Waarom zie je ‘Je verbinding is niet privé’?

De melding ‘Je verbinding is niet privé’ weleens gehad? Wat is het precies? Het is een melding van je browser en gaat over https-sites (dat zijn beveiligde websites). Je krijgt de melding omdat je browser het certificaat van je browser niet kan valideren.

Wat is een certificaat?

Je kunt een certificaat vergelijken met een identiteitsbewijs. Neem een paspoort, daar staat de handtekening van de burgemeester van [plaatsnaam]. Bij een server heb je ook een soort paspoort - daar heet het certificaat. Certificaten worden uitgegeven door bedrijven. In elke computer zitten rootcertificaten, die jouw pc vertrouwt. Je pc heeft een lijstje van die zogenaamde vertrouwde rootcertificaten. Die rootcertificaten zijn eigenlijk die burgemeesters van een paspoort.

Hoe kom je aan een certificaat?

Kliksafe kan bijvoorbeeld een certificaat aanvragen. Je moet eerst betalen, dan geef je op: ik wil een certificaat voor www.kliksafe.nl. Nu moet je bewijzen dat je eigenaar bent van Kliksafe. Heb je dat kunnen bewijzen, dan krijg je bijvoorbeeld van Comodo dat certificaat en kun je die installeren op je server. Zo’n certificaat heeft een verloopdatum, net als je paspoort. Het is maximaal een jaar geldig. Daarna moet je een nieuwe. Een certificaat kost bij Comodo ongeveer 75 euro per jaar.

Een voorbeeld: als je naar mijn.ing.nl gaat, zie je daar info over het certificaat zelf. Die is dan extra uitgebreid gecontroleerd. En ook een stuk duurder, denk aan 300 per jaar voor een domeinnaam.

Gratis certificaten

Vroeger moest je betalen als je een certificaat wilde hebben. Tegenwoordig zijn er gratis alternatieven.

Let’s Encrypt

Let’s Encrypt is zo’n initiatief om op zo veel mogelijk plekken een veilige verbinding te kunnen krijgen. Dus zijn er wat mensen bij elkaar gaan zitten en hebben een bedrijf opgericht. De oprichters van LE zijn onder andere: Mozilla (je weet wel: de maker van Firefox), en Akamai (dat is een grote jongen op het gebied van Content Delivery Networks (CDN)) en Cisco (dat is een beetje de rolls royce onder de routers, duur en bekend merk). Wat doet Let’s Encrypt: door een paar slimme checks kun je bewijzen dat een webserver/website van jou is. Na die checks krijg je gratis een certificaat. Er zitten wel een paar haken en ogen aan: een betaald certificaat is 1 jaar geldig. Een LE certificaat is 90 dagen geldig. Dus het is de bedoeling dat je van het vernieuwen een automatisch proces maakt. Een ander nadeel is: als je meerdere webservers hebt, kun je niet bewijzen dat die webserver van jou is. Hier zijn wel oplossingen voor, maar die zijn meestal vrij ingewikkeld.

Het voordeel van Let’s Encrypt: het is gratis, en meestal volledig geautomatiseerd. Het nadeel: LE voelt goedkoop en hobbymatig aan. Maar uiteindelijk voor het slotje in de balk van je browser maakt dat helemaal niets uit.

Waarom andere certificaten geld kosten:

  • je koopt een stukje veiligheid.
  • er zit een soort verzekering op dat niet iemand anders jou certificaat zou mogen gebruiken.
  • En bij een extra uitgebreid certificaat heb je natuurlijk dat er echt iemand bezig moet voor jou om te controleren dat jij echt bent wie je zegt dat je bent. En het bedrag van de verzekering is hoger.

Maar die verzekering: ik heb nog nooit gehoord dat er ooit iets uitgekeerd is…

Hoe vraag je een certificaat aan?

Het certificaat van Kliksafe zorgt ervoor dat de verbinding tussen jouw pc en de server waar je naartoe gaat, versleuteld is. ‘Versleuteld’ is dat niemand kan meelezen. Je kunt het ook controleren of de verbinding goed gaat.

Hoe ziet een certificaat eruit?

Een certificaat bevat de volgende onderdelen:

  • Naam van de server
  • Door wie hij ondertekend is
  • Begin- en einddatum

Het werkt zo:

Als je naar www.kliksafe.nl gaat, controleert jouw browser of de naam van de server van de website die je bezoekt, overeenkomt met de servernaam in het certificaat. Komen die niet overeen, dan krijg je de melding: Je verbinding is niet privé. (Chrome is de meest gebruikte browser en die zegt: Je verbinding is niet privé. Anderen meldingen zijn ook wel: ‘Waarschuwing: mogelijk beveiligingsrisico’.) Daarna kijkt de server of het certificaat ondertekend is door een partij die hij vertrouwt. Dan kijkt hij nog of de geldigheid van het certificaat goed is.

Als een van deze dingen niet klopt, dan krijg je de melding Je verbinding is niet privé.

Wanneer krijg je de melding?

  • Als de naam niet klopt, kan de eigenaar de domeinnaam veranderd hebben.
  • Als het certificaat niet meer geldig is. Dit controleert de computer met de eigen tijd instelling. Soms is er een batterijtje leeg in de computer waardoor de computer iedere keer als hij start denkt dat het 1970 is. En omdat alle certificaten maximaal een jaar geldig zijn, zijn alle certificaten volgens de computer niet geldig meer.
  • Als de ondertekening niet goed is, kan het een hacker zijn die ondertekent met zijn eigen certificaat - die niet vertrouwd wordt. Hetzelfde wat de hacker doet, doen wij met ons filter. Dat heet trouwens een ‘man in de middle attack’. Stel, je bent Kliksafe-klant en je hebt in mijnkliksafe aangevinkt: Filter op inhoud, en Filter op categorie. Dan ga je naar Google, en zit Kliksafe ertussen. Jouw pc maakt verbinding met Kliksafe (beveiligd) en van Kliksafe naar Google is het ook beveiligd. Alleen Google kan bewijzen dat zij eigenaar zijn van google.nl. Daarom maakt het filter zelf de certificaten aan, en die worden ondertekend door het certificaat van het Kliksafe Filter. Doordat het certificaat waarmee het Kliksafe Filter ondertekend standaard niet vertrouwd wordt door een computer zal deze een melding geven.

Hoe kun je melding oplossen?

Als je een Kliksafe verbinding hebt, kun je ga je naar https://www.kliksafe.nl/certificaat/. Hier kun je checken of het certificaat geïnstalleerd is. Krijg je te zien ‘Gefeliciteerd’, dan is het al geïnstalleerd en is er een ander probleem. Krijg je ‘Installeer certificaat’ te zien - dan moet je dus het certificaat installeren. Er staat een link bij hoe je dat doet. De melding zou je dan niet meer moeten krijgen.

Krijg je hem nog steeds, dan is er iets anders met de server. De datum op je pc staat misschien verkeerd, dan zijn namelijk alle certificaten per definitie verlopen. Dit komt vaak voor.

Kliksafe en deze melding

Het certificaat eenmalig installeren, is voor velen de oplossing. Daarnaast adviseren we de datum op je pc te checken. Zo lang die niet goed staat, blijf je de melding krijgen. Het kan ook zijn dat de ondertekening niet wordt vertrouwd. Dat kan een serverprobleem zijn, als de server niet goed is geconfigureerd. Het certificaat is ondertekend door een foute of niet geregistreerde instantie en is dus niet geldig. Ook kun je de melding krijgen door een typefout. Check dus of je echt gaat naar de pagina waar je heen wilde.