http, https en certificaten

Bedankt voor deze reactie.
Voor mij was er niets verwarrend, ik merkte alleen naar aanleiding van Briolet z'n opmerking hierover dat sommigen hier moeite mee kunnen hebben, dat ik me daar iets van kan voorstellen.

Wel moet ik opmerken dat er bij mij helemaal niets werd geblokkeerd bij niet https websites, er wordt doodleuk even https toegevoegd aan de url. Dat verbaasde me slechts.

Maar ik heb intussen toch even verder gezocht en heb ontdekt dat het wat ik vermoedde van geval tot geval verschilt. Ik testte dit aanvankelijk namelijk bij maar één hobbysite, gehost door one.com. Met nog al wat moeite vond ik er toch een paar hobbysites met hetzelfde resultaat en één reageerde zoals je toont. Het verschil zal dan denk ik aan de hosting liggen.
 
Dat is toch heel eenvoudig, de complete url. B.v. van dit forum is dat https://ziggoforum.nl/enz.. Het was even zoeken, want er zijn zo langzamerhand niet zoveel meer. Ik heb de indruk dat het hoofdzakelijk de sites van hobbyisten zijn omdat zo'n https een beetje duurder is.
 
Ik kwam op forums best vaak tegen dat het forum zelf wel op https draait, maar tot mijn verbazing toch een "not secure" in de balk stond van Chrome. Bleken de plaatjes die ingevoegd waren in de posts dus nog op een http gehost te zijn :o Gelukkig kom ik dat steeds minder vaak tegen.

Met het totaal blokken van http zouden die ook niet meer geladen worden.
 
Ik kom nog even terug op dat fenomeen van twee nogal verschillende reacties van Firefox op http sites. De ene met die waarschuwing waarin de mogelijkheid om met een extra klik toch (eigen risico) op de gewenste site te komen, de andere door even een s toe te voegen aan de http. Weet iemand hier het fijne van? Wat zorgt voor bij de ene site die waarschuwing en bij een andere in feite gewoon doorlaten?

Verder. hoe betrouwbaar is nou echt het in begin deze week genoemde https self-signed certificate? Ik ken het zelf niet van dichtbij, maar het klinkt voor mij als puur misleiding. Want waarom zou je hier voor kiezen, anders dan besparing van een paar tientjes per jaar voor de hosting? Of is het dat niet, maar toch wat meer dan helemaal niets, m.a.w. geeft het toch iets van die https-veiligheid? Je ziet namelijk als bezoeker van zo'n site niet of die https echt of nep is. Ook met dit, wie weet hier meer van?

En tenslotte, wat moet ik me voorstellen met die middelste optie:
"Alleen-HTTPS-modus uitsluitend in privévensters inschakelen"?
 
Verder. hoe betrouwbaar is nou echt het in begin deze week genoemde https self-signed certificate? Ik ken het zelf niet van dichtbij, maar het klinkt voor mij als puur misleiding. Want waarom zou je hier voor kiezen, anders dan besparing van een paar tientjes per jaar voor de hosting?
Paar tientjes? De certificaten van Let's Encrypt zijn gewoon gratis. Je moet ze alleen om de drie maanden verlengen. Maar met een beetje handigheid gaat dat automatisch. En elke browser pakt ze ook gewoon zonder problemen.
 
Ik kom nog even terug op dat fenomeen van twee nogal verschillende reacties van Firefox op http sites. De ene met die waarschuwing waarin de mogelijkheid om met een extra klik toch (eigen risico) op de gewenste site te komen, de andere door even een s toe te voegen aan de http. Weet iemand hier het fijne van? Wat zorgt voor bij de ene site die waarschuwing en bij een andere in feite gewoon doorlaten?
Eenvoudig gezegd: het HTTPS-protocol is een uitbreiding van HTTP. Die 'S' in de afkorting staat voor Secure (veilig) en aan de basis ervan ligt Transport Layer Security (TLS) [de opvolger van Secure Sockets Layer (SSL)], de standaardbeveiligingstechnologie die een versleutelde verbinding tot stand brengt tussen een webserver en een browser
 
Dit is me allemaal bekend, maar dit is nog geen antwoord op mijn vraag hoe betrouwbaar die self-signed certificate is. En bovendien, wat vindt de hoster hiervan als ze het zien? Want die vraagt wel een paar tientjes meer voor https. Het doet mij denken aan een duur slot op de deur, dat voor een habbekrats nagemaakt wordt en een waardeloze prul blijkt te zijn. Ik hoop dat die gedachte niet terecht is.
 
Laatst bewerkt:
Dit is me allemaal bekend, maar dit is nog geen antwoord op mijn vraag hoe betrouwbaar het is. En bovendien, wat vindt de hoster hiervan als ze het zien? Want die vraagt wel een paar tientjes meer voor https. Het doet mij denken aan een duur slot op de deur, dat voor een habbekrats nagemaakt wordt en een waardeloze prul lijkt te zijn. Ik hoop dat die gedachte niet terecht is.

Misschien begrijp ik je verkeerd , maar de hoster heeft er niks mee te maken, het is aan de website eigenaar of hij https gebruikt en hoe hij het certificaat regelt. Met https (TLS) is er sprake van versleuteling tussen server en client maar de versleuteling wordt niet ineens anders als je een officieel certificaat gebruikt ipv self signed, het gaat meer om de validatie.

Maar nogmaals in de praktijk is daar ook weer mee te rommelen. Niemand gaat de certificaten checken op elke website.
 
Dit is me allemaal bekend, maar dit is nog geen antwoord op mijn vraag hoe betrouwbaar die self-signed certificate is. En bovendien, wat vindt de hoster hiervan als ze het zien? Want die vraagt wel een paar tientjes meer voor https. Het doet mij denken aan een duur slot op de deur, dat voor een habbekrats nagemaakt wordt en een waardeloze prul blijkt te zijn. Ik hoop dat die gedachte niet terecht is.
Ik heb het idee dat er nu twee zaken door elkaar gehaald worden: gebruik van self-signed certificaten en het doorsturen naar https.

Volgens mij bieden SSL certificaten twee doelen:
  1. Het faciliteren van een versleutelde tunnel zodat anderen niet mee kunnen lezen (en wijzigingen kunnen maken) op jouw berichtenverkeer met de server
  2. Het bieden van een mate van zekerheid dat de partij waarmee jij communiceert ook echt de partij is waarmee je wil communiceren (door middel van validatie die gedaan is door een vertrouwde derde partij, de Certificate Authority).
Een self-signed certificaat geeft je wel 1 maar niet 2 (al geeft 2 ook geen 100% zekerheid).

Wat betreft het doorsturen naar https wat Firefox blijkbaar doet. Ik neem aan dat ze bij aanroep van een http site eerst checken of de site ook https biedt en als dat zo is je de https site aangeven. Overigens doen de meeste sites dat al automatisch maar mogelijk is de manier van Firefox veiliger.
Maar nogmaals in de praktijk is daar ook weer mee te rommelen. Niemand gaat de certificaten checken op elke website.
Volgens mij is het idee dat je browser op iedere site het certificaat checkt. Is het nog geldig, is het uitgegeven door een vertrouwde derde partij, is het voor de betreffende site?
 
Terug
Bovenaan