Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

Met de Dyson V16 Piston Animal kun je draadloos stofzuigen én dweilen, mits je het dweilopzetstuk er ook bij koopt. Dyson mikt met deze steelstofzuiger op huishoudens met dieren, maar de antiklitborstels blijken ook handig om lange menselijke haren op te zuigen. Een review van deze twee-in-één-gadget.

Dyson staat bekend om zijn premium apparatuur met stevige prijzen, en dat is bij de V16 Piston Animal niet anders. De stofzuiger heeft een adviesprijs van 849 euro. Wil je daar ook de Submarine-dweilborstel bij, dan ben je in totaal bijna 1000 euro kwijt. Dyson kennende zullen deze prijzen binnen een jaar wel enigszins dalen, waardoor de V16 Piston Animal een betere prijs-kwaliteitverhouding krijgt.

Verbeterd ontwerp

Het ontwerp van de stofzuiger steekt goed in elkaar. De kunststof behuizing voelt degelijk aan en heeft een matzwarte afwerking, wat wij persoonlijk mooier vinden dan het grijs van voorgaande Dyson-stofzuigers. De verwijderbare batterij aan de onderkant blijft een goede zet, net als het lcd-schermpje in je gezichtsveld. Op dit scherm zie je hoelang je nog kunt stofzuigen (of dweilen) en via grafieken welk soort vuil je opzuigt.

©Rens Blom

Het is fijn dat je het HEPA-filter aan de achterzijde van de stofzuiger kunt losdraaien om hem te wassen. Zo blijft de stofzuiger op de lange termijn zelf zo schoon mogelijk.

©Rens Blom

Een prettige verbetering in de V16 Piston Animal ten opzichte van vorige geteste Dyson-modellen is het stofreservoir. De draadloze steelstofzuiger heeft een opvangbak van 1,3 liter. Door een hendeltje te gebruiken, pers je het opgezogen vuil samen en raakt het stofreservoir minder snel vol. Wanneer je het stofreservoir boven je vuilnisbak leegt, valt de inhoud netjes naar beneden. Bij andere geteste Dyson-stofzuigers wil het vuil door de kracht van het geopende stofreservoir nog weleens in een cirkel omlaag dwarrelen, waardoor een deel buiten je vuilnisbak belandt. Het is goed om te zien dat Dyson hiervan heeft geleerd.

©Rens Blom

Haren opzuigen

Effectieve stofzuigers bouwen doet Dyson al jaren, en daar vormt de V16 Piston Animal geen uitzondering op. De ster van de show is een nieuwe brede zuigmond met een speciale structuur om lange haren op te zuigen zonder dat ze vastklitten in de bewegende onderdelen van het mondstuk. Dat mondstuk werkt als een trein, hebben we de afgelopen vier weken gemerkt in een huishouden met twee verharende katten, een nog erger verharende oppashond én een vriendin met lang haar. De V16 Piston Animal zuigt de complete vloer schoon, waarbij delen van kattenbakkorrels, broodkruimels, ander vuil en dus al die haren soepel de stofzuiger in verdwijnen. Dat is best een prettig aanzicht, zeker dankzij het ingebouwde laserlicht dat een deel van je vloer groen laat oplichten om beter te zien wat je opzuigt.

©Rens Blom

Slim aan die vernieuwde brede zuigmond is dat hij werkt op harde vloeren én tapijt of een kleed. De stofzuiger past zijn manier van zuigen aan als hij een andere ondergrond detecteert. Je kunt in één moeite dus je hele kamer stofzuigen, wat een fijne manier van werken is die past bij de hoge prijs van de stofzuiger.

Dyson levert de V16 Piston Animal met drie extra opzetstukken. Een langere, smallere zuigmond tovert de stofzuiger om tot een flinke kruimeldief, terwijl de twee-in-één-zuigmond bedoeld is voor tafels, traptreden en andere kleine oppervlakken. Het meest interessant vinden we een kleine zuigmond met dezelfde antiklitconstructie als de grote zuigmond. Deze kleine zuigmond leent zich goed om de bank, stoelen en je matras te stofzuigen.

©Rens Blom

De Dyson V16 Piston Animal heeft drie zuigmodi: de zuinige ecostand, de automatische stand en de boost-modus voor maximale zuigkracht. De automatische stand is het nuttigst, want die schakelt automatisch naar boost zodra hij veel vuil tegenkomt. Wij konden de stofzuiger zo'n 60 minuten gebruiken op de automatische stand. De accu opladen duurt grofweg vierenhalf uur.

Dweilen vraagt om versie 3

Voor 149 euro extra koop je de V16 Piston Animal met een dweilmond, door Dyson de Submarine 2.0 genoemd. Dat komt omdat er al een dweil met Submarine 1.0-techniek is, die overigens niet werkt met de V16 Piston Animal. Andersom kun je de 2.0-dweil niet gebruiken met vorige Dyson-apparaten. Makkelijk upgraden of uitwisselen zit er dus niet in.

©Rens Blom

Over de 1.0-dweil waren we niet heel enthousiast, en hoewel de 2.0-versie beter is, blijft het dweilen wat wiebelig en krijgen we snel strepen. De waterbak legen is wel eenvoudiger. Al met al een prima gadget om de vloer even op te frissen, maar een serieuze dweil biedt nog steeds beter resultaat.

©Rens Blom

Conclusie: Dyson V16 Piston Animal kopen?

De Dyson V16 Piston Animal is een krachtige en complete steelstofzuiger voor mensen met huisdieren en/of lange haren. De stevige prijs is begrijpelijk, maar niet mals. Dat kan wachten op een aanbieding de moeite waard kan maken. De optionele dweilmond à 149 euro weet ons niet helemaal te overtuigen.

JBL breidt zijn Junior-serie uit met de JBL Junior FREE, de eerste open-ear koptelefoon van het merk die speciaal is ontworpen voor kinderen. Het model combineert een open ontwerp met ouderlijk toezicht via een app en een maximale geluidssterkte van 85 decibel, zodat kinderen veilig kunnen luisteren zonder volledig afgesloten te zijn van hun omgeving.

De Junior FREE maakt gebruik van JBL's OpenSound-technologie, waarbij geluid via luchttrillingen naar het oor wordt geleid zonder de gehoorgang af te sluiten. Daardoor horen kinderen nog wat er om hen heen gebeurt, wat handig is tijdens huiswerk of onderweg. Tegelijkertijd beperkt de ingebouwde JBL Safe Sound-functie het volume tot 85 decibel, een niveau dat als veilig wordt beschouwd voor jonge oren. Ouders kunnen via de JBL Headphones-app het volume en de luistertijd in real-time volgen, en krijgen dagelijkse of wekelijkse rapporten over gebruik en geluidsblootstelling.

Het ontwerp is afgestemd op kinderen: lichtgewicht, flexibel en gemaakt van zacht siliconenmateriaal. De open-ear constructie rust op het oor in plaats van erin, wat volgens JBL extra comfort biedt bij langdurig gebruik. De grotere knoppen maken de bediening eenvoudig, en de spatwaterdichte behuizing (IPX4) moet de koptelefoon bestand maken tegen dagelijkse ongelukjes. De batterij houdt het tot tien uur vol, en met tien minuten opladen komt daar nog eens drie uur bij.

JBL heeft ook gedacht aan speelse details. De verpakking kan worden omgevormd tot een telefoonstandaard en in de doos zitten stickers waarmee kinderen hun koptelefoon kunnen versieren.

©JBL

De JBL Junior FREE is vanaf november verkrijgbaar in paars, turquoise en perzik. De adviesprijs is 69,99 euro.