ID.nl logo
Huis

Discussie over SSL-certificaten voor phishingwebsites laait op

Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

▼ Volgende artikel
Premium smartphone te duur? Dit is een beter alternatief
© Motorola
Huis

Premium smartphone te duur? Dit is een beter alternatief

Je wilt een nieuwe telefoon kopen, maar een premium smartphone is eigenlijk te duur. Als je binnen je budget wilt blijven, heb je twee opties: een tweedehands toptoestel of een nieuwe middenklasser. Waarom die laatste keuze vaak slimmer is, lees je hier.

Niet genoeg geld voor een nieuwe premium smartphone? Je kunt een tweedehands topper kopen, maar ook besluiten je geld te besteden aan een nieuw midrange toestel. Dat kan voordelig en beter zijn – en wel om de volgende redenen:

  • Nieuwe software(-updates)
  • Recente processors
  • Een gezonde batterij
  • En niet geheel onbelangrijk: de garantie

Lees ook: Wat is het beste moment om je smartphone te vervangen?

We maken in dit artikel geen overzicht van midrange smartphones die je tijd en geld waard zijn – daar hebben we andere overzichten voor. Maar we vertellen wél wat middenklasse toestellen tegenwoordig zo goed maakt en waarom je wellicht beter voor een goedkoper model zou kunnen gaan. Scheelt in de portemonnee, terwijl je helemaal niet zo inlevert op kwaliteit, ontwerp en prestaties. Natuurlijk ligt het eraan wat je wilt uitgeven, maar voor dit soort apparaten houden we rekening met een marktprijs van tussen de 400 en 700 euro. Dit is waarom een nieuwe middenklasser vaak beter is dan een tweedehands toestel uit het topsegment:

➕ De nieuwste software

Midrange toestellen zijn vaak voorzien zijn van recente besturingssysteemversies en kunnen rekenen op een softwarebeleid dat gemiddeld op vier jaar aan upgrades uitkomt. Sommige smartphones presteren beter op dit vlak ten opzichte van andere. Zo bieden Samsung en Google, ongeacht het model, zeven jaar aan support aan. Oppo en OnePlus houden het meestal op vier tot vijf jaar. Xiaomi, Sony, Poco, Nothing en meer presteren helaas slechter. Houd hier bij de keuze van je nieuwe midranger rekening mee.

©Rens Blom

➕ Recente, snelle, krachtige processor

Een beter softwarebeleid garandeert lang een werkzaam en beveiligd toestel. Wat daar ook een rol in speelt, is natuurlijk de hardware. Zo worden midrangers tegenwoordig steeds vaker voorzien van krachtige chipsets die premium cpu's evenaren. Soms zijn ze even krachtig als het topmodel van het jaar ervoor. Als dat het geval is, dan ben je spekkoper. Want dan heb je niet de volle mep betaalt voor de prestaties waar alle premiumjagers wel geld voor hebben neergelegd. Goed voor de prijs-kwaliteitverhouding.

➕ Gezonde batterij

De batterij valt eveneens onder het kopje hardware. Als je een nieuwe middenklasser koopt, dan krijg je daar een gezonde accu bij. Klinkt logisch – maar dat heeft ten opzichte van bijvoorbeeld een tweedehands vlaggenschip kopen een groot voordeel. De accu is nog niet gebruikt en gaat dus jaren mee; een gebruikt premium model heeft een batterij die al wat klappen opgevangen heeft. Daardoor houdt die het minder lang vol dan een nieuwe smartphone. Ook dit spreekt voor de prijs-kwaliteitverhouding (al gaat ook deze accu er uiteindelijk op achteruit natuurlijk – maar dat kan nog jaren duren).

Nieuwe smartphone?

Vergeet je screenprotector niet!

➕ Je hebt nog garantie

Tot slot kijken we naar een ander belangrijk onderdeel: de garantie. Als je een premium toestel tweedehands koopt (omdat je de kosten wilde drukken), dan kun je vaak fluiten naar de garantie. Misschien heeft de vorige koper de bon niet meer of – waarschijnlijker nog – is de garantieperiode al (lang) verlopen. Een nieuwe midranger heeft dat probleem niet – je weet dus waar je aan toe bent. Dat zorgt voor wat rust. Nu kun je een tweedehands toestel met garantie kopen, maar de kans op fouten neemt aanzienlijk toe naarmate zo'n smartphone ouder wordt. Dat kan dus een dure grap worden. Ook hier wint een nieuwe midranger dus weer op punten.

🪙🪙🪙 Telefoon doorverkopen? Ook dan is midrange voordeliger! Veel mensen verkopen hun oude toestel tegenwoordig door. Premium smartphones zakken snel in waarde. Bied je die tweedehands te koop aan, dan is het gat tussen het verkoop- en aankoopbedrag groter dan wanneer je een middenklasser verkoopt. Ben je dus iemand die graag van toestel wisselt en daar zijn oude smartphone voor inruilt op de tweedehands markt, dan houd je dus relatief gezien meer geld op zak wanneer je voor een midranger kiest.

▼ Volgende artikel
Consumenten testen: de Philips 1000-serie Luchtbevochtiger
© Philips
Energie

Consumenten testen: de Philips 1000-serie Luchtbevochtiger

Droge lucht in huis kan voor veel ongemak zorgen, maar doet de Philips 1000-serie luchtbevochtiger daar echt iets aan? Het Review.nl Testpanel nam de proef op de som! Tien testers hebben dit slimme apparaat uitgebreid beoordeeld op prestaties, gebruiksgemak, design en extra functies zoals de aromatherapie-optie. In dit artikel lees je hun eerlijke ervaringen, inclusief plus- en minpunten.

Partnerbijdrage - in samenwerking met Philips

De Philips HU1510/03 luchtbevochtiger uit de 1000-serie belooft een comfortabeler en gezonder binnenklimaat. Dit apparaat is ontworpen om ongemakken zoals droge lucht, geïrriteerde ogen, droge keel en een verstopte neus tegen te gaan. De leden van het Review.nl Testpanel hebben hun ervaringen gedeeld en het product beoordeeld op ontwerp, prestaties, gebruiksgemak en meer. Dit rapport vat hun ervaringen samen en biedt een eerlijk inzicht in de sterke en minder sterke punten van deze luchtbevochtiger.

©Philips

Veelzijdig en stijlvol ontwerp

De vormgeving van de Philips HU1510/03 wordt door bijna alle testers geprezen. Testers zoals Nico Romijn roemen het 'fraaie ontwerp dat in elk interieur past', mede dankzij de aanpasbare verlichting. Tester P. Blaak benadrukt hoe compact het apparaat is: ideaal voor zowel woonkamers als kantoren.

Hoewel de meeste testers tevreden zijn over het design, merkt Rxbxndxjxng op dat dit apparaat wel 'wat plastic oogt', wat volgens hem voor een goedkope uitstraling zorgt. Gelukkig heeft de rest van de testers daar geen problemen mee en is er vooral positieve feedback op de compacte afmetingen, de aanpasbare kleuren en de rustige uitstraling.

Prestaties en luchtbevochtiging

De luchtbevochtigingsfunctie van dit apparaat krijgt veel lof, vooral vanwege de effectiviteit. Verschillende testers, waaronder Robbert en MPreviews, merkten op dat de luchtvochtigheid snel verbeterde en dat klachten zoals droge ogen en een droge keel afnamen. Robbert zegt: "Deze luchtbevochtiger brengt de luchtvochtigheid moeiteloos naar 60 procent, wat direct merkbaar is in ons comfort." De automatische modus die de vochtigheid constant houdt, werd als zeer gebruiksvriendelijk ervaren.

Een opvallende extra functie is de mogelijkheid om aromatherapie toe te voegen. Dat werd door testers zoals Jandetester12 als een fijne toevoeging ervaren. Toch gaf één tester aan dat deze functie iets te subtiel werkte: "Zelfs met extra druppels olie ruik je het nauwelijks."

©Philips

Gebruiksgemak: een sterke troef

Het gebruiksgemak van de luchtbevochtiger scoort bijzonder hoog, met een gemiddelde beoordeling van een 9,0. Veel testers benadrukken hoe eenvoudig het apparaat te installeren en te bedienen is. M. van Ophem noemt deze luchtbevochtiger 'superprettig en makkelijk in gebruik, zelfs voor iemand zonder technische kennis'.

Ook de Air+-app krijgt veel lof. Hiermee kunnen gebruikers op afstand instellingen aanpassen, meldingen ontvangen en de luchtvochtigheid in de gaten houden. Testers zoals MPreviews en een anonieme tester benadrukken hoe overzichtelijk en gebruiksvriendelijk de app is.

©Philips

Stille werking en nachtmogelijkheden

Een van de meest gewaardeerde eigenschappen is de stille werking. Vooral de nachtmodus, waarbij het apparaat nauwelijks hoorbaar is, viel in de smaak. Jay van Windt merkt op dat deze modus ideaal is voor in de slaapkamer en dat het apparaat vrijwel geruisloos werkt. Met een maximale geluidsproductie van 34 dB blijft het apparaat tijdens zowel dag- als nachtgebruik aangenaam stil.

Onderhoud en schoonmaak

Hoewel het apparaat eenvoudig in gebruik is, vergt het wel regelmatig onderhoud. Meerdere testers, zoals P. Blaak en Rxbxndxjxng, geven aan dat het apparaat iets vaker schoongemaakt moet worden dan verwacht. Dat is echter geen groot bezwaar, gezien het gemak waarmee het waterreservoir en andere onderdelen gereinigd kunnen worden.

Gelukkig is er een speciale anti-kalkcassette leverbaar die niet alleen de levensduur van het apparaat aanzienlijk kan verlengen, maar die er ook voor zorgt dat witte aanslag wordt voorkomen. Dan is schoonmaken dus eigenlijk niet meer nodig.

Conclusie: sterke prestaties en gebruiksgemak

Met een gemiddelde totaalscore van een 8,5 biedt de Philips HU1510/03-luchtbevochtiger een betrouwbare oplossing voor droge binnenlucht. De belangrijkste pluspunten volgens de testers zijn:

Pluspunten:

  • Stil en compact: ideaal voor slaap- en woonkamers
  • Automatische luchtvochtigheidsregeling: zorgt voor constant comfort
  • Gebruiksgemak en Air+-app: intuïtieve bediening en handige meldingen
  • Aromatherapie-optie: een extra die de sfeer verhoogt

Minpunten:

  • Regelmatig schoonmaken nodig (let op: met een optionele anti-kalkcassette is dat niet meer nodig)
  • De plastic look stoorde enkele testers
  • Aromatherapie werkt soms wat subtiel

Meer weten over deze luchtbevochtiger?

Bekijk 'm op Kieskeurig.nl!