Chrome-waarschuwingen dreigen voor Nederlandse sites

Wereldwijd zijn er nog veel sites die certificaten gebruiken van Symantec en zijn certificaatmerken Thawte, VeriSign, Equifax, GeoTrust en RapidSSL. Dit geldt ook voor Nederland, alleen al gekeken naar .nl-domeinnamen. Daarnaast zijn er natuurlijk nog Nederlandse sites die een.com-domein hebben, of een .eu of andere domeinnaamextensie.

Deadline 1

De aankomende Chrome-ban door Google komt in twee fasen, waarvan de eerste komende maand al is met de komst van Chrome-versie 66. Deze release doet Symantec-certificaten in de ban die vóór 1 juni 2016 zijn uitgegeven. Security-onderzoeker Scott Helme heeft op basis van webcrawlers data vergaard van de meestbezochte sites ter wereld. Die lijst van 1 miljoen sites heeft hij doorgespit op de binnenkort niet langer vertrouwde certificaten.

Op de lijst voor de eerstkomende deadline, op 17 april, staat een bescheiden aantal van zes .nl-sites. Daaronder bevinden zich Omroep Max en de portalsite van marktonderzoeker Gfk waar ook een inlogmogelijkheid draait. In totaal wordt van wereldwijd ruim 500 sites in de Alexa Top 1 Million het huidige certificaat over minder dan een maand geband door Chrome, de meestgebruikte webbrowser ter wereld.

Deadline 2

Daarna volgt de tweede fase, die wordt ingeluid door de release van Chrome-versie 70. Op de lijst voor die volgende deadline, in oktober, staan 117 .nl-domeinen. Daaronder bevinden zich webshops Conrad en Otto, verzekeraars OHRA en CZ, de Postcodeloterij en Bankgiroloterij naast nog de Vriendenloterij, salarisadministratiebedrijf ADP, HR-softwarefirma Raet, vaktitel Medisch Contact van de KNMG (Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst), roddelblad Story, en de gemeente Heemskerk.

Deze en vele andere sites gebruiken certificaten van Symantec, of een van diens submerken, die ná 1 juni 2016 zijn uitgegeven en die in oktober door Chrome worden afgekeurd. Helme ziet in zijn wereldwijde lijst bijna 5000 sites waarvan de certificaten straks niet langer worden vertrouwd in Chrome 70. Die versie komt in oktober uit en wordt als automatische update geïnstalleerd bij gebruikers. Zij krijgen dan alarmmeldingen bij bezoek aan zo’n site, die voortaan immers als onveilig wordt beschouwd.