Https on Netsensei https://www.netsensei.be/tags/https/ Recent content in Https on Netsensei Hugo -- gohugo.io nl-NL matthias@netsensei.nl (Matthias Vandermaesen) matthias@netsensei.nl (Matthias Vandermaesen) Sat, 17 Dec 2016 22:22:58 +0000 Vanaf heden: HTTPS https://www.netsensei.be/2016/12/17/vanaf-heden-https/ Sat, 17 Dec 2016 22:22:58 +0000 matthias@netsensei.nl (Matthias Vandermaesen) https://www.netsensei.be/2016/12/17/vanaf-heden-https/ <figure class="right"> <img src="https://www.netsensei.be/2016/12/17/vanaf-heden-https/Screen-Shot-2016-12-17-at-23.18.05.png" alt="HTTPS en al" class="center" loading="lazy" > <figcaption class="center">HTTPS en al</figcaption> </figure> <p>HTTP inruilen voor HTTPS, dat stond nog op het lijstje. Ik heb dat net in orde gebracht. De S staat namelijk voor Secure. Met andere woorden, wanneer je rondstruint doorheen mijn blog, dan doe je dat vanaf nu veilig.</p> <p>Waarom is dat belangrijk? Omdat er op het web ook mensen en organisaties zijn met minder goede bedoelingen. Wanneer mijn webserver een pagina naar jouw computer stuurt, dan wil je zeker zijn dat er tijdens het transport niet mee werd geknoeid. Dankzij HTTPS weet jouw computer automagisch dat de pagina die hij/zij ontvangt, ook daadwerkelijke de pagina is die oorspronkelijk werd verzonden.</p> <p>Maar Matthias, kan je een voorbeeld geven van dergelijk “geknoei”? Wel, wanneer je surft op een “Free WIFI hotspot” – op hotel, in het station, luchthaven, restaurant,… – dan benader je het web via een toegang waarvan je niet weet of ze wel veilig is. Je stelt je vertrouwen in de uitbater van de hotspot. Voor niets gaat natuurlijk de zon op, en sommige uitbaters durven al eens advertenties te “injecteren” in webpagina’s die jij opvraagt. Daar zijn <a href="http://arstechnica.com/business/2015/08/atts-free-wi-fi-hotspot-injects-extra-ads-on-non-att-websites/">gedocumenteerde</a> <a href="http://arstechnica.com/tech-policy/2014/09/why-comcasts-javascript-ad-injections-threaten-security-net-neutrality/">cases</a> van. Ondanks dat dat overduidelijk een schending is van je privacy, is dat nog relatief tam. Vandaar is het immers maar een kleine stap om code te injecteren waarmee je computer kan worden gehackt. (Wat meteen ook een pleidooi is om niet zomaar op elk open, gratis netwerk te surfen!)</p> <p>Bij HTTPS worden de pagina’s die jij opvraagt van een server, <a href="https://nl.wikipedia.org/wiki/Transport_Layer_Security">versleuteld</a> verstuurd naar je browser. Enkel diegene met de juiste sleutel kan de pagina openen.</p> <p>HTTPS is dus duidelijk een Goede Zaak. Matt Mullenweg <a href="https://wordpress.org/news/2016/12/moving-toward-ssl/">kondigde onlangs</a> aan dat bepaalde features in WordPress in de toekomst waarschijnlijk enkel nog met HTTPS zullen werken. Google gaat sneller beveiligde sites in zijn <a href="https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html">zoekresultaten</a> tonen dan onbeveiligde websites. En vanaf 2017 gaat Chrome <a href="https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https">onbeveiligde sites “shamen”</a>.  Met andere woorden, het wordt in de toekomst zelfs een basisvereiste om op het web te publiceren met versleuteling.</p> <p>Waarom deed ik dat dan niet eerder? Om van HTTPS gebruik te maken met je bij een externe service een digitaal certificaat aanvragen. Dat certificaat kost doorgaans iets te veel om geen pijn te doen. Sinds kort is er een gratis alternatief dat zeer snel aan populariteit wint: <a href="https://letsencrypt.org/">Let’s Encrypt</a>. Mocht je dus HTTPS op je weblog willen activeren: dan is dit wat je wil gebruiken.</p>