Websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen, webwinkels en medische organisaties, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd.Deze conclusie trekt beveiligingsexpert Teus Hagen na eigen onderzoek en presenteerde dat op een beveiligingsconferentie.
Hij schrijft: "Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken."
Vooral de banken ING, Bank of Scotland en de Friesland Bank scoren slecht. Zes van de 27 onderzochte bankensites gebruikten geen certificaat van een vertrouwde autoriteit. Slechts 38% van de banken gebruikt een veiliger ev-certificaat.
Ook de versleuteling van DigiD is volgens Hagen niet goed genoeg en de beveiliging van de servicepagina van Xs4All, de website van UPC en SIDN hapert. Circa de helft van de onderzochte websites van gezondheidsinstellingen biedt helemaal geen beveiligde verbinding, waardoor gebruikersnamen en wachtwoorden als platte tekst over het internet worden verzonden.
Het vertrouwen op het slot-symbooltje dat een https-verbinding aangeeft is in veel gevallen onterecht. Het slotje zegt alllen iets over het tot stand brengen van de verbinding, niet dat de versleuteling in orde is.
Via Tweakers.net