Apple gaat strengere HTTPS regels hanteren om Safari veiliger te maken

Door: Thomas Aalderink - 8 reacties
Safari
(Afbeelding: Apple)

Om bereikbaar te zijn via Safari moet een website aan een aantal veiligheidseisen voldoen. Eén daarvan is een recent HTTPS certificaat. Om de veiligheid van gebruikers te garanderen heeft Apple besloten om de regels op dit gebied strenger te maken. Momenteel mag een TLS certificaat 825 dagen oud zijn, maar vanaf september is dat nog maar 398 dagen.

Net iets meer dan een jaar, dat is per september 2020 de regel die geldt. Voldoet een website daar niet aan, dan wordt deze in Safari niet weergegeven. In plaats daarvan krijg je een melding dat je verbinding niet privé is. Op deze manier wil Apple hun iOS en macOS browser nog veiliger maken.

Apple gaat strengere regels hanteren

HTTPS is een versleutelde versie van het protocol voor de communicatie tussen een webclient en een webserver (HTTP). Bij een website met een geldig TLS certificaat is de data beveiligd. Deze is alleen door de zender en ontvanger in te zien. Vooral bij websites die gebruik maken van persoonlijke en gevoelige gegevens is dit belangrijk. Online bankieren is hier een goed voorbeeld van.

Toch is een certificaat geen garantie voor een veilige verbinding. Deze kan namelijk verouderd zijn en daardoor kwetsbaar. Hoe recenter het TLS certificaat, hoe groter de kans dat je veilig aan het surfen bent. Precies om die reden gaat Apple voor Safari een minimale houdbaarheid van 398 dagen hanteren in plaats van 825 dagen.

Tot zover alleen Safari

Of andere browsers hierin meegaan is nog onbekend. Concurrenten zoals Chrome hanteren nog steeds de termijn 825 dagen. Dit is ook de maximale duur die is toegestaan en geldt sinds maart 2018. Een aantal jaar geleden mocht een TLS certificaat zelfs nog tien jaar oud zijn. Apple is met Safari de eerste die de regels opnieuw aangescherpt. Volgens het bedrijf is dit nodig om de veiligheid te garanderen.

Hierin wordt Apple bijgestaan door veiligheidsexperts. Sommigen van hen vinden zelfs een periode van 398 dagen nog te lang. Zij zien meer in een geldigheidsduur van 90 of 60 dagen en de kans is groot dat we die kant op gaan. Veel aanbieders hanteren deze periodes namelijk nu al.

Eerder was Safari ook al de eerste browser die besloot om strenger op te treden tegen pushberichten.

Tech Radar

Reacties

8 reacties
  • Profielfoto
    Frans

    Als het dan maar bij een waarschuwing blijft en de gebruiker de keuze heeft om wel of niet door te gaan, anders zie ik het gebeuren dat veel reguliere websites niet meer bereikbaar zullen zijn met Safari.

  • Profielfoto
    Rickje

    Misschien moet ik dit delen met ICT op mijn werk.. ghehe

  • Profielfoto
    vandenbroeke

    Ja en wij die certificaten maar betalen. Het hebben van een simpele website wordt ook steeds duurder daardoor.

  • Profielfoto
    Shmoo

    Certificaten zijn gratis! Gewoon een fatsoenlijke webhost zoeken dan kun je met een druk op de knop een gratis certificaat installeren die elke maand of twee maanden automatisch verlengd wordt.

  • Profielfoto
    pruus

    En wat nog erger is, een certificaat geeft geen zekerheid. Want een site kan dan nog steeds rare dingen doen. Ik zie het al voor mij, zelfs Apple heeft wel eens een certificaat laten verlopen. Kortom, schijnveiligheid.

  • Profielfoto
    Odyssey

    vandenbroeke op 25 februari 2020 23:05
    Ja en wij die certificaten maar betalen. Het hebben van een simpele website wordt ook steeds duurder daardoor.

    via letsencrypt kan je eenvoudig gratis een certificaat gebruiken dat 3 maanden geldig is. doe dit met een certbot op je server en je kan je website helemaal gratis aan de strengste normen laten voldoen. ?

  • Profielfoto
    Shmoo

    …. via letsencrypt …. doe dit met een certbot op je server ….

    Maak het vooral ook allemaal nog onduidelijker en ingewikkelder dan het al is, voor veel mensen. Zeker al die termen gebruiken ja. Alsof iemand die zijn eigen website maakt voor een hobby begrijpt hoe hij Let’s Encrypt op zijn server activeert en/of een certbot installeert.

    Elke fatsoenlijke webhost in Nederland heeft Let’s Encrypt gewoon al geïnstalleerd vooral hun gebruikers, dan kun je met een click in het dashboard deze dienst activeren. Klaar is Kees. Soms, zoals bij TransIP zit dat een beetje verstopt omdat ze veel liever hebben dat je 15,- per jaar dokt voor zo’n service.

    Nog beter is een webhost regelen waar ze je niet eens meer HTTP sites laten hosten. Elke site die je bij hen installeert wordt automatisch HTTPS, dan heb je nergens meer omkijken naar.

  • Profielfoto
    roelatmac

    waarom 398 dagen? ?400 was een mooier getal geweest. of een jaar of zo??