Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Daarom gaan we een paar keer per week op zoek naar zulke deals. Dit keer: steelstofzuigers met een lange accuduur en met een mooie prijs.

Draadloze steelstofzuigers bieden vrijheid omdat je zonder snoer kunt werken. Je bent echter vaak gebonden aan de accuduur. Wij vonden steelstofzuiger die minstens 25 minuten op een volle lading meekunnen. Let wel: dit zijn de fabrieksopgaven, de werkelijke duur kan in de praktijk lager zijn. Wij vonden vijf modellen met een prijs onder de 120 euro.

Princess Silent Storm

Deze Princes Silent Storm gebruikt een lithium-ion-accu en werkt ongeveer 30 minuten in één keer. Dat is voldoende om een appartement of enkele kamers te reinigen voordat je moet opladen. Bij deze steelstofzuiger kun je kiezen uit drie snelheidsstanden; op de hoogste stand levert hij de meeste zuigkracht, maar gaat de accu sneller leeg. Met het uitneembare stofreservoir van 0,6 liter is het legen simpel en er zijn geen stofzakken nodig. De motor en filters zijn cyclonisch, waardoor het stof efficiënt naar de opvangbak geleid wordt.

Handig is de parkeerstand: je kunt de stofzuiger rechtop parkeren zonder dat hij omvalt. Deze set wordt geleverd met een combinatieborstel voor vloer en tapijt, een kierenmondstuk en een apart filter. De steel is afneembaar zodat je ook als kruimelzuiger kunt werken. Volgens de productinformatie ligt het geluidsniveau rond 75 dB en weegt het apparaat iets meer dan drie kilo, dus je kunt het gemakkelijk dragen terwijl je de trap op en af loopt.

Tristar SZ-1980

De Tristar SZ-1980 is een 2-in-1 steelstofzuiger die tevens als kruimelzuiger te gebruiken is. Het product beschrijft een handzame stofzuiger met twee snelheidsstanden en een draadloze gebruikstijd van ongeveer 30 minuten. De lithium-ion-accu is binnen vijf uur opgeladen en levert daarna voldoende energie voor een flinke schoonmaakronde. Je kunt met de knop op het handvat tussen de lage en hoge zuigkracht schakelen, afhankelijk van het type vloer. Het apparaat heeft een groot stofreservoir van 1,5 liter, dat je met één hand leegklikt en schoonmaakt. Een wasbaar HEPA-filter voorkomt dat fijnstof en allergenen weer in de lucht terechtkomen.

De stofzuiger wordt geleverd met een kierenmondstuk en een opzetstuk voor harde vloeren. Tristar plaatst de motor en accu in de steel zodat de handgreep licht blijft, wat prettig is als je boven op kastjes wilt stofzuigen. Volgens externe specificaties werkt het apparaat op 22,2 volt en maakt het ongeveer 75 dB geluid. Er worden geen geheugenstanden of displayfuncties aangeboden; je bedient hem met één schakelaar.

Dreame H12 Pro

De Dreame H12 Pro is een veelzijdige steelstofzuiger die zowel nat als droog vuil aanpakt. De motor levert een hoge zuigkracht van 300 watt en de ingebouwde batterij houdt het tot 35 minuten vol, wat ruim voldoende is voor een grondige schoonmaakronde door huis of appartement. Je bedient het toestel eenvoudig met de handgreep en hebt zicht op alle belangrijke informatie dankzij een LED‑display. De stofzuiger heeft een slimme vuilsensor die de hoeveelheid vuil detecteert en de zuigkracht hierop aanpast. Handig is ook de dubbele watertank: je beschikt over een reservoir met schoon water en een tweede voor het vuile water, waardoor je tijdens het dweilen niet hoeft te stoppen om bij te vullen.

De borstelrol loopt tot aan de rand van de zuigmond, zodat je ook langs plinten en randen goed kunt reinigen. Na gebruik reinigt de borstel zichzelf; je hoeft enkel de zelfreinigingsfunctie te activeren. Met de 0,7 liter opvangbak voor droog vuil is er ruimte genoeg om tussenstops te vermijden. Het apparaat is geschikt voor verschillende vloertypes, zoals tapijt en tegels, en dankzij het rechtopstaande ontwerp kun je de H12 Pro eenvoudig parkeren of opbergen.

Makita CL183D

Makita staat bekend om zijn gereedschap, maar levert ook compacte stofzuigers. De CL183D is een 18-volt snoerloze steelstofzuiger met een eenvoudig ontwerp. Het apparaat heeft geen geïntegreerde accu; je gebruikt Makita-accu’s uit de LXT-serie (niet meegeleverd), waardoor je de werktijd zelf kunt bepalen. Met een 3,0 Ah-accu kun je ongeveer een halfuur stofzuigen bij lichte belasting; zwaardere taken verkorten de tijd. De stofzuiger heeft een zakloos opvangbakje met eenvoudig kliksysteem en een doorzichtige behuizing zodat je kunt zien wanneer deze vol is.

De ergonomische handgreep zorgt voor comfort en de aan/uit-schakelaar is zodanig gepositioneerd dat je niet per ongeluk de power verliest. Omdat het apparaat slechts 53,30 euro kost, kun je met een extra accu altijd doorwerken. Het apparaat weegt weinig en is bedoeld voor snelle klussen zoals kruimels, auto-interieur of trappen. Er worden standaard mondstukken geleverd voor vloer en kieren.

Rowenta  RH6543

Deze lichtgewicht steelstofzuiger van Rowenta heeft een 14,4‑volt lithium‑ion‑accu, die in vijf uur volledig is opgeladen. Met zijn cycloontechnologie scheidt de zuiger lucht en stof efficiënt, waardoor de zuigkracht behouden blijft en het onderhoud eenvoudig blijft doordat je geen zakken hoeft te vervangen. De stofopvangbak heeft een inhoud van 0,65 liter en is met één klik te legen. Het compacte ontwerp van 2,7 kilo maakt de RH6543 geschikt voor snelle schoonmaakrondes, zoals kruimels in de keuken of stof onder meubels. Het LED‑licht op de zuigmond geeft beter zicht op donkere plekken, en dankzij de parkeerstand kun je het apparaat verticaal wegzetten tijdens het stofzuigen.

Er zit een afstofborstel bij om meubels of smalle kieren te reinigen en het filter is uitwasbaar. Er zijn twee vermogensstanden, zodat je de zuigkracht kunt aanpassen aan het type vloer. Het geluidsniveau van 80 dB behoort tot het gemiddelde in deze categorie. Hoewel de maximale looptijd bij lagere zuigkracht wordt gehaald, is deze Rowenta‑stofzuiger een praktisch alternatief voor wie zonder snoer snel wil schoonmaken.

Wie op zoek gaat naar een nieuw mobiel abonnement, komt al snel bekende namen tegen als KPN, Vodafone en Odido. Maar daarnaast kun je ook kiezen voor andere aanbieders op, zoals Simyo, Ben of Youfone. Die lijken misschien op gewone providers, maar dat zijn zogeheten virtuele providers. Wat is precies het verschil, en waar kies je als consument het best voor?

Waar voor je geld: 5 smartphones met eSim voor minder dan 400 euro

De drie netwerken in Nederland

In Nederland zijn er drie bedrijven met een eigen mobiel netwerk: KPN, Vodafone en Odido. Zij bezitten de zendmasten, frequenties en infrastructuur waarmee mobiele communicatie mogelijk is. Deze partijen worden de netwerkproviders genoemd. Hun netwerken dekken vrijwel het hele land en worden continu uitgebreid met nieuwe technologie, zoals 5G.

Wat virtuele providers doen

Virtuele providers, ook wel MVNO's genoemd (Mobile Virtual Network Operators), maken gebruik van het netwerk van een van deze drie aanbieders. Ze hebben dus geen eigen zendmasten, maar kopen netwerkcapaciteit in en bieden die onder hun eigen naam aan. Bekende voorbeelden zijn Simyo (op het netwerk van KPN), Ben (Odido) en hollandsnieuwe (Vodafone).

Ze regelen zelf de klantenservice, abonnementen, facturering en vaak ook extra diensten, maar het dataverkeer en bellen lopen volledig via het netwerk van de hoofdprovider.

Voordelen van virtuele providers

Virtuele providers staan bekend om hun lagere prijzen. Doordat ze geen eigen netwerk hoeven te onderhouden, kunnen ze de kosten laag houden. Ook zijn ze vaak flexibel: je kunt maandelijks opzeggen, zelf je databundel aanpassen of extra opties in- en uitschakelen. Dat spreekt vooral consumenten aan die niet vast willen zitten aan een duur abonnement.

Een ander voordeel is eenvoud. Virtuele providers richten zich vaak op één duidelijk aanbod zonder allerlei combinatiedeals of ingewikkelde voorwaarden. Bovendien profiteer je als klant indirect van de netwerkverbeteringen van de hoofdprovider: als KPN zijn 5G-dekking uitbreidt, geldt dat ook voor Simyo-gebruikers.

Nadelen ten opzichte van netwerkproviders

Er zitten ook verschillen in wat je krijgt. Virtuele providers hebben meestal minder aanvullende diensten, zoals tv-pakketten, internationale bundels of toegang tot exclusieve hotspots. Ze bieden zelden nieuwe smartphones aan in combinatie met een abonnement; vaak gaat het om sim-only.

Daarnaast kan de snelheid of prioriteit op het netwerk iets lager liggen. Hoewel je technisch op hetzelfde netwerk zit, krijgen klanten van de hoofdprovider soms voorrang bij piekdrukte. Dat merk je vooral op drukke plekken of tijdens evenementen.

Tot slot zijn er verschillen in klantenservice. Virtuele aanbieders werken vaak met goedkopere, grotendeels online dienstverlening. Dat houdt de prijs laag, maar betekent ook dat persoonlijke hulp via telefoon of winkel beperkt kan zijn.

Wat past bij jou?

Wie veel reist, de nieuwste telefoon wil combineren met een abonnement of extra diensten zoals tv en internet belangrijk vindt, zit goed bij een van de drie netwerkproviders. Wie vooral een betrouwbare en betaalbare mobiele verbinding zoekt en weinig behoefte heeft aan toeters en bellen, vindt bij een virtuele provider vaak een gunstiger aanbod.

Kort samengevat: de netwerkprovider bouwt en beheert het mobiele netwerk, de virtuele provider gebruikt dat netwerk om voordeligere en flexibelere abonnementen aan te bieden. Beide werken dus samen, maar richten zich op een ander type gebruiker.

©Denys Prykhodov