’87% van de Nederlandse websites met HTTPS is onveilig’

Beveiligde HTTPS-verbindingen worden steeds vaker gebruikt op Nederlandse websites. Dit betekent echter niet dat deze sites per definitie veilig zijn. 87% van de Nederlandse websites die HTTPS gebruikt blijkt in de praktijk onveilig te zijn.

Dit blijkt uit onderzoek van LBVD in het kader van April Awareness 2015. Onderzoekers van LBVD troffen veel onveilige verbindingen aan. Bezoekers van deze websites krijgen wel het groene slotje in hun browser te zien, wat zorgt voor schijnveiligheid. Slechts 13% van de Nederlandse websites met HTTPS biedt een veilige HTTPS-configuratie aan, namelijk TLS zonder RC4 ciphers (versleutelingen) en zonder SSLv3.

Geschokt door de resultaten

De onderzoekers stellen geschokt te zijn door de resultaten van het onderzoek. Met April Awareness hopen de onderzoekers systeembeheerders te overtuigen hun HTTPS-configuratie nog eens goed onder de loep te nemen en waar nodig te verbeteren. April Awareness is onderdeel van het jaarlijks terugkerend onderzoek van LBVD naar de digitale wereld, met als doel het leefbaar maken van de digitale wereld. De digitale wereld brengt gemak en comfort met zich mee, maar ook risico's op fraude en diefstal. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en in dit geval ook de techniek verbeteren.

LBVD is ook van mening dat al het webverkeer standaard via HTTPS moet verlopen. Bij een juiste configuratie van het HTTPS-protocol wordt het internet hierdoor veiliger. Het is overigens niet eenvoudig HTTPS goed in te richten, aangezien dit een complex proces is. Zodra één element niet of niet goed wordt geïmplementeerd kan de veiligheid van de volledige website in het geding komen. TLS is op dit moment, met de juiste configuratie, de enige veilige manier om HTTPS aan te bieden. Tijdens April Awareness 2015 scanden LBVD alle IP-adressen in Nederland, in totaal 36.142.560 IP-adressen. Hiervan hebben 1.123.457 IP-adressen een webserver en daarvan hebben er 427.717 HTTPS.

‘SSLv3 is niet veilig’

De onderzoekers waarschuwen dat SSLv3 onveilig is en dus niet gebruikt zou moeten worden. Desondanks ondersteunt 68,6% (293.228) van alle IP-adressen die HTTPS aanbieden SSLv3.

35.3% (396.756) van alle IP-adressen die HTTPS aanbieden ondersteunt TLS. TLS heeft op dit moment drie versies. De nieuwste versie is relatief iets beter dan oudere versies, al benadrukt LBVD dat ook de oudere versies niet slecht zijn.

Van alle IP-adressen die HTTPS met TLS aanbieden heeft 99.5% (394.673) TLS1.0, 43.6% (172.889) TLS1.1 en 41.7% (165.552) TLS1.2. IP-adressen kunnen meerdere versies ondersteunen. Van de IP-adressen die TLS ondersteunen, ondersteunt echter 77.8% (308.803) RC4 ciphers en zijn hierdoor alsnog niet veilig. Er zijn 32.974 (8.3%) IP-adressen die via HTTPS veilig zouden zijn als ze SSLv3 uitzetten.