Sign in Subscribe

Het slotje gaat uit je browser verdwijnen

Begin mei lieten de ontwikkelaars van Chromium (waar de bekende Chrome-browser op gebouwd is) weten dat het slotje in de adresbalk gaat verdwijnen. In plaats daarvan komt er een knopje met een nieuw icoontje, waarmee je veiligheidsinstellingen kunt aanpassen.

Het slotje gaat uit je browser verdwijnen
Een slotje met een ondergaande zon als achtergrond, gegenereerd door Midjourney

De controverse

Het slotje is altijd al een heet hangijzer geweest. Experts pleitten namelijk al jaren dat het een vals gevoel van veiligheid geeft. Mocht je niet zo bekend zijn met de techniek achter het slotje, dan is hier even een korte recap:

  • Het slotje zegt iets over de versleuteling van de verbinding tussen jouw apparaat en de server van de website. Zonder slotje is die verbinding niet versleuteld en is het voor derden makkelijker om te zien welke gegevens je van de site ontvangt of er naartoe opstuurt.
  • Om een slotje in de adresbalk te krijgen moet de beheerder van de site een certificaat (eigenlijk “SSL-certificaat”) krijgen. Die moet door een vertrouwde certificaatautoriteit worden uitgegeven. Zo’n certificaatautoriteit (ook wel “CA”) controleert dan eerst of je wel de eigenaar bent van het domeinnaam. Is dat in orde, dan krijg je het certificaat. In de praktijk gaat zo’n controle vrijwel altijd geautomatiseerd.
  • Zo klinkt het dus alsof het slotje iets zegt over de veiligheid van een website, maar dat is niet zo. Het enige dat je weet als je het slotje ziet is dat de verbinding versleuteld is en dat je verbonden bent met de server die bij het domeinnaam hoort.
  • Je weet dus niet of het domeinnaam betrouwbaar is, of de bestanden die op de server staan veilig zijn, wie de eigenaar van het domeinnaam is, etc.

Je zou dus prima het domeinnaam ingbankieren.nl kunnen registreren en er een certificaat voor aan kunnen vragen. Bezoekers van je “ING” website zien vervolgens keurig een slotje in hun browser en zouden dus ten onrechte kunnen denken dat ze op de echte ING-website zitten.

Toen Google in 2021 onderzocht deed naar de perceptie van het slot-icoontje, bleek dat maar 11 procent van de deelnemers begreep wat het eigenlijk betekende.

SSL is de standaard

Toen het internet opkomend was, ergens in de jaren 90, werd het slot-icoontje bedacht om aan te geven dat de verbinding versleuteld was. In die tijd was dat maar voor een paar sites het geval.

Tegenwoordig is het eigenlijk de standaard. En nieuwe domeinnaamextensies, zoals .app en .dev kunnen zelfs niet zonder versleuteling worden geopend.

Waar certificaten aan het begin van deze eeuw nog vrij prijzig waren, hebben initiatieven als “Let’s Encrypt” ervoor gezorgd dat certificaten voor iedereen toegankelijk werden. Zij bieden certificaten namelijk gratis aan.

Google rapporteert dat 95 procent van de sites die ze hebben geïndexeerd in januari 2023 een versleutelde verbinding ondersteunde.

Een nieuw icoontje

Op dit moment kun je het slotje in Chrome gebruiken om toegang te krijgen tot bepaalde veiligheidsinstellingen. Zo vind je er het menu om toegang tot je camera en microfoon in en uit te schakelen, instellingen voor cookies en meer. Die instellingen blijven beschikbaar en het nieuwe icoontje geeft duidelijker weer dat je via daar instellingen kunt openen.

Uit experimenten die de ontwikkelaars hebben gedaan bleek dat gebruikers eerder geneigd waren om de instellingen te openen en gaven ze er tegelijkertijd geen blijk van dat de ervaring onduidelijk was.

Wanneer deze wijzigingen later dit jaar (waarschijnlijk in september) worden uitgerold, zal blijken hoe er in de praktijk op gereageerd wordt. De kans is ook groot dat andere browsers het voorbeeld van Chrome zullen volgen, waarmee het einde van het slotje is ingeluid.