Userbase

Ik kreeg een vraagje van een kennis (die denkt dat ik iets van IT afweet )

Dag Philippe,

Ik heb een informatief vraagske. Sinds kort heb ik in mijn safari en Google Chrome telkens het feit dat ik een website open, deze opent in HTTP ipv HTTPS. Kan dit een instelling zijn? Want dit is geen beveiligde verbinding zo he? bv http://speedtest.telenet.be

Bedankt voor de hulp

Zelf ben ik het antwoord schuldig, en heb daar nog niet zoveel bij stilgestaan.

Ik gebruik meestal Firefox, en ik stel vast dat ik meestal vanzelf op een https terecht kom, als ik in de browser een adres intik.
Ik heb dus de indruk dat de keuze tussen http en https vooral aan de server kant ligt, niet bij de gebruiker?
Tenzij je zelf, bij ieder adres die je intikt, manueel https:// gebruikt?

Als je geen opgave van protocol doet bij de URL gaat er standaard HTTP gebruikt worden. Vele websites, zeker de grote & met de opkomst van gratis SSL certs met initiatieven als Let's Encrypt vele andere, gaan dan een redirect voorzien naar HTTPS, het is dus inderdaad de hoster/server die een doorverwijzing doet in dat geval.

Wat kan je dan als gebruiker doen (tenzij zelf manueel https:// gebruiken?
Is er ergens een instelling in de browser (bij mij Firefox, bij mijn kennis Safari of Chrome) die dit kan forceren?

De extensie HTTPS Everywhere

HTTPS is niet echt vereist voor zaken als de telenet speedtest: je verstuurt geen paswoorden of andere gevoelige/persoonlijke info.
Als je HTTPS gebruikt krijg je trouwens een waarschuwing dat het geen geldig certificaat is. Of je er dan veel mee bent...

Wat een slecht advies MaT!

Troy Hunt heeft er een goeie blog post over: https://www.troyhunt.com/heres-why-your ... eds-https/

Indien een website, zoals userbase bijvoorbeeld, zowel HTTP als HTTPS ondersteunt en toestaat is het aan de gebruiker (de browser) om zelf de HTTPS-variant in te typen. Browser-extensies zoals HTTPS Everywhere (gebruik ik ook) vergemakkelijken dit.

Een website kan er voor kiezen om een rewrite/redirect rule gebruiken om alle HTTP-links op de HTTPS-tegenhanger te doen uitkomen.

Een website kan er ook voor kiezen om HSTS in te schakelen waarbij expliciet HTTP-verbindingen 'verboden' worden. Als een pagina dus (externe) content via HTTP opvraagt wordt dit geblokkeerd, waarbij zonder HSTS je in mixed mode terecht zou komen.

HTTPS is een performance-hit, zowel aan de serverkant als aan de browserkant. Op moderne machines is dat verwaarloosbaar, maar je moet niet vergeten dat HTTPS in de kern on-the-fly encryptie/decryptie is.

liber! schreef:Wat een slecht advies MaT!

Troy Hunt heeft er een goeie blog post over: https://www.troyhunt.com/heres-why-your ... eds-https/

Jaja, https is altijd beter.. indien er ook een geldig certificaat is. In het geval van de telenet speedtest kan je wel verbinding maken via https maar is het certificaat niet geldig voor het domein en moet je het zelf expliciet accepteren.
Of het advies om de gebruiker aan te leren uitzonderingen te maken voor niet geldige certificaten dan zoveel beter is?

Daarbij krijg je na het accepteren van het certificaat een 404 pagina, dus met https everywhere ben je hier ook niet veel mee dan. Probleem ligt hier bij telenet, niet bij de gebruiker of zijn browser.

Voor de encryptie maakt de geldigheid van het certificaat toch niet uit? Certificaat moet u zekerheid geven over de identiteit v/d tegenpartij, dus dat de server/website die je aan het bekijken bent wel degelijk van uw bank is bijvoorbeeld. Maar ook met een niet geldig cert word er een encrypted verbinding opgezet.

Volkomen mee eens dat het aankweken van slechte gewoontes door het vertrouwen van niet geldige certs een slecht idee is!

MaT schreef: Jaja, https is altijd beter.. indien er ook een geldig certificaat is. In het geval van de telenet speedtest kan je wel verbinding maken via https maar is het certificaat niet geldig voor het domein en moet je het zelf expliciet accepteren.
Of het advies om de gebruiker aan te leren uitzonderingen te maken voor niet geldige certificaten dan zoveel beter is?

Daarbij krijg je na het accepteren van het certificaat een 404 pagina, dus met https everywhere ben je hier ook niet veel mee dan. Probleem ligt hier bij telenet, niet bij de gebruiker of zijn browser.

Lijkt me een serieus gepruts van Telenet en zijn leverancier.
Certificaten moeten gewoon geldig zijn, en in tijden van letsencrypt is dit voor iedereen toegankelijk.

Dus helemaal mee eens, de user kan hier niet veel aandoen.

meon schreef: HTTPS is een performance-hit, zowel aan de serverkant als aan de browserkant. Op moderne machines is dat verwaarloosbaar, maar je moet niet vergeten dat HTTPS in de kern on-the-fly encryptie/decryptie is.

Voor de serverkant kan je TLS offloading doen op de (a/n) load balancer.

Voor een speedtest houdt het wel steek om dit expliciet NIET over https te doen. Het doel is uiteindelijk om de snelheid van de lijn te testen, en niet de snelheid van de SSL implementatie. Telenet (of eender welke speedtester) kan niet controleren dat er aan de browserkant een performante SSL library gebruikt wordt. Eigenlijk is het al een slecht idee om hier HTTP en een browser voor te gebruiken.

Bah... Hangt ervan zeker? Als je high-res YouTube video wil bekijken moet dat ook over een https lijn en wellicht in dezelfde browser, SSL stack. Hangt ervan af wat je wil meten, dan... ?