Chrome gaat http-downloads vanaf https-sites blokkeren

geplaatst op: 18-02-2020

Vanaf midden mei 2020 gaat Google Chrome downloads blokkeren die niet via een beveiligde verbinding verlopen. Google Chrome is één van de populairste browsers op dit moment.

Afgelopen jaren hebben wij gezien dat verschillende grote browsermakers beveiligings-gerelateerde keuzes hebben gemaakt die een hele grote impact hebben op het dagelijks internetgebruik. Deze maal is Google Chrome aan de beurt: zij hebben aangekondigd in de toekomst alle HTTP downloads op een HTTPS website te blokkeren.

Waarom HTTP-downloads blokkeren?

Op dit moment geven bijna alle browsers een waarschuwing “Niet beveiligd” wanneer er geen beveiligde verbinding kan worden opgezet met de server, zodat de gebruiker hopelijk geen persoonlijke gegevens gaat delen met deze website. Dit heeft een belangrijke rol gespeeld bij het stimuleren van gebruikersbewustzijn en de HTTPS acceptatie.

Helaas niet genoeg.

Helaas is dit niet genoeg: wat als er toch bestanden stilletjes via de website worden aangeboden via een niet beveiligde HTTP verbinding? Wat als Hackers deze opening gebruiken om malware in jouw systeem te injecteren? Dit behoort zeker tot de mogelijkheid. Een dergelijke combinatie van HTTP-inhoud op een HTTPS-website noemen we 'gemengde inhoud'. En met een 'gemengde inhoud' zouden de meeste gebruikers gemakkelijk de keuze kunnen maken om een bestand te downloaden. Er is namelijk geen indicatie die gebruikers op de hoogte stelt dat de downloadlink een onbeveiligd HTTP adres is. Dit is absoluut een gat in HTTPS-beveiliging en Google heeft besloten dit op te lossen door HTTP-downloads op HTTPS-websites te blokkeren.

Wanneer http blokkeren?

Volgens het plan van Google begint Chrome 83 (uit te komen in juni 2020) met het blokkeren van “de meest risicovolle bestanden”. Deze bestandstypes omvatten uitvoerbare bestanden zoals .exe en .apk. In daaropvolgende Chrome-releases neemt Google andere bestandstypen op en worden uiteindelijk alle bestandstypen in Chrome 86 geblokkeerd. Deze versie zal in oktober 2020 worden uitgebracht. Dus na oktober 2020 (als je Chrome bijwerkt), kun je geen bestanden meer downloaden via een onbeveiligde HTTP verbinding als de website zelf een beveiligde HTTPS verbinding heeft.

Houd er rekening mee dat als een website HTTP gebruikt, gebruikers nog steeds HTTP-bestanden kunnen downloaden. Deze update is gericht op HTTPS-sites omdat de browser de site veilig laat zien, maar de download dit niet is.

De aanpak van Google om gemengde inhoud te blokkeren.

Hoewel het blokkeerproces wordt gestart met de release van Chrome 83, wil Google haar gebruikers eerst opleiden en ook tijd geven aan de website-eigenaren om gemengde inhoud van hun websites te verwijderen. Daarom geeft Chrome 81 (maart 2020) een console-waarschuwingsbericht over alle downloads van gemengde inhoud.

Afbeelding van Chrome 81 - Chrome 86-updates die zijn gepland voor release Grafische bron: Google's Chromium Blog (https://blog.chromium.org/2020/02/protecting-users-from-insecure.html)

Dit proces, dat in maart begint, is door Google verdeeld in zes fasen. Dit is het overzicht dat wordt gegeven door Google voor desktopplatforms (Windows, macOS, Chrome OS en Linux):

  • Chrome 81 (wordt uitgebracht in maart 2020) - Chrome zal een consolebericht afdrukken om webmasters te waarschuwen voor alle downloads van gemengde inhoud.
  • Chrome 82 (wordt uitgebracht in april 2020) - Chrome begint gebruikers te waarschuwen voor downloads van gemengde inhoud van uitvoerbare bestanden (.exe, .apk, enz.) En drukt een consolewaarschuwing af voor alle andere soorten bestanden.
  • Chrome 83 (wordt uitgebracht in juni 2020) - Hier begint de blokkeerfase. Chrome begint uitvoerbare inhoud voor gemengde inhoud te blokkeren. Het waarschuwt gebruikers ook voor archieven met gemengde inhoud (.zip, .iso, enz.). Console-waarschuwingsberichten voor alle andere bestandstypen worden voortgezet.
  • Chrome 84 (wordt uitgebracht in augustus 2020) - Chrome breidt zijn blocklist uit naar archieven en schijfkopieën. Op andere bestandstypen met gemengde inhoud, zoals .pdf- en .docx-bestanden, geeft Chrome een waarschuwing aan de gebruikers. Voor afbeeldingen, audio- en videobestanden blijven de console-waarschuwingen actief.
  • Chrome 85 (wordt uitgebracht in september 2020) - Chrome blokkeert alle bestanden behalve afbeeldingen, audio- en videobestanden. Gebruikers krijgen een waarschuwing voordat ze deze bestanden downloaden.
  • Chrome 86 (wordt uitgebracht in oktober 2020) - Chrome blokkeert alle inhoud die wordt weergegeven op niet-beveiligde HTTP wanneer u op de downloadlink via een HTTPS-website klikt. Met andere woorden, Chrome blokkeert alle downloads van gemengde inhoud.

Voor mobiele telefoons (Android en iOS) vertraagt ​​Chrome de implementatie met één release. Dit betekent dat er waarschuwingen worden weergegeven in Chrome 83 in plaats van Chrome 82.

Laatste woord

Hoewel Google uitgebreide inspanningen heeft geleverd om onveilige websites over te schakelen naar HTTPS en het bewustzijn van gebruikers met betrekking tot HTTPS te vergroten, hebben wij altijd het gevoel gehad dat gemengde inhoud een uitdaging is die moet worden aangepakt. Google is nu bezig met het blokkeren van gemengde inhoud en dit zal zeker een mijlpaal zijn in het verbeteren van privacy en beveiliging op internet. Wij hopen en verwachten dat andere browsers hetzelfde zullen gaan doen om de privacy en veiligheid van internetgebruikers te beschermen.

Deze blog is met toestemming vertaald van onze ssl leverancier en door Brosis.nl herschreven.

Waarom SSL certificaten van Brosis.nl

Ervaring sinds 1999 in het bouwen en hosten van internet sites en IT diensten.

Alles onder één dak

Bij Brosis.nl vindt u alle oplossingen voor uw website, IT en marketing.

 Persoonlijke service

U kunt rekenen op de beste support, de laatste kennis en inspiratie op het gebied van hosting, design en IT.

Ruim 20 jaar ervaring

Brosis.nl heeft sinds 1999 ervaring in webdesign, hosting, reclame en IT diensten.