Is groen slotje in browser garantie veilig internet?

Een beveiligde website herken je aan een (groen) slotje links bovenaan de pagina en voor het webadres staat https en niet http. Het is jarenlang gebruikt als herinnering aan internetters om ze te behoeden voor  frauduleuze praktijken op het internet. Bijvoorbeeld voor partijen die zich voordoen als financiële instelling. Maar wat zegt dat slotje nu wel en wat niet als blijkt dat je zonder veel probleem een site kunt maken die lijkt op bijvoorbeeld die van een bank en daarvoor ook een certificaat inclusief dat slotje op je site kunt krijgen?

“Er heerst een perceptie dat het slotje in de internetbrowser absolute veiligheid garandeert. Dat doet het niet en dat heeft het ook nooit gedaan. Gebruikers moeten zelf met gepaste voorzichtigheid beoordelen of zij een website vertrouwen of niet. Want ook via veilige verbindingen worden mensen opgelicht”, aldus TNO cyber security specialist Richard Kerkdijk.

Het slotje in de internetbrowser garandeert een vercijferde verbinding met de website die niet door derden kan worden afgeluisterd. Dit wordt mogelijk gemaakt door een SSL (“Secure Sockets Layer”) certificaat, een set digitale sleutels die wordt gekoppeld aan het betreffende internetadres. Zo’n certificaat wordt uitgegeven door een speciale instantie, een certificaat autoriteit.

Bij uitgifte van een certificaat wordt de organisatie achter een website in meer of mindere mate gevalideerd. Er zijn certificaten waarvoor een KvK check is gedaan of om persoonlijke legitimatie is gevraagd, maar er zijn ook certificaten waarbij dergelijke controles niet zijn gedaan. De meeste gebruikers zijn zich niet bewust van de verschillende vertrouwensniveaus die certificaten kunnen hebben en de minieme verschillen in de adresbalk van de browser waaraan je deze kunt herkennen. Het helpt ook niet dat elke browser deze verschillen op een andere manier presenteert.

Het slotje in de browser garandeert een veilige verbinding maar zegt niets over de betrouwbaarheid van de achterliggende organisatie. Het biedt ook geen zekerheid dat de website zelf volkomen veilig is en niet bijvoorbeeld met malware is geïnfecteerd. Richard Kerkdijk adviseert een gezonde mate van oplettendheid. “Een organisatie die je niet kent kun je niet puur en alleen vanwege het slotje in de browser vertrouwen. En bij een organisatie die je wel kent moet je je altijd afvragen of het internetadres dat je ziet ook het adres is dat je bij die organisatie verwacht.”

Volgens Richard Kerkdijk zou het publiek beter voorgelicht moeten worden over wat ze wel en niet van het slotje in de browser kunnen verwachten. “Er ligt ook een uitdaging voor de ontwikkelaars van internetbrowsers om intuïtieve security oplossingen te ontwikkelen die veilig en verantwoord gedrag stimuleren.”