Volgens mij is er niets mis met een http-site zolang je alleen maar leest. De informatie die achterhaald zou kunnen worden is de informatie die je leest en door de website uitgelezen zou kunnen worden over jou computer (zoals Google Analytics dit kan doen).

Problemen ontstaan pas als je informatie achterlaat of nog erger als je inlogd op een niet afgeschermde site.
Lijkt mij dat de certificaten leveranciers flink aan het lobbyen geweest zijn.

Dacht dat ze dit al deden.

Inderdaad, is al een paar keer vaker over geschreven: https://www.security.nl/posting/484543/Chrome+gaat+http-websites+als+%22niet+veilig%22+weergeven

Exact. Als een webpagina enkel bedoeld is om informatie te lezen zijn er geen problemen als dit via een http sessie verstuurd wordt.
De informatie die achterhaald zou kunnen worden is ook al voor kwaadwillenden beschikbaar door de webpagina zelf te bezoeken.

Het gaat niemand wat aan wat je op een website leest, toch? Kan, afhankelijk van de website, een interessant profiel opleveren. En het is fijn om te weten dat je met de juiste website communiceert en dat de pagina niet door een tussenliggende partij is aangepast. Zoals een hotelketen die advertenties injecteert.

Nee, de push om alle internetverkeer versleuteld te maken is stevig op gang gekomen toen Edward Snowden had onthult op welke schaal NSA internetverkeer besnuffelt. Let's Encrypt is een initiatief van onder meer EFF en Mozilla, niet van CA's.

Ik ben het met je eens dat je niet overdreven dramatisch moet doen over HTTP-sites waar je geen gegevens kan invullen, al is het wel degelijk zo dat die voor een MITM-aanval een érg makkelijke prooi vormen, het is inherent kwetsbaar en dus onveilig. Dat men daar toch een punt van maakt is omdat men bezig is de boodschap aan computergebruikers zonder kennis van zaken te veranderen. Die was ooit (zeker voor EV-certificaten hun intrede deden):
• HTTP = normaal
• HTTPS (slotje) = veilig
Die wordt nu:
• HTTP = onveilige verbinding
• HTTPS (niet EV) = normale verbinding
• HTTPS (EV) = veilige verbinding

Het is nog steeds een versimpelde voorstelling van zaken, natuurlijk, maar wel een die beter met de werkelijkheid klopt dan de oude boodschap, zelfs als veel mensen "veilige verbinding" als "veilig" opvatten. De boodschap dat je HTTP niet moet vertrouwen is simpeler dan de boodschap dat HTTP in combinatie met een formulier waarop je persoonsgegevens achterlaat niet volstaat. En de mensen voor wie je de boodschap zo simpel moet houden zijn precies de mensen die het kwetsbaarst zijn voor misbruik.

Makkelijke en gratis HTTPS-certificaten zoals die van Let's Encrypt maken het mogelijk om hierop aan te sturen.

Simpelweg een certificaat aanvragen voldoet niet.
Alle scripts en externe bronnen die zijn ingesloten in een website zullen ook https-compatibel moeten zijn. Denk daarbij bijvoorbeeld aan invulformulieren en interactieve content, maar ook afbeeldingen en video die vanaf een externe bron worden aangeboden. Als de externe bronnen niet versleuteld zijn, zal ze ook de SSL-encryptie van de eigen pagina’s breken.

Je moet ze de kost geven die alleen een certificaat hebben geregeld en denken daarmee klaar te zijn.
Dus wat dat betreft geeft het https-slotje totaal geen zekerheid en is het een wassen neus.

Conclusie: Chrome OS en macOS gebruikers zijn security bewuster.

Het probleem is helaas wel dat het risico van "een onveilige site" 100 keer meer ligt in wat er op die site gebeurt met
jouw informatie dan wat er onderweg op de verbinding naar die site gebeurt. Problemen met onderscheppen van de
verbinding zijn meestal puur academisch van aard (even uitgesloten het gebruik van open onbeveiligde WiFi netwerken),
echter problemen met de veiligheid van sites zelf zijn een reeel probleem wat iedere dag zichtbare schade veroorzaakt.

Het gebruiken van de term "veilig" of "niet veilig" bij de URL van een site is daarmee op zijn minst misleidend voor
de gewone gebruiker. En er steeds vanalles aan veranderen wat nog steeds alleen die verbinding betreft maakt dat
niet beter (nee, het maakt het slechter).


Helaas ziet men vaak wel het nodige over het hoofd daarbij.
Zo is het gebruik van Let's Encrypt certificaten op servers die niet open en bloot aan het internet hangen (LAN of
andere gesloten netwerken) helemaal niet makkelijk. Maar op die netwerken worden wel browsers gebruikt en
websites. Die zijn nu ineens allemaal "niet veilig".

Goede zaak, want ook zonder dat je inlogt kun je via onbeveiligde verbinding data lekken die interessant zijn om een profiel op te bouwen, bijv. zou je uit de pagina’s die je leest kunnen afleiden wat je interesses zijn, of iets over je misschien je gezondheid als je op een medische website dingen gaat lezen over bepaalde ziektes. Zonder https kan iedereen die je verbinding monitort dit zien, met https wordt dat al weer een stukje lastiger.

Je krijgt met zogenaamde mixed-content geen https-slotje.

Onbegrijpelijk dat sommige bezoekers van deze site kennelijk niet weten wat integriteit en authenticiteit betekenen.

Ik weet niet hoe dat bij Google is, maar met Firefox zit ik me regelmatig suf te klikken om een uitzondering te maken op websites met een selfsigned certificaat, of een certificaat dat niet helemaal klopt zoals datum verstreken en naam komt niet overeen met de website-url.
Ook hier is er weinig te vrezen als je alleen maar iets leest. Malware kan net zo goed voorkomen op een site met certificaat (hoewel niet lang, omdat het certificaat dan kan worden afgekeurd als je tenminste ocsp gebruikt)

Maar dan nog: certificaten zijn dacht ik toch niet bedoeld om virusscanners te vervangen.

Volgens mij werkt dit averechts. Dan zie je zo vaak 'onveilig' dat je het als normaal gaat beschouwen.

Onveilig is in deze slechts een passieve aanduiding voor de absentie van veiligheidsmaatregelen. Men moet het dan ook niet zien als een waarschuwing voor een gevaarlijke situatie.

Een mogelijk issue is dat een derde partij (internet-provider, wifi-aanbieder, of andere man-in-the-middle) ook content op de http-webpagina kan aanpassen... Advertenties injecteren, malware toevoegen, etc...

M.a.w., er is WEL iets mis met alleen http zolang je alleen maar leest...

Aan de ene kant veiligheid verhogen (op verbindingen via hun https: only campagne), zoals hierboven aangegeven,
aan de andere kant bestaande phishing kwetsbaarheden niet willen patchen.

Open tab phishing is gepatcht door DuckDuckGo, maar Google wenst dit niet te patchen, (omdat het zeer goed past bij Google's kern activiteiten immers).

Lees hierover hier: https://sites.google.com/site/bughunteruniversity/nonvuln/phishing-with-window-opener

Over deze kwetsbaarheid (geen feature), zie: https://www.chaoswebs.net/blog/exploiting-window.opener.html
(bron: het blog van Kevin Forman)

Jodocus Oyevaer

Ja, want een malafide bedrijf zal natuurlijk nooit een gratis certificaat kunnen installeren.

Lol.

Ugh, dit doet Chrome al?