image

Google geeft versleutelde sites hogere plaats in zoekresultaten

donderdag 7 augustus 2014, 10:15 door Redactie, 4 reacties

Google is begonnen om websites die HTTPS gebruiken om het verkeer van bezoekers te versleutelen hoger in de zoekresultaten te plaatsen. De beslissing om websites met HTTPS voor te trekken volgt op geruchten uit april, toen een Google-ingenieur het plan tijdens een conferentie had geopperd.

Door het gebruik van HTTPS wordt het verkeer tussen de website en bezoekers versleuteld. Dit maakt het veel lastiger om het verkeer af te luisteren. Het gebruik van HTTPS is dan ook een belangrijke maatregel om het internet veiliger te maken, aldus Google. Daarnaast zouden steeds meer websites HTTPS gebruiken.

"Voor deze redenen hebben we de afgelopen maanden tests uitgevoerd waarbij de zoekresultaatalgoritmen rekening houden of websites HTTPS gebruiken", zegt Gary Illyes. "We zien positieve resultaten, dus zijn we begonnen om HTTPS als een meetpunt te gebruiken." Illyes merkt op dat het gebruik van HTTPS minder zwaar weegt dan andere punten, zoals goede content. Er wordt echter niet uitgesloten dat HTTPS in de toekomst mogelijk wel zwaarder gaat wegen, om websites zo aan te moedigen over te stappen.

De komende weken zal Google best practices publiceren om het gebruik van HTTPS te vereenvoudigen en veelgemaakte fouten te voorkomen. In de aankondiging van de maatregel geeft Google als verschillende tips, zoals het gebruik van 2048-bit certificaten, het toestaan dat de website wordt geïndexeerd en het kiezen van het juiste certificaat.

Reacties (4)
07-08-2014, 12:36 door Erik van Straten
Opvallend vind ik dat "voorkomen van afluisteren" als enige argument wordt genoemd. M.i. zijn er nog twee (onderling gerelateerde) argumenten:

(1) Als bezoeker van een https site met een commercieel certificaat heb je enige zekerheid dat je daadwerkelijk communiceert met de server waarvan de domeinnaam in de URL-balk van jouw webbrowser wordt getoond. Ook als je alleen maar informatie leest via http kunnen aanvallers jou op het verkeerde been zetten door jou (deels) andere informatie te laten zien dan gepubliceerd door de bedoelde website, bijv. via een DNS aanval en/of netwerk MitM (Man-in-the-Middle) aanval. Denk o.a. aan vervalste links naar "meer informatie".

(2) Het bovenstaande geldt in principe ook voor Google bots. Voorbeeld: berichten op security.nl zijn heel snel in Google terug te vinden (dus ook links in die berichten) met soms slechts enkele keywords. Dat betekent dat de bot vaak "voorbij komt" en Google relatief veel waarde hecht aan de informatie. Aanvallers die via DNS manipulatie de Google bot naar een andere server met domeinnaam www.security.nl site weten te sturen, zouden wel eens allerlei SEO (Search Engine Optimization) trucs kunnen uithalen om andere sites hogere rankings te laten krijgen. Echter, doordat www.security.nl uitsluitend content verstrekt via https (en HSTS gebruikt, waarvan ik niet weet of de Google bot dergelijke headers honoreert, iemand meer info?) is dit een slecht voorbeeld. Een aanvaller die verkeer bestemd voor http://nu.nl/ weet te redirecten naar zijn server zou wel eens heel succesvol kunnen zijn met SEO.

Als testje een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g

Een aardig experiment (dat ik nu niet ga uitvoeren, wellicht heeft iemand anders daar zin in) is een nieuwe webpagina maken (bij voorkeur op een onbekende site) met daarin een random karakterreeks, de URL naar die webpagina uitsluitend opnemen in een bijdrage op security.nl en vervolgens onderzoeken of en wanneer die webpagina te vinden valt via Google.
07-08-2014, 13:22 door Briolet
Door Erik van Straten: Als testje een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g.

Nu inmiddels.
07-08-2014, 13:33 door Erik van Straten
Door Briolet:
Door Erik van Straten: Als testje een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g.

Nu inmiddels.
Wow, inderdaad...

Google geeft versleutelde sites hogere plaats in zoekresultaten ...
https://www.security.nl/.../Google+geeft+versleutelde+sites+hogere+plaats+in+zoekresultaten - Cached
5 minuten geleden ... ... een random karakterreeks (ik ben benieuwd hoe snel deze via Google te vinden is): HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g
07-08-2014, 14:28 door Vandy
Door Erik van Straten:HVGz6GsALzEX3S2vgES8CvG3nLsU5dLtl9e7Jb4g
Hmm, kende ik 'm net uit mijn hoofd, moet ik nu m'n wachtwoord weer gaan wijzigen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.