AMSTERDAM – Veel Nederlandse websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen en webwinkels, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd.

Dat concludeert beveiligingsexpert Teus Hagen na eigen onderzoek waarover Tweakers.net bericht. Hagen presenteert zijn conclusies donderdag op een beveiligingsconferentie.

De beveiligingsexpert verbaasd zich over de gebrekkige SSL- en TLS-beveiliging van bijvoorbeeld de websites van banken. “Het is vreemd om te zien dat Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken”, schrijft hij in zijn verslag.

ING

Banken die vooral slecht scoren in het onderzoek van Hagen zijn ING, de Friesland Bank en de Bank of Scotland.

Negen van de 27 onderzochte bankenwebsites, waaronder een grote speler als ING, zijn vatbaar voor zogenaamde man in the middle-attacks, waarbij een hacker de communicatie tussen een klant en een websites ‘afluistert’.

Zes banken gebruiken volgens het onderzoek geen certificaat van een vertrouwde autoriteit en slechts 38 procent gebruikt een ev-certificaat, dat staat voor specifieke en uitgebreide veiligheidsmaatregelen.

Geen veilige verbinding

Ongeveer de helft van alle onderzochte websites biedt daarnaast geen beveiligde verbinding. Hierdoor wordt informatie als de gebruikersnaam en het wachtwoord zonder beveiliging over het internet verstuurd.

Ook bij de websites die wel gebruikmaken van een SSL- of TLS-beveiliging gaan dingen fout. Overheidswebsites zouden de verkeerde instellingen hanteren. Zo zou de versleuteling van bijvoorbeeld DigiD niet voldoende zijn.

Bij correct gebruik van HTTPS, wordt data versleuteld waardoor buitenstaanders onmogelijk toegang zouden moeten kunnen krijgen tot de verstuurde gegevens.

DNSSEC

Volgens de onderzoeker is het relatief eenvoudig om een verbinding goed te beveiligen en pleit hij voor een snelle invoering van DNSSEC, de opvolger van het huidige DNS die veiliger is.