Waarom heb ik nu HTTPS nodig op mijn website?

Over HTTPS/SSL is er al veel geschreven en gezegd en afgelopen vrijdag was Google ook nog eens mijn mailbox aan het volpompen met warnings voor de aankomende https-wijziging in de Chrome browser in oktober.

Google is sending these https-warning mails now really on a higher speed. Full mailbox this morning…. pic.twitter.com/f9mBOYrrRs

— Herman Maes (@Dailybits) August 18, 2017

Wat ik de afgelopen dagen geregeld zie is dat men zich begint af te vragen waarom Google hier zo hysterisch over doet. Voor e-commerce/privacy gevoelige websites ziet iedereen de nood voor HTTPS wel, maar voor een gewone content website/blog?!?

lees bijvoorbeeld even de comments op mijn Linkedin post van enkele weken geleden (PS: zie ook die view count op die banale Linkedin post!?!).

5 redenen waarom jouw contentwebsite wel HTTPS nodig heeft

Daarom heb ik alvast even een lijstje met wat redenen bij elkaar gezet, waarom je nu toch beter echt een HTTPS migratie doet:

1. Vanaf oktober zal Chrome dus ELK invoerveld op je website als onveilig gaan beschouwen. Dus ook een veld om commentaar te geven bijvoorbeeld. Het zal dus zeker voor een impact gaan zorgen (zeker als de media erover gaat berichten).

2. Je wordt stilaan een http-uitzondering, daar Chrome ondertussen in de meeste landen meer dan 60-70% van alle opgevraagde pagina’s over https ziet voorbijkomen.

3. Technisch gezien komt er de nieuwe HTTP2 standaard aan, waardoor webconnecties veel efficiënter worden opgezet en alle websites dan ook sneller zullen worden. Enja hiervoor heb je HTTPS nodig.

4. Ik heb al een eerdere blogpost geschreven over HTTP migraties. Ondertussen is dit een “eenvoudig” werkje geworden, daar de meeste webhosts het gratis Let’s Encrypt HTTPS certificaat aanbieden. Contacteer me als je hulp nodig hebt.

5. De belangrijkste reden heb ik alvast tot het einde gehouden: Ja je hebt wel iets te verbergen (of toch jouw bezoekers)! Een HTTP-connectie naar een website kan zeer eenvoudig onderschept worden. Indien je dit niet erg vind, dan zou ik graag een wekelijkse export van je VOLLEDIGE surfgedrag ontvangen, zodat ik dit hier publiekelijk mag publiceren. 😉

Denk maar eens aan het feit dat US providers het volledige surfgedrag van hun gebruikers mogen verkopen (zonder het vragen van enige toestemming).

Dit onderscheppen van je verbinding is een zogenaamde MITM-aanval (Man In The Middle attack).

---

Legal warning

Wat ik in het 2de deel van de blogpost laat zien mag enkel in huiselijke kring gedaan worden. Zelfs het bezitten van dit research toestel (dat vrij online te bestellen is) is eigenlijk ook niet legaal.

Ik moedig dan ook niemand aan om dit buiten de huiselijke kring te gaan uitvoeren zonder de expliciete toestemming van alle deelnemers van je experiment. 😉

---

Hallo Wifi Pinneaple – onderscheppen van HTTP connecties

Je kan dit apparaat het beste omschrijven als “hacking for dummies”. Met een goede portie netwerk/security/internet kennis (Mac gebruikers hebben wat meer kennis nodig trouwens) heb je dit kleine “research device” al snel operationeel en kan je volgende zaken gaan doen:

• Een “rogue access point” aanmaken met een naam zoals “Free wifi” en je hiermee ergens op een terras of in een station zetten. Je kan het vergelijken met een wespenvanger op een zomers terras. 😉
• Een bestaande publieke wifi access point gaan overrulen met het sterkere signaal vanuit de Wifi Pineapple, om zo websurfers langs jouw laptop op de bestaande wifi toegang te laten connecteren. Je gaat dus als het ware tussenstation spelen.

Wat je dus gaat doen is al het surfverkeer onderscheppen en doorsturen naar het echte internetverkeer. Het leuke op die moment is echter, dat je perfect alle HTTP verbindingen dus ook onbeveiligd ziet voorbijkomen (inclusief ingegeven wachtwoorden, formulieren,…).

Even testen of het werkt

Altijd een “stoer” momentje als je zoiets ook daadwerkelijk kan simuleren en testen. Ik heb dan ook mijn WIFI pineapple eens aan mijn Macbook gehangen (na een avondje liggen zoeken naar de juiste configuraties, daar het op MacOS toch geen plug-and-play is) en een zwarte hoodie aangedaan (wat dan ben je pas een “hacker”).

IN de interface van de Pineapple heb ik dan ook een onschuldig publiek wifi aangemaakt “freewifi” en daarop met mijn smartphone geconnecteerd. Bij het bezoeken van een http-only wordpress (van een klant) met mijn smartphone en het inloggen via wp-admin, zag ik de activiteit binnenkomen. En poef in de logs zie ik mooi in plaintext de ingegeven username en wachtwoord verschijnen… 😱

Dus denk nog eens tweemaal na voor je gaat inloggen op een publiek netwerk op een event, restaurant….

We wonen naast een speelpleintje met veel jonge ouders, die op een bankje naar hun spelende kinderen kijken. Een open wifi-verbinding vanuit mijn Dailycave gaat dus zeker elke week enkele slachtoffers kunnen maken…

De bescherming hiertegen is best eenvoudig. Zet een https-certificaat op je website (met de juiste configuratie) en deze zogenaamde “man in the middle” aanvallen worden al een heel pak moeilijker voor jouw bezoekers. En als websurfer maak gebruik van https-websites (laat de beheerder het ook weten indien het nog niet het geval is) of een eigen VPN connectie.

Enja want “ik heb niets te verbergen”, nietwaar?

Enja laat je ook bijstaan door iemand met kennis van zaken bij een https migratie. 😉

Here's a DIY site migration that didn't take SEO into account. Someone lost their job months later.
Don't let that be you when going https pic.twitter.com/kRnkUXcu0z

— Matt Lacuesta (@MattLacuesta) August 18, 2017