Het nieuwe zoekalgoritme van Google werkt positief op websites die standaard HTTPS gebruiken. De zoekgigant hoopt dat deze stap de bedrijven zal stimuleren om HTTPS-encryptie te gebruiken. Voor zowel website-eigenaren als bezoekers zal dit voordelig zijn, omdat beveiligde websites hoger worden weergegeven in de zoekresultaten van Google.
Stelt u zich eens voor dat u de voordeur naar uw huis sluit, maar de achterdeur laat u wijd open . Dat is in wezen wat er gebeurt als websites gebruik maken van intermitterende SSL om alleen bepaalde pagina’s zoals aanmeld- en transactiepagina’s te beschermen. Sommige bedrijven zijn van mening dat ze beveiligd zijn tegen gegevensdiefstal en hacking door alleen intermitterende SSL in bepaalde gebieden van hun website toe te passen, maar ze laten de rest van hun site onbeschermd en dan bestaat er een groot gevaar voor aanvallen.
Op 6 augustus 2014 heeft Google op hun online beveiligingsblog bekend gemaakt om always-on SSL mogelijk te maken. Het doel is om meer gewicht te geven (betere resultaten in de rangschikking van de zoekresultaten) aan websites die volledig HTTPS-versleuteld zijn.
Volgens de trend-analisten van Google Webmaster Zineb Ait Bahajji en Gary Illyes is de reden vrij eenvoudig. “We willen graag alle website-eigenaren aanmoedigen om van HTTP naar HTTPS over te schakelen om iedereen veilig op het web te houden. Dit is ervoor om te zorgen dat de door de gebruikers via Google geopende websites veilig zijn.” Hun boodschap kon niet duidelijker zijn geweest: “We hopen in de toekomst meer websites te zien die HTTPS gebruiken.” De bedoeling is om website-eigenaren aan te moedigen om de beveiliging te verbeteren om zichzelf nog beter te beschermen - en om de gegevens te beschermen die via het internet wordt overgebracht.
Het inschakelen van Always-On SSL is een eenvoudige, kostenefficiënte veiligheidsmaatregel die algemene bescherming biedt voor bezoekers van een website. Het is geen product, service of vervanging voor uw bestaand SSL Certificaat, maar eerder een benadering van de beveiliging die nodig is om de gehele sessie van een gebruiker te beschermen, en niet alleen het aanmeldscherm. Always On SSL begint met het gebruiken van HTTPS over de gehele website, maar dit betekent ook dat u alle cookies van een sessie moet beveiligen om te voorkomen dat de inhoud ervan via ongecodeerde HTTP-verbindingen wordt verzonden. Aanvullende maatregelen, zoals Extended Validation (EV) en HSTS, kan de structuur van uw website verder versterken tegen aanvallen via het internet.
Een cookie van een sessie kan met een ‘veilige’ vlag worden ingesteld, waarmee de browser contact maakt met de oorspronkelijke server door alleen HTTPS te gebruiken wanneer deze cookie wordt teruggestuurd. Het beveiligde attribuut moet worden beschouwd als een beveiligingsadvies van de server naar de gebruikersagent, die aangeeft dat het belang van de sessie is om de inhoud van de cookie te beschermen. Deze maatregel helpt om te voorkomen dat cookies via HTTP worden verzonden, zelfs als de gebruiker per ongeluk (of is misleid om te doen) een browserverzoek aan de webserver via HTTP stuurt.
Voor een sterkere beveiliging tegen aanvallen raden we aan dat website-eigenaren overwegen om Extended Validation (EV) SSL Certificaten in te zetten. Websites beveiligd met EV ondergaan een streng verificatieproces dat is opgericht door het CA Browser Forum, een samenwerking van meer dan 30 toonaangevende Certificeringsautoriteiten en leveranciers van browser software.
Dit verificatieproces bevestigt de identiteit en het bestaan van website-exploitanten die betrouwbare bronnen van derden gebruiken. Gebruikers die een website bezoeken beveiligd met een EV SSL Certificaat kunnen deze door een groene balk herkennen met de naam van het bedrijf in de URL-balk om de identiteit van de website-exploitant te bevestigen.
HTTPS-verbindingen worden vaak geactiveerd wanneer bezoekers vanuit een HTTP-pagina worden omgeleid of wanneer ze op een link klikken (zoals een aanmeldknop) die hen naar een HTTPS-pagina stuurt. Het is echter mogelijk om een aanval te starten tijdens de overgang van een onbeveiligde verbinding naar een veilige verbinding, hetzij passief of door een slachtoffer te misleiden om op een HTTP-link te klikken naar een legitieme website (bijvoorbeeld via een phishing-email).
De sterkste verdediging tegen deze soorten aanvallen is het implementeren van HTTP Strict Transport Security (HSTS) voor uw website. Dit is voor website-eigenaren een manier om te verklaren dat ze alleen toegankelijk zijn via veilige verbindingen, en/of gebruikers alleen via beveiligde verbindingen interactief kunnen zijn met bepaalde websites.
De producten die wij aanbieden zijn betrouwbaar, van hoge kwaliteit en concurrerend geprijsd. Trustico® bevat geen garantie op risico restituties op onze SSL Certificaat producten. Binnen zeven dagen na de nakoming u om welke reden dan ook verzoeken om een annulering en volledige terugbetaling van uw in aanmerking komend SSL Certificaat product. Onze terugbetalingsgarantie
