Er is steeds meer kritiek op webwinkels en hun veiligheid. Een van de mogelijke onveilige situaties is het dataverkeer tussen de webwinkel en consument. Dit veiligheidsrisico is deels op te vangen via SSL-certificaten en een veilige HTTPS-verbinding. Maar wat doen deze nu eigenlijk?
HTTPS staat voor ‘HyperText Transfer Protocol Secure’ en heeft als doel een veilige uitwisseling van gegevens te faciliteren. Het is eigenlijk een normale internetverbinding, maar alle data die verzonden wordt gaat via een SSL-verbinding, die het HTTP-verkeer versleutelt. Normaal HTTP-verkeer wordt als onversleutelde tekst over de verbinding verstuurd. Mocht dit verkeer onderschept worden, dan is het zonder iets te kraken uit te lezen. Niet echt veilig dus.
HTTPS is dan ook vooral cruciaal bij het online winkelen dat plaatsvindt bij openbare wifi-spots. Het internetverkeer dat hier plaatsvindt is niet altijd (goed) beveiligd en een normale http-verbinding is dan niet goed genoeg als je privacygevoelige informatie verstuurt. Om die reden is een HTTPS-verbinding wettelijk verplicht als mensen bijvoorbeeld via jouw site aankopen kunnen doen, maar wat veel webwinkeliers niet weten is dat het ook verplicht is als je webwinkel een contactformulier bevat en men dus (privé)gegevens kan achterlaten.
Waarom niet standaard HTTPS gebruiken?
Een van de redenen waarom er nog niet standaard gebruik wordt gemaakt van een HTTPS-verbinding is dat hiervoor een beveiligingscertificaat voor nodig is als je het goed wilt doen, en het ook wilt kunnen tonen aan de gebruiker, en die zijn over het algemeen vrij prijzig.
Een andere reden is dat HTTPS het cachen (van bijvoorbeeld afbeeldingen) tegengaat. Grote websites hebben juist baat bij caching, omdat hun pagina’s hierdoor sneller geladen worden. Standaard een HTTPS-verbinding zou betekenen dat iedere keer wanneer iemand zo’n pagina bezoekt de plaatjes opnieuw ingeladen moeten worden. Mede om die reden zijn alle accountpagina’s van webwinkels vaak redelijk simpel opgemaakt.
Een SSL-certificaat voor jouw HTTPS verbinding
Starten met HTTPS is helemaal niet zo moeilijk. Veel hostingaanbieders bieden standaard op de webhosting ook een mapje met HTTPS. Hier kun je standaard gebruik van maken en gegevens die je via dat mapje uitleest zijn direct versleuteld. Gevoelsmatig zal dit voor jou als webwinkelier misschien al genoeg zijn.
Het nadeel van deze certificaten is dat deze niet voor jou persoonlijk zijn en je de klant hier dus niet zoveel over kunt vertellen. In theorie zou de sleutel te makkelijk te achterhalen zijn, verlopen zijn, of zelfs publiekelijk bekend zijn. Zolang je zelf niet weet wie de sleutel heeft kun je eigenlijk ook niet beweren dat iets achter dit slot werkelijk veilig is. Bij klanten die hier streng op letten is een groen adresbalkje eigenlijk pas reden om data te delen. Die zul je pas zien als je op jouw domein een eigen SSL-verbinding hebt lopen die erkend, gecontroleerd en nog beperkt geldig is.
Garandeert HTTPS veiligheid?
Een HTTPS-verbinding, via een eigen SSL-certificaat is een goed begin, maar niet meer dan dat. Het zegt alleen iets over de transport van de data tussen de consument en jouw webwinkel maar een veel groter risico is wat er vervolgens mee gebeurt. Als jij het vervolgens alsnog publiceert, of onveilig opslaat, is de veilige verbinding natuurlijk compleet nutteloos.
Daarover binnenkort meer!
Dit artikel is geschreven door Dirkjan Vis en verscheen eerder op Webwinkel Weblog
