'Geen of verkeerd gebruik van SSL brengt privacy van websitebezoekers in gevaar'
Websites die geen gebruik maken van de beveiligingstechniek SSL gebruik maken brengen de privacy van bezoekers in gevaar. Ook bedrijven die dit wel doen, maar hierbij niet de juiste werkwijze hanteren brengen de veiligheid van bezoekers in gevaar. Mozilla kondigt daarnaast stappen aan om SSL beter te beveiligen.
Hiervoor waarschuwt Mark Goodwin, beveiligingsonderzoeker bij Mozilla, in een blogpost. SSL een techniek waarmee het verkeer tussen een gebruiker en een website wordt versleuteld. Hackers die het verkeer proberen te onderscheppen kunnen hierdoor de informatie niet uitlezen. SSL wordt daarnaast ook gebruikt om gebruikers in te laten loggen op een website.
Inloggen via SSL
Goodwin stelt dat sommige websites SSL alleen gebruiker om een gebruiker in te laten loggen, maar data die naar de gebruiker wordt verzonden niet te versleutelen. Hackers kunnen onversleutelde data die zij onderscheppen dus zonder problemen uitlezen. Deze website bieden gebruikers dus een vals gevoel van veiligheid door verbinding via SSL op te zetten, maar niet alle data via deze verbinding te verzenden.
Mozilla's beveiligingsonderzoeker wijst ook op het gevaar van SSL-Stripping, waarbij hackers een SSL-verbinding via een 'man-in-the-middle'-aanval omzetten naar een onversleutelde HTTP-verbinding. Goodwin kondigt aan dat Mozilla binnenkort HTTP Strict Transport Security (HSTS) lanceert, een nieuwe feature in Firefox die ervoor zorgt dat websites altijd een SSL-verbinding opzet. Niet versleutelde verbindingen worden door HSTS automatisch omgezet naar een HTTPS-verbinding.
