Vanaf vandaag waarschuwt Google Chrome voor verouderde beveiligingscertificaten door middel van een felrode melding in het scherm. Die verschijnt op ruim drieduizend Nederlandse websites, waaronder die van Jeanscentre.nl, Multimate.nl en Intersport.nl.
Dat meldt de Open State Foundation op basis van eigen onderzoek. De betreffende websites maken gebruik van verouderde SSL-certificaten van Symantec, dat het vertrouwen van Google al in 2015 verspeelde door een schandaal met vervalste beveiligingscertificaten en niet langer door de zoekmachine ondersteund wordt. Onlangs schrapte Symantec duizenden banen.
Niet alleen in browser Chrome, maar ook in Firefox functioneren de sites binnenkort niet goed meer. De waarschuwing komt later vandaag prominent zichtbaar, na een nieuwe update van Google Chrome.
Diverse webwinkels
Onder de 3.000 sites zijn Twinkle100-spelers Jeanscentre (146) en ThysToys (233). Ook bij Multimate.nl, Intersport.nl, Emte.nl en Ekoplaza.nl verschijnen de roodgekleurde waarschuwingen. De lijst bevat verder diverse kleinere e-commerce spelers als Fietsshop.nl, Restantverf.nl en Huishoudkoopjes.nl.
Slotjes
Inmiddels heeft de meerderheid van de Nederlandse websites een SSL-certificaat, constateerde SIDN (Stichting Internet Domeinregistratie Nederland) dit voorjaar. Met 59 procent van de sites bleken webwinkels vaker te beschikken over het bekende slotje en de https-aanduiding in de browser dan zakelijke sites, waarvan slechts 30 procent op die wijze beveiligd was.
Even gecheckt. Geen enkel genoemde website wordt voorzien van een felrode melding (in Chrome)!
De meldingen worden later vandaag zichtbaar, na een nieuwe update van Chrome.
Waar is de lijst te vinden met webshops die in aanmerking komen van deze melding?
Die is hier te vinden: https://data.openstate.eu/dataset/symantec-ct-scan
Beangstigend om te lezen dat 1 bedrijf 3000 bedrijven op zo een manier onbereikbaar weet te maken Hoezo macht (misbruik?). Maar waar staan die duurbetaalde certificaten nu eigenlijk echt voor. Veiligheid ? Hebben die certificaten nu echt de veiligheid vergroot? Hebben die certificaten een eind gemaakt aan oplichting, fraude en diefstal van data. Volgens mij moeten en we toch constateren dat het antwoordt volmondig NEE is. Ergens wordt weer iets verzonnen om de malle geldmolen aan de gang te houden en velen in dit geval dus noodgedwongen achter de machtshebbers aan moeten hobbelen om zichtbaar op het internet te blijven.
Volgens mij gaat het niet om duurdere certificaten, maar om het hebben van een SSL verbinding. Dat is tegenwoordig echt niet meer duur en eigenlijk een wettelijk vereiste als je ook maar een contactformulier op je website hebt... Het is een basis technische beveiliging.
Ondertussen de nieuwe chrome versie maar er verschijnen nog steeds geen rode meldingen. Ophef om niets?
Dat laatste valt te bezien. Wij zien de waarschuwing inderdaad ook nog niet in de nieuwe Chrome-versie. Op Tweakers merkt iemand op dat in de DevTools nu het volgende wordt gemeld: 'The SSL certificate used to load resources from https://... will be distrusted very soon. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.'
Allemaal groene slotjes nog steeds te zien. Ik vind het eigenlijk niet kunnen dat je de websites zo in dit artikel noemt. Wat voor belang heb je er bij? je had ook gewoon kunnen melden dat die lijst er is en dat er iets is met het Symantec SSL certificaat. Er is geen goede reden om het op deze manier te brengen.
Google rolt de 'waarschuwingsschermen' gefaseerd uit, daarom zien niet alle Chrome-gebruikers ze nog. De partijen die op de - voor eenieder inzichtelijke - lijst van Open State Foundation staan, kenden op het meetmoment daarvan een verouderd beveiligingscertificaat waarvoor Google met ingang van 16 oktober waarschuwde. Het is dus zeker relevant om die partijen ter illustratie te noemen.