Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn, zo blijkt uit onderzoek van de NOS.

De NOS nam duizenden websites onder de loep die op zwarte lijsten staan. Daarvan bleken er meer dan 4300 wel een geldig certificaat te hebben. In dit geval staan de websites al op een zwarte lijst, maar voordat ze daarop werden terecht kwamen, kregen ze dus toch het predicaat 'veilig'.

Het is de keerzijde van het feit dat het internet steeds veiliger wordt: het is nu voor iedereen mogelijk om razendsnel een website te beveiligen met een zogenoemde versleutelde verbinding waarbij onbevoegden niet kunnen meelezen met het internetverkeer.

Slechts beveiligde verbinding
Dankzij organisaties als LetsEncrypt, cPanel en Comodo kan binnen enkele seconden en vaak gratis een daarvoor benodigd ssl-certificaat worden aangevraagd. Maar zo'n certificaat betekent niet dat de inhoud op de website ook daadwerkelijk veilig is: 'veilig' slaat alleen op de beveiliging van de verbinding.

Voor internetcriminelen loonde het vroeger eigenlijk niet om hun malafide sites te voorzien van certificaten, omdat dat geld en moeite kostte. Zulke malafide websites worden relatief snel geblokkeerd of verwijderd en dus verdienen de criminelen die investering niet terug. Nu het aanvragen van zo'n certificaat gratis en geautomatiseerd kan, maken ook criminelen daar gebruik van.

Dat ziet ook Derek Smythe van Artists Against 419, een database met malafide websites. "Tegenwoordig betekent het groene slotje: je kunt veilig bestolen worden", zegt Smythe. "Ironisch genoeg zouden we graag zien dat legitieme partijen net zo voortvarend waren met groene slotjes als sommige criminelen."

Autoriteit
Een beveiligde verbinding (het groene slotje) wordt mogelijk gemaakt door een certificaatautoriteit, die ervoor instaat dat een website is wie hij zegt dat-ie is. De populairste certificaatautoriteit is LetsEncrypt, een non-profitsamenwerkingsverband van ict-beveiligers en burgerrechtenorganisatie Electronic Frontier Foundation. Daarmee kunnen website-eigenaren gratis een beveiligde verbinding opzetten.

Het Cyber Security Centrum van de overheid 'juicht het toe' dat steeds meer websites een beveiligde verbinding hebben. "Maar wij zien ook dat steeds meer malafide websites daar gebruik van maken, om zich voor te doen als betrouwbaar", laat een woordvoerder weten in een reactie.

Ook LetsEncrypt ziet het probleem. "Browsers zouden niet moeten aangeven dat een website veilig is als er een beveiligde verbinding kan worden gemaakt", zo laat John Aas van die organisatie weten aan de NOS. "Desalniettemin zou elke website op internet een beveiligde verbinding moeten hebben. Het is voor ons ook onmogelijk om hierop te controleren."

Er gaat wel iets veranderen: Google Chrome verwijdert binnenkort het groene slotje helemaal uit Chrome en gaat in plaats daarvan websites zonder slotje markeren als 'onveilig'. Dat gebeurt nu zelfs al met websites waarop persoonlijke informatie kan worden achtergelaten. Maar andere webbrowsers doen dat vooralsnog niet, waardoor het voor gebruikers onoverzichtelijker wordt.