87 procent van de ‘veilige’ HTTPS-websites zijn niet veilig. In dit lek kan het netwerkverkeer worden onderschept en is het risico op diefstal en fraude groter.
Dat blijkt uit cijfers van LBVD, het bureau dat organisaties, overheden en instellingen adviseert over de digitale wereld. In het kader van April Awareness 2015 scande de organisatie alle IP-adressen (36.142.560) in Nederland. Hiervan hebben 1.123.457 IP-adressen een webserver, en 427.717 HTTPS.
HTTPS
Wat blijkt? HTTPS-sites geven het ogenschijnlijke groene slotje in de browserbalk weer, terwijl maar 13 procent van de sites daadwerkelijk veilig is: een IP-adres dat TLS ondersteunt zonder RC4 ciphers (versleutelingen) en SSLv3. Van alle IP-adressen die HTTPS aanbieden, ondersteunt 68,6 procent het onveilige SSLv3, en 35.3 procent (396.756) het veilige TLS. Van die veilige verbindingen ondersteunt weer 77,8 procent RC4 ciphers, wat de verbinding onveilig maakt.
Geschokt
“Wij zijn geschokt”, reageert LBVD. “Slechts bij 13 procent van de IP-adressen met HTTPS is dit goed geconfigureerd. 13 procent is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders nog eens goed naar hun HTTPS-configuratie kijken en dit verbeteren.”
Veilige site
Hoe richt je een HTTPS-site veilig in? LBVD:“In de praktijk blijkt dat complex. Wanneer één element niet, of niet goed wordt geïmplementeerd kan de hele website risico lopen. TLS is op dit moment – met de juiste configuratie – de enige veilige manier voor HTTPS.”