Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

Tijdens een rechtszaak heeft Mark Zuckerberg, de ceo van Facebook- en Instagram-bedrijf Meta, geclaimd dat het bedrijf geen apps meer maakt die verslavend zijn.

In Californië is een civiele rechtszaak gaande tegen socialmediabedrijven. Deze rechtszaak is door een individu - een twintigjarige vrouw die claimt op jonge leeftijd verslaafd is geraakt aan social media - aangespannen. De aanklacht maakt echter onderdeel uit van een grotere zaak waarbij 1600 mensen claimen dat platforms als Meta's Instagram en Google's YouTube bewust verslavend zijn voor de gebruikers.

Daarbij werd ook Zuckerberg deze week aan de tand gevoeld. Hij ontkende tijdens de rechtszaak dat het bedrijf tegenwoordig nog apps maakt die erop gebrand zijn gebruikers zo lang mogelijk aan het scherm gekluisterd te houden.

NOS maakt melding van interne e-mails van Zuckerberg die volgens de aanklager in ieder geval aantonen dat het bedrijf voorheen wel platforms zo verslavend mogelijk maakte. Het doel was voorheen om de tijd dat mensen aan apps van het bedrijf besteedden, te verdubbelen. Zuckerberg heeft aangegeven dat dit inmiddels geen doel meer van het bedrijf is.

Over de rechtszaak

Naast Meta zijn ook de bedrijven achter YouTube, Snapchat en TikTok aangeklaagd. De laatste twee bedrijven hebben echter al een schikking met de betreffende aanklager getroffen. Ze ontkennen schuld, maar geven wel compensatie.

De rechtszaak richt zich naast mogelijke verslavingen aan socialmedia-apps vooral ook op de manier waarop minderjarige gebruikers van deze platforms worden vastgehouden. Meta zou zich volgens de aanklager niet genoeg inzetten om mensen onder de 13 jaar te weren.

De uitkomst van de rechtszaak kan verregaande gevolgen hebben rondom de regulering van social media, en de toon kunnen zetten voor toekomstige rechtszaken rondom hetzelfde onderwerp. Er wordt in steeds meer landen overwogen om social media niet meer voor jongeren beschikbaar te stellen. Eind vorig jaar werd dit in Australië al doorgevoerd, en TikTok gaf vorige maand aan strenger op te gaan treden om zo gebruikers van jonger dan 13 jaar te weren. Ook Zuckerberg gaf tijdens de rechtszaak aan stappen te ondernemen om de jongste leden van de samenleven te weren van zijn platforms.

Sony PlayStation sluit in maart Bluepoint Games, de studio achter de remake van Demon's Souls.

Dat heeft een woordvoerder van Sony aan Bloomberg bevestigd. Door de sluiting zullen ongeveer zeventig werknemers hun baan verliezen. Volgens de woordvoerder is het besluit om de studio te sluiten genomen na "een recente zakelijke beoordeling."

"Bluepoint Games is een enorm getalenteerd team en hun technische expertise heeft exceptionele ervaringen voor de PlayStation-gemeenschap opgeleverd", zo stelde de woordvoerder. "We bedanken ze voor hun passie, creativiteit en vakmanschap."

Hermen Hulst aan het woord

In een bericht die via ResetEra werd gedeeld, liet PlayStation Studios-baas Hermen Hulst - voorheen van de Amsterdamse studio Guerrilla Games - weten dat het besluit werd genomen vanwege "een toenemende uitdagende industrie-omgeving". Aldus Hulst: "Stijgende ontwikkelkosten, een vertraging in de groei van de industrie, veranderingen in het gedrag van spelers en bredere economische tegenwind maken het moeilijker om games duurzaam te bouwen."

Hulst vervolgt: "Om ons in deze realiteit te navigeren moeten we ons aanpassen en moeten we evolueren. We hebben goed gekeken naar ons bedrijf om er zeker van te zijn dat we hedendaags leveren, terwijl we ook klaar zijn voor de toekomst. Daarom zullen we Bluepoint Games in maart sluiten."

Hij eindigde zijn bericht met het volgende: "Ik weet dat dit moeilijk nieuws is om te horen, maar ik ben zeker van de richting die we hebben gekozen. Creativiteit, innovatie en het bouwen van onvergetelijke ervaringen voor spelers blijven de kern van PlayStation Studios. We hebben een robuuste line-up voor het fiscale jaar 2026, en hebben de komende maanden veel om naar uit te kijken."

Over Bluepoint Games

Bluepoint werd in 2021 overgenomen door Sony Interactive Studio. Daarvoor werkten de bedrijven al veel samen, en de studio stond vooral bekend om hun expertise bij het creëren van remakes en remasters. Denk aan de remake van Demon's Souls die tegelijk uitkwam met de PlayStation 5, maar ook God of War Collection, de remake van Shadow of the Colossus en Uncharted: The Nathan Drake Collection.

Vorig jaar bleek al dat Sony een liveservicegame die ontwikkeld werd door Bluepoint had geannuleerd. Volgens geruchten ging het om een liveservicegame gesitueerd in het God of War-universum.

Sony heeft de afgelopen jaren meer studio's gesloten. In 2024 sloten bijvoorbeeld Firesprite, Firewalk en Neon Koi hun deuren.