Sinds gisteren is de nieuwe Chrome browser beschikbaar. Eén van de meest opvallende wijzigingen, die zelfs de voorpagina van online nieuwsportals haalde, is dat Chrome vanaf nu onbeveiligde sites duidelijker voorziet van een stempel dat ze onveilig zijn. Sites met een HTTPS certificaat zijn standaard veilig(er) en het is tegenwoordig een kleine moeite om je site onder https te serveren.
Lang heb ik gedacht dat ik mijn site geen https nodig heeft. Het is immers een statische site. Ik heb geen database, ik vraag geen persoonlijke gegevens via reacties, ik heb geen login, het zijn hele simpele HTML-pagina’s die ik serveer. Waarom heb ik dan zo’n HTTPS-certificaat nodig? Zeker toen mijn held Dave Winer zich er mee ging bemoeien en in niet mis te verstane bewoordingen liet weten waarom hij falikant tegen deze stap van Google is. Zijn betoog gaat vooral over de evil power van Google en hoe ze via hun browser de regels op het web willen bepalen.
Google is a guest on the web, as we all are. Guests don’t make the rules.
Dus ik heb lange tijd gewacht met het implementeren van https op mijn site. Tot ik vandaag opnieuw werd gewezen op het artikel en de bijbehorende video van Troy Hunt. Ik had het al eens voorbij zien komen, maar nog niet in detail bestudeerd waarom mijn statische site nu toch https nodig had.
Na het bekijken van de video werd het me al snel duidelijk. Als je site onder HTTP wordt geladen is het veel meer kwetsbaar voor zogenaamde Man-In-The-Middle attacks. In de video wordt niet geheel ontoevallig Dave Winer’s eigen site als voorbeeld gebruikt.
Met behulp van een eenvoudig stappenplan heb ik mijn site inmiddels toch beveiligd via HTTPS. Ik weet dat niets echt 100% veilig op het internet, ik weet dat ik gebruik maak van een gedeeld certificaat, dus het is meer een hangslotje dan Fort Knox, maar voor nu is dit voldoende. Ik heb nog een SSL certificaat bij Transip op dit domein, maar die kan ik weer niet uploaden bij Cloudflare mits ik een aanzienlijk bedrag per maand ga betalen. Na de zomervakantie ga ik dit allemaal eens netjes in orde maken, mogelijk op een eigen server zodat ik alles nog meer in eigen beheer heb.
Mocht je zelf een site hebben en nog geen HTTPS certificaat, lees je even in en maak een keuze of je dit toch wel wilt doen.
Bronnen:
- Troy Hunt – Here’s Why Your Static Website Needs HTTPS
- HTTPS Is Easy! videoserie
- How to Deploy Websites on Custom Domains using Cloudflare and Github Pages
- Secure and fast GitHub Pages with CloudFlare
Met dank aan Niels Gouman voor het zetje op Twitter!