Het groene slotje biedt geen garanties. Maar wat dan wel?

Onlangs kwam de NOS met een onderzoek naar buiten waarbij ze duizenden websites onder de loep namen die op 4 zwarte lijsten staan. Daarvan bleken er 4.300 een werkend ‘groen slotje’ te hebben, wat wil zeggen dat de site voorzien is van een geldig SSL-certificaat. Volgens de NOS krijgen sites door dit slotje ten onrechte het predicaat ‘veilig’. In dit geval staan de websites al op een zwarte lijst, maar voordat ze daarop werden geplaatst, beoordeelden veel consumenten ze dus als ‘veilig’. Maar als je het groene slotje niet meer kan vertrouwen, waarop dan wel? En wat kun je als website- of webshophouder doen?

Thumb-https

Criminelen misbruiken groene slotje

Internetgebruikers wordt geadviseerd om op het groene slotje te letten. Daaraan zou je kunnen zien of een website veilig is. Vroeger was het installeren van een SSL-certificaat namelijk iets wat veel tijd en geld kostte. Criminelen lieten dit daarom vaak achterwege. Tegenwoordig is het installeren van een certificaat met behulp van gratis tools als LetsEncrypt een fluitje van een cent. Dat is ook meteen de keerzijde. Veel criminelen maken nu juist gebruik van dit groene slotje om zich voor te doen als betrouwbare partij. Internetgebruikers zien het groene slotje, associëren dit met betrouwbaarheid en gaan er ten onrechte vanuit dat de website veilig is.

Kies voor uitgebreide validatie

Pim Pastoors, productmanager bij SIDN, vertelt: ‘Het is van belang dat de beeldvorming rondom het groene slotje gaat veranderen. Een groen slotje geeft geen garantie dat de inhoud op de website ook daadwerkelijk veilig is. 'Veilig' slaat alleen op de beveiliging van de verbinding. Het zorgt ervoor dat criminelen bijvoorbeeld niet kunnen meekijken als je gevoelige gegevens invult. Ik adviseer bedrijven en webshops om te kiezen voor een EV-certificaat (extended validation). De verstrekker van dit type certificaat neemt alle bedrijfsgegevens op nadat hij dit grondig gecontroleerd heeft bij de Kamer van Koophandel. Daarnaast word jij als webshopeigenaar gevalideerd als aanvrager van het certificaat. Dat maakt het een veiligere site, maar ook mét slotje moet je altijd kritisch blijven op de inhoud van de website. Alleen dit uitgebreidere SSL-certificaat zorgt ook voor de bedrijfsnaam naast het bekende groene slotje in je adresbalk en bewijst internetgebruikers dat ze met de juiste partij te maken hebben.’

Slechts 1 van de 10 grootste Nederlandse nieuwssites heeft een EV-certificaat

Pim: ‘Kijk je bijvoorbeeld naar de 10 grootste Nederlandse nieuwssites*, dan heeft maar 1 partij een EV-certificaat. Zeker in een tijdperk waarin nepnieuws aan de orde van de dag is, kan ik me voorstellen dat je als nieuwssite je betrouwbaarheid wil kunnen aantonen.’

nieuwssite EV-certificaat
nu.nl nee
nos.nl ja
ad.nl nee
telegraaf.nl nee
rtlnieuws.nl nee
volkskrant.nl nee
nrc.nl nee
trouw.nl nee
parool.nl nee
metronieuws.nl nee

* ‘De 80 grootste websites en meest gebruikte apps van Nederland’, Consultancy.nl, geraadpleegd op 6 juni 2018

Fake website met groen slotje eenvoudig te regelen

Naast het groene slotje wordt internetgebruikers vaak geadviseerd goed naar de domeinnaam te kijken. Helaas voldoet dat advies vaak niet. Cybercriminelen registreren domeinnamen die nauwelijks te onderscheiden zijn van 'echte' domeinnamen. De NOS nam ook hier de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat. Dit om aan te tonen dat het voor gebruikers lastig is om het onderscheid te maken tussen domeinnamen die ingezet worden voor legitieme of malafide doeleinden en dat een groen slotje dus niet alles zegt.

Monitor je domeinnaam actief

Pim: ‘Banken hebben hun zaken inmiddels wel op orde. Zij monitoren in de meeste gevallen hun domeinnaam proactief en kunnen daardoor snel handelen bij registratie van domeinnamen die sterk lijken op hun merk. Maar het merendeel van de corporates, overheidsinstanties, kleinere bedrijven en webshops doet dit nog niet en daar spelen cybercriminelen op in. Het monitoren van je domeinnaam doe je bijvoorbeeld via onze domeinnaambewakingsservice. Het is een mythe dat het monitoren van domeinnamen duur is. Voor elk bedrijf is er een passende, betaalbare oplossing te vinden, waarmee je potentieel veel reputatie- en financiële schade kunt voorkomen.’

Reacties

Pim-Pastoors

Pim Pastoors

Productmanager

+31 6 570 454 07

pim.pastoors@sidn.nl

  • dinsdag 30 oktober 2018

    Kennis

    SIDN en NBIP werken samen aan DDoS-onderzoek

    NBIP-thumbnail

    Presentatie van het onderzoek op 19 november in Utrecht

    Lees meer
  • vrijdag 1 februari 2019

    SIDN Labs

    Frauduleuze webwinkels ontdekken vóórdat ze beginnen

    Thumb-close-up-of-hands-typing-on-laptop

    Voorspellingen doen op basis van data

    Lees meer
  • dinsdag 30 januari 2018

    .nl-domeinnaam

    Flinke stijging in IPv6 bereikbare domeinnamen

    Thumb-growing-chart

    Incentiveregeling voor registrars werpt z’n vruchten af

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.