HTTPS en Google

Zo’n 37 vooraanstaande beveiligingsexperts en IT-juristen (waaronder de Nederlandse hoogleraren Nico van Eijk van het IViR en Bart Jacobs van de Radboud Universiteit) hebben in een open brief (PDF) Google gevraagd om alle webapplicaties standaard door middel van het HTTPS- protocol aan te bieden. Dit in plaats van het momenteel gebruikte HTTP- protocol. Een ogenschijnlijk technisch verzoek wat bij inwilliging mogelijk meer zou betekenen dan alleen verbetering van de privacy van Google’s cloud computing- gebruikers.

Voor wie het jargon niet altijd paraat heeft: HTTP staat voor HyperText Transport Protocol en is het meestgebruikte protocol voor webpagina’s en applicaties. De extra S in HTTPS staat voor Secure en betekent dat de verbinding door middel van cryptografische technieken versleutelt en daarmee beveiligd is. Google biedt al zijn diensten standaard door middel van HTTP aan, met HTTPS als een door gebruikers en Google-hosted applicaties in te stellen optie. De gemiddelde gebruiker laat dit in de praktijk achterwege, vandaar het verzoek van de beveiligingsexperts om dit nu juist standaard aan te zetten.

Ter voorkoming van identiteitsdiefstal, datalekken en andere privacy-aantastende beveiligingsproblemen valt een dergelijke verbetering van Google’s cloud computing activiteiten hoe dan ook toe te juichen. Google neemt dit initiatief gelukkig ook serieus, gezien de reactie op het beveiligingsweblog van Google. Een dergelijke stap door Google zou ook een aantal (hoofdzakelijk positieve) neveneffecten hebben. Google is namelijk momenteel een belangrijke trendsetter op het gebied van internetapplicaties. Als Google voor haar, nota bene, gratis webapplicaties, HTTPS standaard zou inzetten voor al het dataverkeer, dan kan met recht gesteld worden dat HTTPS een in de IT-industrie een algemeen gebruikelijke beveiligingsmaatregel is geworden. Wat met zich meebrengt dat de wettelijke zorgplicht voor automatiseerders die met persoonsgegevens van doen hebben, namelijk het nemen van ‘passende organisatorische en technische maatregelen’, in de praktijk zwaarder wordt. Want van een betaalde SaaS of cloud computing dienst mag dan redelijkerwijze meer verwacht worden. Een dergelijke maatregel door Google zou dan ook naar verwachting een sneeuwbaleffect kunnnen krijgen, al was het maar omdat ook Microsoft en Yahoo! dan niet achter zullen blijven.

Wat mij bij een andere potentiële consequentie brengt. Intussen begint een maatschappelijke discussie los te komen over netwerkneutraliteit en (verplicht) filteren van internetverkeer. Bijvoorbeeld om kinderporno of inbreuken op intellectuele rechten te voorkomen. In de praktijk heeft dit allerlei discutabele neveneffecten, zoals het tijdelijk onbereikbaar zijn van Wikipedia vanuit Australië en dichter bij huis een KLPD die wel kinderpornosites op een zwarte lijst zette maar naliet tot vervolging over te gaan.

Op een internet waar een substantieel deel, en nog belangrijker een steeds groter deel van het verkeer met behulp van beveiligde protocollen zoals HTTPS plaatsvindt zal het afknijpen van verbindingen om wat voor (veelal commerciële en anticompetitieve) reden dan ook niet meer praktisch haalbaar zijn. Ook een land als Iran, wat als gevolg van de actuele situatie aldaar, HTTPS momenteel volledig blokkeert, zal bij een te algemeen gebruik van HTTPS zichzelf te veel in eigen vingers snijden.

Zonder blind te willen zijn voor de enorme kosten die een grootschalige invoering van HTTPS met zich mee zal brengen lijkt het mij daarom een goede ontwikkeling als Google deze suggestie zou overnemen.

Walter van Holst

Contact: 

Gespecialiseerd in het gebied waar IT, management en recht elkaar ontmoeten en paart dit aan een eerdere carrière als IT-specialist. Walter begeleidt als juridisch consultant van Mitopics cliënten bij IT-contractonderhandelingen, contractmanagement en andere IT-juridische vraagstukken. Mede door zijn praktijkervaring als IT-specialist is hij in staat om de juridisch vaak ingewikkelde materie terug te dringen tot begrijpelijke en in de praktijk direct bruikbare proporties.
Neem contact op met Walter.

Vragen/opmerkingen over dit artikel? Reageer hieronder:

Gelieve alle velden in te vullen. Uw e-mail wordt niet gepubliceerd. ×