Google Chrome gaat onversleutelde verbindingen blokkeren
In 2017 werd het SSL-certificaat geïntroduceerd om de privacy en veiligheid van bezoekers en gebruikers van websites te verbeteren. Door middel van dit certificaat worden gegevens beveiligd en versleuteld verstuurd en kunnen de gegevens niet meer door kwaadwillenden worden onderschept en misbruikt.
Zonder dit certificaat bestaat de mogelijkheid dat aanvallers malware of trackingcookies naar bezoekers sturen.
Nog veel websites zonder SSL-certificaat
Ondanks dat er een gratis variant van dit certificaat op de markt is gebracht (Let’s Encrypt) om ook voor kleine website eigenaren de mogelijkheid te bieden om zonder extra kosten een certificaat aan hun website te kunnen koppelen, zijn er nog steeds veel websites zonder zo’n certificaat.
Een beveiligde website is te herkennen aan een groen slotje in de browserbalk en https in plaats van http.
Geen onversleutelde elementen laden
Google Chrome heeft als eerste webbrowser onlangs besloten in de toekomst geen http-elementen (onversleutelde elementen) meer te gaan laden.
Dit betreft niet alleen websites die geen certificaat hebben gekoppeld maar ook websites die wel over een certificaat beschikken maar waarbij sommige delen van de website nog over http worden geladen, de zogenaamde mixed content.
Dit ontstaat als het certificaat niet goed is aangemaakt of niet juist is geïmplementeerd op de website.
Chrome gaat deze onderdelen van een website niet meer laden, hetgeen betekent dat in het geval van mixed content sommige delen wel en sommige delen niet worden geladen. Bijvoorbeeld dat je website geen of minder afbeeldingen zal tonen.
Op dit moment worden onversleutelde scripts en iframes al door Chrome geblokkeerd maar afbeeldingen, video’s of audio die niet via https zijn versleuteld worden nog gewoon getoond of afgespeeld.
Google wil verwarring voorkomen
Google geeft aan dat er verwarring kan ontstaan als onversleutelde delen van een website wel worden geladen en in de browserbalk wordt aangegeven dat een website beschikt over een SSL-certificaat maar dat delen van de website als onveilig worden gekwalificeerd.
Om dit te voorkomen zal de onversleutelde content binnenkort niet meer worden geladen door Chrome.
Planning Google Chrome
Google gaat dit niet van de ene op de andere dag invoeren en geeft website eigenaren nog wat tijd om de zaken goed te regelen.
In versie 79 van Chrome zal een nieuwe instelling komen waarmee gebruikers mixed content handmatig aan of uit kunnen zetten.
In Chrome 80 worden audio- en video-elementen automatisch via https verstuurd, of worden ze geblokkeerd als dat niet lukt. Indien er onversleutelde afbeeldingen op de website staan, krijgen gebruikers de melding te zien dat de hele website onveilig is.
In Chrome 81 (gepland voor release in februari 2020) worden alle onveilige elementen automatisch geblokkeerd.
Het is dus van groot belang om vóór februari 2020 de zaken op orde te hebben wil je voorkomen dat de vele Chrome gebruikers de (deels) onversleutelde inhoud van je website niet meer kunnen bekijken.
Het ligt in de lijn der verwachting dat andere browsers dit voorbeeld zullen gaan volgen.
Bij Care-align Webdesign alle nieuwe websites met certificaat
Bij Care-align Webdesign is het aanmaken van een gratis SSL-certificaat (mits ondersteund door de hostingprovider) en implementeren ervan op de website standaard inbegrepen bij de prijs van alle nieuw te maken websites.