Is mijn website altijd voldoende beveiligd met een SSL certificaat ?
Fastread: nee.
Het beveiligen van het websiteverkeer met een SSL certificaat alleen is veilig, maar niet zaligmakend.
Met alleen een certificaat ben je er niet. De hackers zitten niet stil.
Daarom zijn er verschillende ondersteunende technieken ontwikkeld die de veiligheid beter maken.
Technieken die eigenlijk verplicht zouden moeten zijn om klanten geen vals gevoel van veiligheid te geven.
Een van die technieken (die wij standaard ondersteunen) is HSTS.
HTTP Strict Transport Security (HSTS) is een serverinstelling die het gebruik van een veilige verbinding afdwingt.
HSTS vertelt een browser om een website voortaan alleen via HTTPS te bezoeken.
Het is met andere woorden een beveiligingsmechanisme, nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade attacks.
Het vereenvoudigt ook de bescherming tegen cookie/session hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol.
Bij gebruik van HSTS wordt door de browser gecontroleerd of er verbinding wordt gemaakt met een door SSL beveiligde pagina. (Wat is SSL?)Als dit niet het geval is worden bezoekers van een website automatisch doorgestuurd van http naar https en dus naar de beveiligde versie van de website. Indien er geen beveiligde verbinding mogelijk is krijgt de bezoeker een foutmelding te zien, en wordt de verbinding geweigerd. Het gebruik van HSTS kan ‘man in the middle‘ aanvallen voorkomen, omdat een website op deze manier niet omgeleid kan worden naar een onbeveiligde pagina.
Hoe ?
De techniek werkt zo dat we in de HTTP-header direct aangeven hoe lang de instructie bewaard moet worden door middel van een ‘max-age’ setting. Ook kunnen we aangeven of de instelling ook geldig is voor subdomeinen. Sommige klanten hebben die wens.
Conclusie en de kracht van HSTS:
Als een website HSTS gebruikt, zal een bezoeker na het eerste bezoek de website altijd via HTTPS bezoeken.
Dit voorkomt dat mogelijke aanvallers verkeer kunnen omleiden via HTTP.
Ondanks de toegevoegde waarde blijkt uit cijfers van Netcraft dat in januari 2016 slechts 4,4% van de certificaten deze optie gebruikt.
Kwaaijongens hoort bij deze 4%.
Er zijn nog verschillende andere SSL instellingen en technieken die de veiligheid vergroten en die wij ook ondersteunen.
In een andere post ga ik daar wel eens dieper op in.
Het kan de lezer een hint van inzicht geven in de (bijna oneindige) complexiteit van ‘cyber security’.