https vraagje

Hier horen vragen over google, irc, nieuwsgroepen, e-mail, enzovoort
Plaats reactie
philippe_d
Moderator
Moderator
Berichten: 17490
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 923 keer
Bedankt: 3349 keer
Recent bedankt: 4 keer

Ik kreeg een vraagje van een kennis (die denkt dat ik iets van IT afweet :-( )
Dag Philippe,

Ik heb een informatief vraagske. Sinds kort heb ik in mijn safari en Google Chrome telkens het feit dat ik een website open, deze opent in HTTP ipv HTTPS. Kan dit een instelling zijn? Want dit is geen beveiligde verbinding zo he? bv http://speedtest.telenet.be

Bedankt voor de hulp :-)
Zelf ben ik het antwoord schuldig, en heb daar nog niet zoveel bij stilgestaan.

Ik gebruik meestal Firefox, en ik stel vast dat ik meestal vanzelf op een https terecht kom, als ik in de browser een adres intik.
Ik heb dus de indruk dat de keuze tussen http en https vooral aan de server kant ligt, niet bij de gebruiker?
Tenzij je zelf, bij ieder adres die je intikt, manueel https:// gebruikt?
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
Gebruikersavatar
Fatsie
Pro Member
Pro Member
Berichten: 378
Lid geworden op: 29 dec 2010, 20:15
Uitgedeelde bedankjes: 102 keer
Bedankt: 44 keer

Als je geen opgave van protocol doet bij de URL gaat er standaard HTTP gebruikt worden. Vele websites, zeker de grote & met de opkomst van gratis SSL certs met initiatieven als Let's Encrypt vele andere, gaan dan een redirect voorzien naar HTTPS, het is dus inderdaad de hoster/server die een doorverwijzing doet in dat geval.
philippe_d
Moderator
Moderator
Berichten: 17490
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 923 keer
Bedankt: 3349 keer
Recent bedankt: 4 keer

Wat kan je dan als gebruiker doen (tenzij zelf manueel https:// gebruiken?
Is er ergens een instelling in de browser (bij mij Firefox, bij mijn kennis Safari of Chrome) die dit kan forceren?
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
Luboli
Pro Member
Pro Member
Berichten: 386
Lid geworden op: 06 jan 2017, 02:40
Uitgedeelde bedankjes: 64 keer
Bedankt: 60 keer

De extensie HTTPS Everywhere
Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 2083
Lid geworden op: 18 feb 2014, 15:40
Locatie: Gent
Uitgedeelde bedankjes: 163 keer
Bedankt: 311 keer

HTTPS is niet echt vereist voor zaken als de telenet speedtest: je verstuurt geen paswoorden of andere gevoelige/persoonlijke info.
Als je HTTPS gebruikt krijg je trouwens een waarschuwing dat het geen geldig certificaat is. Of je er dan veel mee bent...
Het BIPT aanziet modems en routers als een onderdeel van de eindapparatuur van de eindgebruiker waardoor deze vrij te kiezen zijn voor breedband en internettelefonie.
Bron
liber!
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 231 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

Wat een slecht advies MaT!

Troy Hunt heeft er een goeie blog post over: https://www.troyhunt.com/heres-why-your ... eds-https/
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16729
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 574 keer
Bedankt: 770 keer

Indien een website, zoals userbase bijvoorbeeld, zowel HTTP als HTTPS ondersteunt en toestaat is het aan de gebruiker (de browser) om zelf de HTTPS-variant in te typen. Browser-extensies zoals HTTPS Everywhere (gebruik ik ook) vergemakkelijken dit.

Een website kan er voor kiezen om een rewrite/redirect rule gebruiken om alle HTTP-links op de HTTPS-tegenhanger te doen uitkomen.

Een website kan er ook voor kiezen om HSTS in te schakelen waarbij expliciet HTTP-verbindingen 'verboden' worden. Als een pagina dus (externe) content via HTTP opvraagt wordt dit geblokkeerd, waarbij zonder HSTS je in mixed mode terecht zou komen.

HTTPS is een performance-hit, zowel aan de serverkant als aan de browserkant. Op moderne machines is dat verwaarloosbaar, maar je moet niet vergeten dat HTTPS in de kern on-the-fly encryptie/decryptie is.
Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 2083
Lid geworden op: 18 feb 2014, 15:40
Locatie: Gent
Uitgedeelde bedankjes: 163 keer
Bedankt: 311 keer

liber! schreef:Wat een slecht advies MaT!

Troy Hunt heeft er een goeie blog post over: https://www.troyhunt.com/heres-why-your ... eds-https/
Jaja, https is altijd beter.. indien er ook een geldig certificaat is. In het geval van de telenet speedtest kan je wel verbinding maken via https maar is het certificaat niet geldig voor het domein en moet je het zelf expliciet accepteren.
Of het advies om de gebruiker aan te leren uitzonderingen te maken voor niet geldige certificaten dan zoveel beter is? :roll:

Daarbij krijg je na het accepteren van het certificaat een 404 pagina, dus met https everywhere ben je hier ook niet veel mee dan. Probleem ligt hier bij telenet, niet bij de gebruiker of zijn browser.
Het BIPT aanziet modems en routers als een onderdeel van de eindapparatuur van de eindgebruiker waardoor deze vrij te kiezen zijn voor breedband en internettelefonie.
Bron
Gebruikersavatar
Fatsie
Pro Member
Pro Member
Berichten: 378
Lid geworden op: 29 dec 2010, 20:15
Uitgedeelde bedankjes: 102 keer
Bedankt: 44 keer

Voor de encryptie maakt de geldigheid van het certificaat toch niet uit? Certificaat moet u zekerheid geven over de identiteit v/d tegenpartij, dus dat de server/website die je aan het bekijken bent wel degelijk van uw bank is bijvoorbeeld. Maar ook met een niet geldig cert word er een encrypted verbinding opgezet.

Volkomen mee eens dat het aankweken van slechte gewoontes door het vertrouwen van niet geldige certs een slecht idee is!
liber!
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 231 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

MaT schreef: Jaja, https is altijd beter.. indien er ook een geldig certificaat is. In het geval van de telenet speedtest kan je wel verbinding maken via https maar is het certificaat niet geldig voor het domein en moet je het zelf expliciet accepteren.
Of het advies om de gebruiker aan te leren uitzonderingen te maken voor niet geldige certificaten dan zoveel beter is? :roll:

Daarbij krijg je na het accepteren van het certificaat een 404 pagina, dus met https everywhere ben je hier ook niet veel mee dan. Probleem ligt hier bij telenet, niet bij de gebruiker of zijn browser.
Lijkt me een serieus gepruts van Telenet en zijn leverancier.
Certificaten moeten gewoon geldig zijn, en in tijden van letsencrypt is dit voor iedereen toegankelijk.

Dus helemaal mee eens, de user kan hier niet veel aandoen.
misterjo
Premium Member
Premium Member
Berichten: 712
Lid geworden op: 30 nov 2003, 13:23
Locatie: leuven
Uitgedeelde bedankjes: 33 keer
Bedankt: 24 keer

meon schreef: HTTPS is een performance-hit, zowel aan de serverkant als aan de browserkant. Op moderne machines is dat verwaarloosbaar, maar je moet niet vergeten dat HTTPS in de kern on-the-fly encryptie/decryptie is.
Voor de serverkant kan je TLS offloading doen op de (a/n) load balancer.
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 185 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Voor een speedtest houdt het wel steek om dit expliciet NIET over https te doen. Het doel is uiteindelijk om de snelheid van de lijn te testen, en niet de snelheid van de SSL implementatie. Telenet (of eender welke speedtester) kan niet controleren dat er aan de browserkant een performante SSL library gebruikt wordt. Eigenlijk is het al een slecht idee om hier HTTP en een browser voor te gebruiken.
fred_be9300
Pro Member
Pro Member
Berichten: 248
Lid geworden op: 30 nov 2005, 20:42
Uitgedeelde bedankjes: 85 keer
Bedankt: 12 keer

Bah... Hangt ervan zeker? Als je high-res YouTube video wil bekijken moet dat ook over een https lijn en wellicht in dezelfde browser, SSL stack. Hangt ervan af wat je wil meten, dan... ?
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”