JA
Je website heeft HTTPS nodig.

"Maar mijn website heeft geen contactformulier en verzamelt geen gegevens van gebruikers."

Verandert niks. HTTPS beveiligt meer dan alleen contactformulieren! HTTPS houdt de URL, headers en inhoud van alle overgedragen pagina's vertrouwelijk.

"Er is toch niks gevoeligs op mijn website."

Je website is een aansprakelijkheid! Alleen omdat je website ergens veilig gehost wordt, betekent niet dat het niet door internetkabels en routers (beheerd door wie weet hoeveel bedrijven en staatsbedrijven) heen gaat.

Wil je echt dat een derde partij JavaScript kan injecteren in jouw website? Of dat een derde jouw advertenties vervangt met haar eigen, zodat jij geen inkomsten krijgt? Dit gebeurt bij luchtvaartmaatschappijen (vaak, heel vaak), in China, zelfs internetaanbieders doen het (heel vaak).

HTTPS voorkomt dit allemaal. Het garandeert integriteit en de mogelijkheid om aanpassingen te detecteren. Als we alleen vetrouwelijke informatie versleutelen, wordt de transmissie van alles daaromheen automatisch een doelwit. Houd vertrouwelijke informatie veilig door alles te versleutelen.

"De site is HTTP, maar alle contactformulieren worden verzonden via HTTPS."

Dit is net zo slecht als helemaal geen HTTPS gebruiken! Alles wat een aanvaller hoeft te doen, is een linkje of de actie van een contactformulier aan te passen naar een URL van zijn/haar eigen server. Er is geen manier dit te detecteren omdat het over het net gebeurt via onversleutelde HTTP.

Pas HTTPS toe op de hele site en stuur bezoekers van de HTTP-variant door naar de HTTPS-pagina's!

"Ik kan me geen certificaat veroorloven."

Ze zijn gratis.

"HTTPS is lastig om te installeren en te onderhouden."

Het werkt zonder configuratie als Caddy je webserver is. Ja, het vernieuwen van certificaten inbegrepen. Geen omkijken naar nodig. Voor andere webservers kan HTTPS geautomatiseerd worden door een Let's Encrypt-client naar keuze te gebruiken.

"Hackers kunnen nog steeds een kopie van mijn website maken, zelfs al gebruik ik HTTPS."

Ze kunnen het proberen, maar zolang de geheime sleutels geheim blijven zullen webbrowsers waarschuwingen geven als de aanvallers een haar eigen sleutels of niet-geldige TLS-certificaten gebruiken. Als de aanvaller helemaal geen HTTPS gebruikt, zullen webbrowsers de namaak-pagina markeren als onveilig. Op deze manier garandeert HTTPS echtheid.

"Domain-validated (DV)-certificaten zijn onveilig."

Ze zijn wel veilig. Verlies geen controle over je DNS en kies een bekwame certificaatautoriteit (in plaats van een minder bekwame of zelfs pijnlijk slechte). Er is absoluut geen verschil in de versleuteling bij gebruik van een DV-certificaat vergeleken met die van een extended validation SSL-certificaat.

"Maar CAs kunnen een fout maken tijdens het uitgeven van een certificaat voor mijn site <...of elk andere klacht over het huidige CA-systeem >."

Kijk, deze discussie gaat niet over PKI. Dat is het beste systeem dat we op dit moment hebben. Daar moet je het mee doen. Gebruik CAA records om te beperken welke CAs er certificaten voor jouw domein mogen uitgeven. Kruis dan je vingers en hoop dat transparantie en toezicht z'n werk doet (dat doet het, tot nu toe).

"HTTPS verbergt niet de grootte van versleutelde berichten, wat aanwijzingen over de data lekt aan hackers."

TLS 1.3 en HTTP/2 maken gebruik van padding frames om de grootte van de versleutelde berichten zo willekeurig mogelijk te maken.

"HTTPS verbergt niet de DNS lookup."

Natuurlijk niet. DNS is niet HTTP. Alleen is dat echt een valide reden om de rest niet te versleutelen?? (Hint: nee)

"HTTPS is langzaam."

Nee, dat is het niet. Websites met moderne servers laden sneller over HTTPS dan over HTTP door HTTP/2.

"Phishing websites gebruiken HTTPS."

... en daarom jij niet?

"Onze site geeft advertenties weer via HTTP."

Sorry, het spijt me niet. Dit verandert niets aan het feit dat je website HTTPS nodig heeft. Met de overstap naar HTTPS zul je mixed content waarschuwingen gaan krijgen in browser. Je kunt dus maar beter een leuke manier bedenken om uit dat advertentiepublicatiecontract te komen dat er echt aantrekkelijk uitzag toen je het voor het eerst ondertekende. Of overtuig je advertentienetwerk om HTTPS te gaan gebruiken voordat jij het doet.

"Mijn site werkt net zo goed met HTTP."

Dat is wat Oil and Gas International ook beweerde. Tot dat browsers HTTP als onveilig markeerde.

"Maar TLS proxies maken HTTPS overbodig."

Alleen als de eindgebruiker zijn computer is ingesteld om de TLS proxy te vertrouwen. Hiervoor heb je administrator (root) rechten nodig, dus de eigenaar moet dit toestaan. Daarnaast wordt HTTPS onderschepping vaak gedetecteerd door web servers.

"Ik kan mijn site tenminste nog steeds zowel via HTTP als HTTPS leveren.'"

De enige reden waarom je poort 80 open moet stellen op je server is om alle aanvragen door te sturen naar poort 443 en vervolgens de verbinding te sluiten. (Op een dag kunnen we poort 80 misschien helemaal laten vallen.)

"Mijn site is alleen intern of met een VPN bereikbaar."

Vertrouw je de bedrijven of overheden die de infrastructuur beheren? En de fabrikanten van de hardware in jouw netwerk? Of je VPN-provider?

"We hashen de wachtwoorden."

Mooi. Vertel me alsjeblieft wel dat ze verstuurd worden via HTTPS … dat doe je toch?

"HTTPS beïnvloedt SEO."

Dat klopt—HTTPS verbetert het! Het onnodig of onjuist veranderen van site-URLs be├»nvloedt mogelijk je positie in de zoekresultaten. Het gebruik van HTTPS verbetert je positie juist. Verander de URL's op de juiste manier volgens de manier van de zoekmachine waarvoor je optimaliseert. Alles komt goed, met hooguit tijdelijke bijwerkingen.

"Het is de verantwoordelijkheid van de browser om gebruikers te beschermen."

Dat klopt, maar tot op zekere hoogte. Het is niet alleen de verantwoordelijkheid van de browser. Browsers kunnen alleen een gebruiker beschermen als de server gebruik maakt van HTTPS. Als site eigenaar heb je de verantwoordelijkheid om dit aan te bieden aan bezoekers.

— HOE CONFIGUREER IK HTTPS —

De makkelijkste manier is via Let's Encrypt en de Caddy web server, die automagisch HTTPS configureert voor al je websites. Je kan ook een Let's Encrypt-client gebruiken zoals Certbot.

Er zijn genoeg andere manieren om HTTPS op je website te krijgen zonder veel moeite. Das Surma heeft een tutorial gemaakt voor veel web servers en CDNs zoals Cloudflare kunnen je website beschikbaar maken over HTTPS voor minimale kosten, of zelfs helemaal gratis.