
Blacklight447 30 juni 2021 11:58
Ik kan niet wachten op de dag dat dit de standard word, en dat http mode iets zal worden dat je aan moet zetten met een flag :)
Marctraider 30 juni 2021 11:10
Damn, die lopen dan achter. Heeft Firefox al een behoorlijke tijd.
bitflusher @Marctraider30 juni 2021 11:50
Zoals in het artikel ook staat
Onder meer Firefox heeft sinds versie 83 een vergelijkbare functie.
FrankHe 30 juni 2021 11:25
Een goede zaak dat ze dit doen. Het hangt natuurlijk al een hele tijd in de lucht. Google promoot al een hele lange tijd het gebruik van HTTPS en houdt daar in de rangschikking van zoekresultaten ook al rekening mee. Daardoor is het ook niet meer dan logisch dat ze deze functionaliteit in hun webbrowser activeren.
Generaal Pep 30 juni 2021 11:59
Klinkt hartstikke leuk dat men deze modus gaat toevoegen....

Mij ontgaat alleen volledig waarom dit dan fijn/leuk/handig zou zijn? In het artikel en ook in de comments geen reden kunnen vinden waarom dit een goede functie zou zijn.

[Reactie gewijzigd door Generaal Pep op 23 juli 2024 13:39]

lenwar
@Generaal Pep30 juni 2021 14:19
Het is in z'n algemeen een goed idee dat al het verkeer versleuteld en nog belangrijker ondertekend is. Alle verbindingen die versleuteld en ondertekend zijn, zijn veel minder vatbaar voor een MITM-aanval. Bij een niet-versleutelde verbinding kan een stuk malware (of een malafide ISP) allerlei ongewenste data injecteren in je datastroom met alle gevolgen van dien.

In de VS zijn er een aantal ISPs die zelf advertenties injecteren in de http-datastromen. Bij https is dit redelijkerwijs niet mogelijk.

Doordat je internetverkenner altijd https forceert (of in elk geval een spannende melding geeft dat wat je aan het doen bent potentieel onveilig is) zullen meer en meer websites alleen maar https gaan serveren wat uiteindelijk voor een veiliger internet zorgt.

Zo ben ik persoonlijk ook een groot voorstander van versleutelde (en ondertekende) DNS-verzoeken. Of het DoH of DoT of DoQ is, maakt niet zoveel uit, maar het feit dat reguliere DNS-verzoeken vrijwel ongedetecteerd aangepast kunnen worden, is best problematisch. In combinatie met https is het al minder van ernstig (omdat de malafide doel-server als het goed is niet aan een correct certificaat kan komen), maar er is natuurlijk meer dan alleen https-verkeer.
Generaal Pep @lenwar30 juni 2021 14:30
Oke, interessant! Duidelijk verteld ook! Bedankt

Met deze kennis ben ik het er helemaal mee eens dat browsers https moeten gaan forceren, ja!
Frogmen 30 juni 2021 12:59
Het is prima maar in een testomgeving kan Chrome ook bijzonder lastig zijn als je zelf signed certificaten gebruikt met zelfde IP adressen etc. Tot het irritante aan toe dat je gewoon geen verbinding krijgt. Of is er een cache die je moet legen ofzo?
gimbal @Frogmen30 juni 2021 15:14
Chrome wordt eigenlijk alleen echt irritant als het certificaat verlopen is, dan moet je "thisisunsafe" intikken om door de blokkade heen te komen (alsof het een Doom cheat code is, wie verzint dat). Als het niet verlopen is dan krijg je enkel een waarschuwing waar je doorheen moet klikken.

Op zich oplosbaar door geen self-signed certificaten te gebruiken maar letsencrypt certificaten.
Frogmen @gimbal30 juni 2021 16:58
Waar tik je dat in ? (in een test omgeving en puur IP verbindingen werkt letsincript niet zo)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq