Let's Encrypt heeft tientallen miljoenen gratis ssl-certificaten uitgegeven, maar daarvan worden er een flink aantal misbruikt op phishingwebsites en andere louche pagina's. Daardoor ontstaat nu de discussie: wie is er verantwoordelijk voor zulke flaters?

Https wint aan terrein. Het versleutelen van websiteverkeer was een paar jaar geleden nog alleen nodig bij het versturen van gevoelige informatie of het inloggen op accounts, maar inmiddels zijn we bijna zover dat een meerderheid van het internet gebruik maakt van ssl-certificaten om het surfgedrag van bezoekers te beschermen. Regelmatig verschijnt ook in het nieuws dat er weer grote sites gebruik maken van https om hun bezoekers anoniem te houden.
 

Gemeengoed

Het beschermen van gegevens is niet meer alleen voorbehouden aan websites die persoons- of accountgegevens behandelen, met name om te voorkomen dat persoonsgegevens onderschept konden worden via man-in-the-middle-aanvallen of hackpogingen. Inmiddels is het echter gemeengoed om ook gewone sites via https te laten lopen, omdat veel webmasters de privacy van hun gebruikers belangrijker vinden. Er zijn overigens ook andere redenen: https-websites worden steeds beter geïndexeerd door zoekmachines.

Https maakt niet compleet onzichtbaar welke sites je bezoekt, maar is desalniettemin behoorlijk anoniem. In plaats van te zien welke subdomeinen je bekijkt en welke informatie je daar leest zie je van een https-surfer alleen het algemene domein waar hij zich bevindt. Welke informatie je bekijkt of welke subpagina's is dan onzichtbaar - erg prettig bij bepaalde soorten websites...
 

DigiNotar

DigiNotar liet zien dat niet alle https-certificaten per definitie veilig waren

Https heeft echter niet altijd voordelen. Een paar jaar geleden bleken certificaten van DigiNotar makkelijk te spoofen door de Iraanse overheid. Dat deed het vertrouwen in websites met een ssl-certificaat op zijn grondvesten schudden; het bedrijf dat als enige taak had om je te vertellen wanneer een site veilig was faalde in die taak. Wie was er nog wel te vertrouwen?
 

SEO

Anno 2017 is https vooral voordelig voor een site, maar dat was lang niet het geval. Https was trager dan http, en kon problemen opleveren met de search engine optimization van websites of advertenties werden er slechter door weergegeven. Maar de voordelen wegen daar inmiddels tegenop. Zo straft Google websites met http sneller af in de zoekresultaten, een belangrijke drijfveer voor veel websites om over te stappen naar encryptie. Bovendien is https inmiddels net zo snel als een gewone verbinding.

De grootste omslag is echter dat ssl-certificaten altijd erg prijzig waren. Daar kwam anno 2015 met de eerste publieke bèta van Let's Encrypt echter een einde aan, en dat veranderde het internet.
 

Gratis alternatief

<

Let's Encrypt is de enige partij die gratis SSL/TLS-cerificaten uitgeeft

a href="https://letsencrypt.org/" target="_blank">Let's Encrypt is een initiatief van verschillende grote tech- en privacyorganisaties zoals Mozilla en de Electronic Frontier Foundation. Het idee was om een gratis en open source TLS-certificaat uit te brengen dat iedere website kan implementeren. Door de certificaten gratis te maken kon iedere kleine websitebeheerder zijn site met encryptie beschermen, iets dat normaal een flinke investering zou zijn die je niet zo snel doet voor bijvoorbeeld een simpele blog. Let's Encrypt bleek een schot in de roos. Sinds de dienst in april 2016 officieel uit de bèta werd gehaald draaien ruim 32 miljoen websites een eigen ssl-certificaat, en daar komen er iedere dag meer bij.
 

Gewild bij criminelen

Juist omdat de dienst gratis is en niet centraal wordt aangestuurd zijn de certificaten echter erg gewild bij criminelen. Die gebruiken Let's Encrypt-certificaten om phishing-slachtoffers het gevoel te geven dat ze op een legitieme site zijn beland. Met name PayPal is een populaire manier dat te doen. Iedere dag (!) worden er niet minder dan 100 nieuwe Let's Encrypt-certificaten toegevoegd aan een domein met een variant van PayPal in de naam. Volgens (het concurrerende) The SSL Store zijn er inmiddels 15,270 ssl-certificaten uitgebracht op één of ander PayPal-domein.
 

Onwetendheid over SSL/TLS

Een deel van het probleem is ook dat veel doorsnee internetgebruikers niet weten wat https en ssl precies inhoudt. Banken waarschuwen bijvoorbeeld al jaren voor phishing-aanvallen door klanten te wijzen op 'het groene slotje in de adresbalk' dat zogenaamd aangeeft dat je op een veilige site zit. Voor veel gebruikers staat een groen slotje dan ook garant voor een veilige site - maar dat is vaak helemaal niet terecht.

Een SSL/TLS-certificaat zegt echter niets over de legitimiteit van een website, maar alleen over de authenticiteit daarvan. "Ja," zegt het certificaat, "deze website is wat het zegt te zijn." Maar of dat een gewone bankwebsite is of een malafide site die gegevens wil stelen wordt niet gecontroleerd.
 

Kritiek

Critici en certificaatautoriteiten wijzen naar elkaar over de schuldvraag

Er komt steeds meer kritiek op Let's Encrypt en de organisatie daarachter (de 'Internet Security Research Group', of ISRG). Het belangrijkste punt is dat critici vinden dat de ssl-certificaten teveel onschuldige gebruikers doen geloven dat ze niets te vrezen hebben van een phishing-website. Dat heeft ook weer tot gevolg dat het groene slotje in een browser steeds minder waarde heeft voor de gemiddelde bezoeker, de voordelen als anonimiteit daargelaten. Toegegeven, veel van die kritiek komt van uitgevers van certificaten, die hun verdienmodel door Let's Encrypt ernstig bedreigd zien worden.
 

¯\_(ツ)_/¯

Let's Encrypt is verrassend uitgesproken over de kwestie, en zegt in niet te misstane woorden dat hen niets te verwijten valt. Let's Encrypt controleert de url via de Google Safe Browsing API, maar laat de websites na die check met rust. Zelfs als Google op een later tijdstip besluit dat een domein toch onveilig is, blijft Let's Encrypts certificaat van kracht. Volgens de organisatie is het onbegonnen werk om daar tegen op te treden, omdat het om zo veel sites gaat.

In plaats daarvan wijst de ISRG naar andere autoriteiten, bijvoorbeeld domain registrars die domeinnamen uitdelen. Ook zegt de ISRG dat browsers zoals Firefox en Chrome op dit moment goede mechanismes hebben om malafide domeinen tegen te houden.
 

Bewustzijn

De discussie over wie er verantwoordelijk is voor het legitimeren van phishingwebsites blijft nog wel even bestaan. Belangrijker is dat de doorsnee internetgebruiker meer leert over wat SSL/TLS en https precies inhoudt. Het tegengaan van phishing begint immers met bewustzijn.

De OnePlus Pad Go 2 is een betaalbare Android-tablet die duidelijk wil concurreren met Apples iPad. Ze kosten bijna evenveel en de iPad is voor veel mensen een hele fijne keuze. De OnePlus Pad Go 2 laat echter ook een erg goede indruk achter, zoals je kunt lezen in deze review.

Pak je de OnePlus Pad Go 2 op, dan merk je direct dat je een goede tablet in handen hebt. De bouwkwaliteit is dik in orde en de tablet is lichter en dunner (6,8 millimeter) dan je zou denken. Het scherm van 12,1 inch is erg groot, waardoor foto’s, video’s, games en apps goed tot hun recht komen. Interessant is de 7:5-schermverhouding, die aangeeft dat het scherm bijna het formaat van een A4’tje heeft. Veel tabletschermen hebben een smaller 16:10-scherm. Het meer vierkante scherm van de OnePlus-tablet is prettig als je e-mails tikt of nieuws leest, maar heeft niet echt meerwaarde bij het kijken van Netflix-video’s. Je krijgt dan hogere balken boven en onder je video te zien. Het lcd-scherm oogt fel genoeg, scherp en lekker soepel dankzij de 120Hz-verversingssnelheid.

©Rens Blom

Een gemiste kans aan deze tablet vinden we het ontbreken van een officieel toetsenbordje, eventueel verwerkt in een beschermhoes. Met zo’n toetsenbordje hadden we productiever kunnen werken op deze tablet. OnePlus verkoopt wel een eigen beschermhoes en styluspen, die weliswaar prima zijn maar niet opvallen qua prijs-kwaliteitverhouding. Wat we ook missen, is een vingerafdrukscanner op de tablet. We moeten hem nu steeds ontgrendelen met een pincode of (onveiliger) een scan van ons gezicht.

©Rens Blom

De OnePlus Pad Go 2 is verkrijgbaar in het zwart of lavendelpaars. Die tweede kleur is erg vriendelijk. Grote vraag is wel of je merkt welke kleur tablet je in handen hebt als je een hoes om het apparaat bevestigt om hem beter te beschermen.

Fijne hardware

In een betaalbare Android-tablet mag je tegenwoordig prima specificaties verwachten. OnePlus voldoet aan die verwachting. De Pad Go 2 is lekker snel dankzij de MediaTek Dimensity 7300 Ultra-processor en 8 GB werkgeheugen. In de versie die alleen wifi ondersteunt zit 128 GB opslagcapaciteit (voor velen genoeg) en in de variant die ook 5G aankan, vind je 256 GB opslagcapaciteit. Die versie is wel duurder en wij denken dat veel mensen het best af zijn met de wifi-uitvoering.

Een groot pluspunt van de OnePlus Pad Go 2 is zijn accuduur. Daar hadden we stiekem al een beetje op gerekend, want de tablet is voorzien van een opvallend grote 10.050mAh-batterij. Bij intensiever gebruik kunnen we de Pad Go 2 anderhalve werkdag gebruiken. Pakken we hem minder vaak en meer voor entertainmentdoeleinden, dan is twee tot drie dagen gebruik mogelijk. Een mooie score.

Opladen doet de tablet via zijn usb-c-poort. Het laden kan met maximaal 33 watt, maar je moet zelf een adapter regelen. In de doos zit alleen een usb-c-kabel. Kies bij voorkeur een krachtige adapter, anders duurt het vele uren om de accu op te laden.

©Rens Blom

Nog even over de camera’s, voor zover je die (niet) gebruikt op een uit de kluiten gewassen tablet. De Pad Go 2 heeft een aardige webcam en een redelijke camera op de achterkant.

Lekker multitasken

De OnePlus Pad Go 2 draait op Android 16 met de OxygenOS-softwareschil van OnePlus. Deze softwarelaag werkt erg fijn, met name omdat je op het grote scherm makkelijk twee apps naast elkaar kunt gebruiken. OnePlus noemt deze functie Open Canvas. We zijn ook gecharmeerd van het updatebeleid. De tablet krijgt vijf Android-upgrades en beveiligingsupdates tot eind 2031. Tegen die tijd is de Pad Go 2 ook wel toe aan pensioen, vermoeden we zo.

©Rens Blom

iPad-alternatief

Apples iPad (2025) is ook een fijne tablet, draaiend op iPadOS dat uiteraard anders is dan Android. De iPad met 128 GB opslagcapaciteit kost in Nederland vanaf 369 euro. De OnePlus Pad Go 2 heeft een adviesprijs van 349 euro, maar is regelmatig in de aanbieding voor 299 euro plus gratis draadloze oordopjes. Een scherpe prijs die de Pad Go 2 een nog boeiender iPad-alternatief maakt.

OnePlus Pad Go 2 kopen?

De OnePlus Pad Go 2 is een betaalbare Android-tablet met een groot scherm, fijne gebruikservaring en jarenlange softwareondersteuning. Dat maakt hem absoluut aan te raden als je ongeveer 300 euro wilt uitgeven aan een tablet en niet per se een (of juist helemaal geen) Apple iPad wil.

Bungie, de studio achter de Destiny-franchise en de eerste Halo-games, heeft de releasedatum van hun nieuwe shooter Marathon aangekondigd. Het spel verschijnt op 5 maart.

Eind vorig jaar werd al aangekondigd dat de multiplayergame ergens in maart van dit jaar zou verschijnen, maar nu is dus de exacte releasedatum bekend. Het spel komt op die dag naar PlayStation 5, Xbox Series X en S en Steam.

Verschillende edities

Mensen kunnen de game nu ook alvast reserveren. Er zijn verschillende edities beschikbaar, waarbij de standaard editie 39,99 euro kost. Mensen die deze editie (of de andere edities) aanschaffen, krijgen het gehele jaar door nieuwe content voorgeschoteld, inclusief nieuwe maps en evenementen. Door deze editie te reserveren ontvangt men ook bonussen in de game, waaronder wapenstickers, emblemen en 'charms' voor wapens.

Daarnaast is er ook een Deluxe Edition voor 59,99 euro beschikbaar. Hierbij ontvangt men onder andere extra cosmetische items voor wapens, een voucher voor een Premium Rewards Pass en 200 'Silk Rewards Pass Tokens'. Tot slot is er een Collector's Edition die via de Bungie Store beschikbaar komt met daarin een Thief Runner Shell-beeldje, een miniatuur WEAVEworm en meer.

Stemmencast

Bungie heeft verder ook de Engelstalige cast bekendgemaakt die stemmen voor de game verzorgd. Onder de stemacteurs vallen Krizia Bajos, Samantha Béart, Beau Bridgland, Ry Chase, Roger Clark, Darin De Paul, Jennifer English, Dave Fennoy, Nika Futterman, Morla Gorrondona, Reina Guthrie, Donnla Hughes, Keston John, Sohm Kapila, Rich Keeble, Elliot Knight, Erica Lindbeck, Piotr Michael, Brent Mukai, Neil Newbon, Ariana Nicole George, Emily O’Brien, Lee Shorten, Jason Spisak, Ben Starr, JB Tadena, Fred Tatasciore, Craig Lee Thomas, Elias Toufexis, Oliver Vaquer, Scott Whyte, Tracy Wiles en Erin Yvette.

Over Marathon

Marathon is een player-versus-player extraction-shooter met een sciencefictionthema. In de game besturen spelers een soort futuristische huurmoordenaars die ook wel Runners worden genoemd. Spelers verkennen een verloren kolonie op de planeet Tau Ceti IV en vechten het tijdens het verzamelen van loot tegen elkaar uit. Er kan in teamsverband of alleen gespeeld worden.

Het ontwikkeltraject van de nieuwe Marathon alles behalve vlekkeloos verlopen. De game had in eerste instantie afgelopen september moeten uitkomen. Tijdens alfatests gaven spelers echter wisselende feedback over de ervaring. Daarnaast bleek er artwork in de game te zitten die was gestolen. Hoewel de persoon die daar verantwoordelijk voor was niet meer werkzaam was bij het bedrijf toen dit ontdekt werd, moest het spel toch uitgesteld worden - niet alleen om de ervaring te verbeteren, maar ook om de gestolen assets te vervangen.

Overigens is Marathon geen compleet nieuwe franchise. Bungie ontwikkelde in de jaren negentig van de vorige eeuw - nog voordat het bedrijf voor Microsoft de Halo-franchise creëerde - al Marathon-spellen. In feite keert de ontwikkelaar, die inmiddels onderdeel uitmaakt van PlayStation Studios, met de nieuwe Marathon dus weer terug naar zijn roots.