Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

De Huawei Freeclip 2 is een opmerkelijke set oordopjes. Niet alleen omdat je ze om je oren draagt, alsof het oorbellen met clipjes zijn, maar omdat er een bijzonder verrassend geluid uit komt, ondanks dat compacte formaat. Het grootste minpunt? De prijs…

Het kan zijn dat het ontwerp van de Huawei Freeclip 2 je nog niet bekend voorkomt. Toch bestaat dit soort oordopjes al een tijdje. Niet alleen in de vorm van de voorganger van dit model; Motorola heeft bijvoorbeeld de Buds Loop, terwijl JBL eerder de Soundgear Clips aankondigde. Desondanks geniet de productcategorie nog weinig populariteit. Waarschijnlijk vanwege de iets minder audiokwaliteit en iets hogere aanschafprijs in vergelijking met 'normale' oortjes.

De Huawei Freeclip 2 valt (net als zijn soortgenoten) onder de categorie open-ear-oordopjes (en subcategorie C-bridge). Dat betekent dat ze niet ín je oren gaan, maar net boven de gehoorgang hangen en de muziek als het ware de opening in blazen. Daardoor blijf je goed in contact met je directe omgeving terwijl je naar je eigen muziek luistert, en anderen hebben daar weinig last van: er lekt soms wat geluid weg, maar meestal zo zacht dat het nauwelijks stoort.

©Wesley Akkerman

Verbeteringen Huawei Freeclip 2

Mocht je al weg bekend zijn met de Huawei Freeclip, dan is het goed om even kort te verbeteringen te bespreken. Deze set beschikt bijvoorbeeld over adaptieve audio, waardoor hij het volumeniveau aan de omgevingsgeluiden kan aanpassen. Daarnaast kun je de hardware bedienen met zowel tik- als veegbewegingen. De batterijen houden het één uur langer vol (nu negen uur) en het oplaadhoesje gaat twee uur langer mee (nu in totaal 38 uur).

Ook mooi meegenomen: de oorhangers wegen ongeveer elf procent minder dan de eerste variant, terwijl Huawei niet inleverde op audiokwaliteit. Sterker nog: die is er op vooruitgegaan. Muziek klinkt over het algemeen helder en fris en als je binnen de bijbehorende app de equalizer gebruikt, ook nog eens warm en omhelzend. De bas kan soms wat scherp klinken en er treedt enige vervorming op na het gebruik van die equalizer, maar dit valt allemaal binnen de verwachting.

©Wesley Akkerman

De afweging maken

Je kunt van een set open-ear-dopjes namelijk niet dezelfde audiokwaliteit verwachten als van oordoppen die daadwerkelijk je gehoorgang ingaan en de boel netjes afsluiten. Desondanks zijn we onder de indruk van de audiokwaliteit. Je favoriete tunes klinken aangenaam en vertrouwd; een groter compliment kunnen we open-ear-setjes niet geven. Onze ervaringen met andere merken dopjes laten qua audio nog wel eens wat te wensen over, maar hier vallen veel negatieve ervaringen weg.

Zoals gezegd klinkt de audio niet perfect. Je mist soms wat detail en ook de bredere soundstage die je krijgt met oordoppen die je afsluiten van de wereld. De vraag is alleen: maakt dat in de praktijk veel uit? Meestal niet, want met open-ear-modellen kies je bewust voor die balans. Je levert iets in op geluidskwaliteit, maar je blijft je omgeving horen. Daardoor lenen dit soort sets zich perfect lenen voor bijvoorbeeld fietsers en wanneer je in de sportschool bent: momenten waarop je niet helemaal afgesloten wilt zijn van de buitenwereld.

©Wesley Akkerman

Draagcomfort is top, bediening laat steken vallen

Verder zitten de Huawei FreeClip 2-oortjes opvallend prettig. Je hangt ze als het ware aan je oor en schuift ze daarna simpelweg naar de plek die voor jou goed voelt. Zitten ze hoger fijner, dan zet je ze iets omhoog. Liever wat lager, dan laat je ze wat meer zakken. Fijn is ook dat ze bij de meeste oorbellen niet in de weg zitten, dus je hebt best veel speelruimte voor de pasvorm. En als leuke extra: ze vallen op als een soort sieraad – je oogt meteen wat modieuzer met deze dingen.

Dat gezegd hebbende zijn we minder te spreken over de fysieke bediening. Het is fijn dat je kunt vegen en tikken, maar juist dat tikken op de dunne rand (de C-brug) werkt minder betrouwbaar dan je hoopt. Eén tik doet gelukkig niets, want die maak je soms al per ongeluk. Alleen: als je wél bewust een tik- of drukbeweging probeert te doen, pakt de brug dat lang niet altijd. Of je nu net te zacht drukt of net niet snel genoeg bent, het resultaat is hetzelfde: we grepen uiteindelijk toch steeds naar onze smartphone om te pauzeren, te skippen of het volume aan te passen.

Daarnaast helpt het ook niet dat je voor Huawei-producten apps moet downloaden die niet gewoon in de Google Play Store staan. Je moet eerst AppGallery van Huawei downloaden en vervolgens AI Life installeren. Android geeft zelfs een flinke waarschuwing en dat voelt niet bepaald geruststellend. Ga je toch door, dan krijg je wel een overzichtelijke manier om de Huawei FreeClip 2 te beheren. Aan de app zelf ligt het dus niet.

Huawei Freeclip 2 kopen?

Met een prijskaartje van pakweg 200 euro moet je diep in de buidel tasten voor de Huawei Freeclip 2. Maar daar krijg je dan ook wel de meest comfortabele open-ear-oordoppen van dit moment voor terug. Koppel dat aan een warme en vertrouwde audiobeleving en je houdt een set over die in deze categorie zijn weerga niet kent. Het gedoe met de app en de bediening is vervelend, zeker op dit prijspunt, dus hopelijk doet de fabrikant daar nog iets mee.

Microsoft heeft de Xbox Game Pass-titels van de komende wekend aangekondigd. Onder de games die naar de dienst komen valt ook Death Stranding: Director's Cut, die sinds vandaag op Game Pass staat.

De nieuwe Xbox Game Pass-toevoegingen werd via Xbox Wire aangekondigd. Daar valt ook meer informatie over de verschillende games die naar de abonnementsdienst komen te lezen.

Death Stranding

De Director's Cut van Death Stranding is daarbij een van de meest opvallende toevoegingen. Het spel van Hideo Kojima kwam in eerste instantie alleen op PlayStation-consoles uit, maar kwam daarna ook naar Xbox. Kojima bedacht hiervoor de Metal Gear-reeks en staat bekend om zijn vaak duizelingwekkende concepten en haast onnavolgbare verhalen in zijn games. Inmiddels is ook een vervolg op Death Stranding uitgekomen op PlayStation 5, maar die is nog niet op andere platforms beschikbaar.

In Death Stranding maken we kennis met een Amerika dat uit elkaar is gevallen doordat de grens tussen deze wereld en het dodenrijk vervaagt. De wereld wordt geteisterd door unieke regenbuien die niet alleen levende wezens en materialen in extreem snel tempo verouderen, maar ook een soort geesten (BT's) laten verschijnen. Als gevolg hiervan is de samenleving in de VS uit elkaar gevallen en zijn de overgebleven steden afgesloten, vaak ondergrondse forten die geen contact met elkaar hebben.

Spelers besturen Sam Porter Bridges - gespeeld door The Walking Dead-ster Norman Reedus - die door Amerika trekt en pakketjes tussen de verschillende vestigingen vervoert. Ondertussen probeert hij de steden aan een netwerk te verbinden, zodat de samenleving langzaam maar zeker weer in contact met elkaar komt en materialen kunnen uitwisselen via het netwerk. Sam heeft daarnaast de unieke eigenschap de hierboven genoemde BT's te zien. Hij weet zelfs wanneer hij ze nadert doordat hij een speciale baby bij zich draagt met soortgelijke paranormale gaven.

De Xbox Games Pass-toevoegingen

Hieronder zijn alle toevoegingen aan Xbox Game Pass van de komende weken te zien.

Deze games verdwijnen op 31 januari van Xbox Game Pass: