Does HTTPS mean a website is safe?

No. HTTPS with a padlock icon only means the connection between your browser and the server is encrypted. It says nothing about whether the website itself is legitimate, trustworthy, or free of malware. Attackers routinely obtain free TLS certificates for phishing sites. According to the Anti-Phishing Working Group, over 80% of phishing sites now use HTTPS. The padlock confirms encryption in transit, not the identity or intentions of whoever runs the site.

What do certificate warnings in the browser actually mean?

Browser certificate warnings indicate a problem with the site's TLS certificate. An expired certificate means the site operator failed to renew it, which could signal poor maintenance or a compromised server. A mismatched certificate means the domain in the URL does not match the domain the certificate was issued for, which is a common indicator of phishing or man-in-the-middle attacks. Users should never click through these warnings, especially on sites handling sensitive data.

HTTPS & Websitebeveiliging

Learn why the padlock icon is not proof of safety.

Wat is HTTPS & Websitebeveiliging?

HTTPS betekent dat de verbinding tussen uw browser en een website versleuteld is, maar het garandeert niet dat de site zelf legitiem is. In deze oefening krijgt u meerdere websites te zien waar u moet beoordelen of de verbinding werkelijk veilig is. Eén site toont een slotpictogram maar gebruikt een verlopen certificaat. Een andere heeft een geldig certificaat dat is uitgegeven aan een compleet andere organisatie. Een derde activeert de waarschuwingspagina van uw browser, en u moet beslissen of u doorgaat of de pagina verlaat. De simulatie legt uit wat een TLS-certificaat werkelijk bewijst, wie ze uitgeeft, en waarom gratis certificaten van diensten zoals Let's Encrypt betekenen dat zelfs phishingsites een slotpictogram kunnen tonen. U gaat certificaatdetails in uw browser inspecteren, niet-overeenkomende domeinnamen herkennen en de specifieke waarschuwingsberichten identificeren die wijzen op een man-in-the-middle-aanval. Dit is het verschil tussen u veilig voelen en werkelijk veilig zijn online.

Wat je leert in HTTPS & Websitebeveiliging

Het TLS-certificaat van een website inspecteren om de uitgevende instantie en domeinovereenkomst te verifiëren
Het verschil herkennen tussen een versleutelde verbinding en een betrouwbare website
Verlopen, zelfondertekende en niet-overeenkomende certificaten identificeren via browserwaarschuwingsindicatoren
De juiste beslissingen nemen wanneer browsers tussenliggende certificaatwaarschuwingspagina's tonen
Begrijpen waarom de aanwezigheid van een slotpictogram alleen onvoldoende bewijs is voor de legitimiteit van een website

HTTPS & Websitebeveiliging — Trainingsstappen

Werken vanuit een koffiezaak

Het internet bij u thuis is sinds vanochtend uitgevallen en u moet vóór het einde van de dag een dringende loontaak voltooien. Je bent naar een nabijgelegen koffiebar gegaan en hebt verbinding gemaakt met hun gratis wifi-netwerk - 'CafeConnect Free WiFi' - een open netwerk zonder wachtwoord.
E-mail van HR

Er komt een nieuwe e-mail binnen van de HR-afdeling over de jaarlijkse verificatie van de directe storting.
Navigeren naar het Salarisportaal

Alice klikt op de link in de HR-e-mail om het salarisportaal te openen. Ze heeft dit eerder gedaan; het is een jaarlijkse routinetaak. Wat Alice niet weet, is dat een aanvaller op hetzelfde WiFi-netwerk van een koffiezaak een SSL-stripaanval uitvoert. De aanvaller onderschepte het verzoek van Alice en downgraded stilletjes de verbinding van HTTPS naar HTTP. De pagina wordt normaal geladen, maar zonder codering.
Inloggen

Het salarisportaal ziet er precies uit zoals Alice zich herinnert: het Meridian-logo, het bekende blauwe kleurenschema, het standaard inlogformulier. Zonder aarzelen voert ze haar werkgegevens in. Alice merkt niet dat haar wachtwoordbeheerder niet heeft aangeboden om automatisch aan te vullen: de portal-URL komt met geen enkel opgeslagen item overeen.
Bankgegevens bevestigen

Na het inloggen vraagt de portal Alice om haar bankrekeninggegevens voor directe storting te bevestigen. In het formulier wordt gevraagd naar haar routeringsnummer en rekeningnummer; standaardgegevens voor de jaarlijkse verificatie.
Toegang krijgen tot een ander systeem

Voordat Alice naar huis gaat, besluit ze snel het interne projectdashboard te bekijken om de planning van morgen te bekijken.
Het ter harte nemen van de waarschuwing

In plaats van het dashboard ziet Alice een grimmige waarschuwing: 'Je verbinding is niet privé.' Ze weet niet zeker wat de oorzaak is, maar de waarschuwing lijkt ernstig. De certificaatwaarschuwing verscheen omdat de MITM-aanvaller ook deze HTTPS-verbinding probeerde te onderscheppen, maar de browser het ongeldige certificaat ontdekte en de pagina blokkeerde. Alice besluit niet verder te gaan.
Waarschuwing voor bankfraude

Twee dagen later gaat Alice aan haar bureau zitten om de dag te beginnen. Er wacht een dringende e-mail van haar bank in haar inbox.
IT-beveiligingswaarschuwing

Voordat Alice de waarschuwing voor bankfraude zelfs maar kan verwerken, komt er nog een e-mail binnen - dit keer van het IT-beveiligingsteam van Meridian.
De punten verbinden

Alice's maag zakt. De ongeoorloofde bankopname. De verdachte login uit Oekraïne. Beide gebeurden vlak nadat ze twee dagen geleden de wifi van de koffieshop gebruikte. Ze leest de IT-beveiligingswaarschuwing opnieuw, dit keer met toenemende angst.

Wat is HTTPS & Websitebeveiliging?

Wat je leert in HTTPS & Websitebeveiliging

HTTPS & Websitebeveiliging — Trainingsstappen

Werken vanuit een koffiezaak

E-mail van HR

Navigeren naar het Salarisportaal

Inloggen

Bankgegevens bevestigen

Toegang krijgen tot een ander systeem

Het ter harte nemen van de waarschuwing

Waarschuwing voor bankfraude

IT-beveiligingswaarschuwing

De punten verbinden