Drieduizend Nederlandse websites zijn onveilig, vindt Google

Beeld ANP

Google beschouwt drieduizend Nederlandse websites als onveilig. Wat is er aan de hand? Een antwoord in vijf vragen.

NS Internationaal, supermarktketens Ekoplaza en Emté, onderwijsinstelling LOI, auteursrechtenorganisatie Buma/Stemra; het zijn professionele partijen die volgens Google de beveiliging van hun websites niet op orde hebben. Sander van Voorst, specialist online privacy bij techplatform Tweakers.net, verduidelijkt de kwestie.

1. Wat is er aan de hand?

Van Voorst: "Wie een versleutelde, veiliger internetverbinding wil, heeft daar certificaten voor nodig. Die moet de site-eigenaar, bijvoorbeeld Albert Heijn of wij van Tweakers, aanschaffen. Dat kan bij onder andere Symantec, maar dat bedrijf heeft fouten gemaakt bij de uitgifte van die certificaten en daarom heeft Google het vertrouwen in Symantec ingetrokken. Dat intrekken doen ze in fases en vandaag, als de nieuwste versie van Google's browser Chrome verschijnt, Chrome 70, is de laatste fase afgerond. Overigens heeft Symantec ook voor andere merknamen certificaten uitgegeven."

2. Is het alleen een probleem bij de browser Chrome?

"Chrome heeft veruit het grootste marktaandeel, maar ook Mozilla, het bedrijf achter de browser Firefox, heeft het vertrouwen in Symantec ingetrokken. Mozilla volgt alleen een iets ander pad dan Google en stelt het aanmerken van sites als onveilig nog uit. Apple en Microsoft hebben ook het vertrouwen in Symantec verloren, dus gebruikers van de browsers Edge en Safari krijgen er ook mee te maken."

3. Wie worden hierdoor getroffen?

"Ten eerste de site-eigenaren. Die hebben vooral zichzelf ermee. Bezoekers van de sites krijgen een waarschuwing te zien. Veel mensen zullen daardoor denken: hier is iets niet in de haak, ik ga hier weer weg. Websites die niet zijn uitgerust met veilige certificaten lopen dus vooral schade op door een verlies aan bezoekers."

4. Wat betekent dit in het ergste geval?

"Zoals gezegd worden websites die je bezoekt versleuteld met die certificaten. Toch denk ik niet dat kwaadwillenden veel kunnen met het lek dat ontstaat als de beveiliging wegvalt. De risico's zijn beperkt, maar sites met certificaten dragen in het algemeen wel bij aan een veiliger internet. Nu er site-eigenaren zijn die hun website niet op orde hebben voor Chrome 70, betekent dit in de theorie wel dat anderen kunnen meekijken met niet-versleuteld internetverkeer. De waarborg van onze privacy valt weg. Dat overheidssites de boel niet op orde hebben, vind ik kwalijk. Al voordat de Algemene verordening gegevensbescherming (AVG) van toepassing was, moesten overheidssites van die certificaten voorzien zijn." 

5. Wanneer en hoe wordt dit opgelost?

"Dat hangt van de site-eigenaren af. Die moeten nu overstappen naar een ander certificaat. Wat het complex maakt, is dat Symantec de divisie certificaten verkocht heeft aan het Amerikaanse bedrijf DigiCert. Dat heeft aangeboden om getroffen sites gratis van vervangende certificaten te voorzien. Daarnaast kunnen eigenaren van websites gratis certificaten verkrijgen bij een aanbieder als Let's Encrypt."

Lees ook:

Pas op met uitwisselen van data, ons kostbaarste bezit staat op het spel

Zijn onze data het nieuwe geld? Volgens Marcel Becker en Bart Jacobs verschillen beide ruilmiddelen nogal. Geld is onpersoonlijk. En data, dat zijn wijzelf.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden