Het groene slotje biedt geen garanties. Maar wat dan wel?
Hoe laat je zien dat jouw website wel betrouwbaar is?
Onlangs kwam de NOS met een onderzoek naar buiten waarbij ze duizenden websites onder de loep namen die op 4 zwarte lijsten staan. Daarvan bleken er 4.300 een werkend ‘groen slotje’ te hebben, wat wil zeggen dat de site voorzien is van een geldig SSL-certificaat. Volgens de NOS krijgen sites door dit slotje ten onrechte het predicaat ‘veilig’. In dit geval staan de websites al op een zwarte lijst, maar voordat ze daarop werden geplaatst, beoordeelden veel consumenten ze dus als ‘veilig’. Maar als je het groene slotje niet meer kan vertrouwen, waarop dan wel? En wat kun je als website- of webshophouder doen?
Criminelen misbruiken groene slotje
Internetgebruikers wordt geadviseerd om op het groene slotje te letten. Daaraan zou je kunnen zien of een website veilig is. Vroeger was het installeren van een SSL-certificaat namelijk iets wat veel tijd en geld kostte. Criminelen lieten dit daarom vaak achterwege. Tegenwoordig is het installeren van een certificaat met behulp van gratis tools als LetsEncrypt een fluitje van een cent. Dat is ook meteen de keerzijde. Veel criminelen maken nu juist gebruik van dit groene slotje om zich voor te doen als betrouwbare partij. Internetgebruikers zien het groene slotje, associëren dit met betrouwbaarheid en gaan er ten onrechte vanuit dat de website veilig is.
Kies voor uitgebreide validatie
Pim Pastoors, productmanager bij SIDN, vertelt: ‘Het is van belang dat de beeldvorming rondom het groene slotje gaat veranderen. Een groen slotje geeft geen garantie dat de inhoud op de website ook daadwerkelijk veilig is. 'Veilig' slaat alleen op de beveiliging van de verbinding. Het zorgt ervoor dat criminelen bijvoorbeeld niet kunnen meekijken als je gevoelige gegevens invult. Ik adviseer bedrijven en webshops om te kiezen voor een EV-certificaat (extended validation). De verstrekker van dit type certificaat neemt alle bedrijfsgegevens op nadat hij dit grondig gecontroleerd heeft bij de Kamer van Koophandel. Daarnaast word jij als webshopeigenaar gevalideerd als aanvrager van het certificaat. Dat maakt het een veiligere site, maar ook mét slotje moet je altijd kritisch blijven op de inhoud van de website. Alleen dit uitgebreidere SSL-certificaat zorgt ook voor de bedrijfsnaam naast het bekende groene slotje in je adresbalk en bewijst internetgebruikers dat ze met de juiste partij te maken hebben.’
Slechts 1 van de 10 grootste Nederlandse nieuwssites heeft een EV-certificaat
Pim: ‘Kijk je bijvoorbeeld naar de 10 grootste Nederlandse nieuwssites*, dan heeft maar 1 partij een EV-certificaat. Zeker in een tijdperk waarin nepnieuws aan de orde van de dag is, kan ik me voorstellen dat je als nieuwssite je betrouwbaarheid wil kunnen aantonen.’
Nieuwssite | EV-certificaat |
|---|---|
nu.nl | nee |
nos.nl | ja |
ad.nl | nee |
telegraaf.nl | nee |
rtlnieuws.nl | nee |
volkskrant.nl | nee |
nrc.nl | nee |
trouw.nl | nee |
parool.nl | nee |
metronieuws.nl | nee |
* ‘De 80 grootste websites en meest gebruikte apps van Nederland’, Consultancy.nl, geraadpleegd op 6 juni 2018
Fake website met groen slotje eenvoudig te regelen
Naast het groene slotje wordt internetgebruikers vaak geadviseerd goed naar de domeinnaam te kijken. Helaas voldoet dat advies vaak niet. Cybercriminelen registreren domeinnamen die nauwelijks te onderscheiden zijn van 'echte' domeinnamen. De NOS nam ook hier de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat. Dit om aan te tonen dat het voor gebruikers lastig is om het onderscheid te maken tussen domeinnamen die ingezet worden voor legitieme of malafide doeleinden en dat een groen slotje dus niet alles zegt.
Monitor je domeinnaam actief
Pim: ‘Banken hebben hun zaken inmiddels wel op orde. Zij monitoren in de meeste gevallen hun domeinnaam proactief en kunnen daardoor snel handelen bij registratie van domeinnamen die sterk lijken op hun merk. Maar het merendeel van de corporates, overheidsinstanties, kleinere bedrijven en webshops doet dit nog niet en daar spelen cybercriminelen op in. Het monitoren van je domeinnaam doe je bijvoorbeeld via SIDN Merkbewaking. Het is een mythe dat het monitoren van domeinnamen duur is. Voor elk bedrijf is er een passende, betaalbare oplossing te vinden, waarmee je potentieel veel reputatie- en financiële schade kunt voorkomen.’
