Onlangs bleek uit onderzoek van “Het Telefoonboek” dat bijna driekwart van de webwinkel en postorderbedrijven niet in het bezit zijn van een SSL certificaat. Het leek ons interessant om te onderzoeken bij hoeveel webwinkels met een webwinkel-keurmerk dit het geval is. Een webwinkel-keurmerk staat immers voor veilig winkelen en zou consumenten het vertrouwen moeten geven dat hun gegevens in goede handen zijn.
Het onderzoek is uitgevoerd onder de volgende keurmerken: Qshops, Thuiswinkel Waarborg, Webshop Keurmerk, WebwinkelKeur, mbkOK, Digikeur, Webshoptoppers en WebshopSelect.
Disclaimer: Het kan zijn dat onderstaande resultaten lichtelijk afwijken door foutief ingestelde webservers van de door ons onderzochte webwinkels. Er zijn mogelijk een aantal webwinkels die wel een SSL certificaat hebben maar door foutieve instellingen hun bezoekers niet doorverwijzen naar deze beveiligde HTTPS-verbinding. Daarnaast bezoekt de bezoeker bij sommige webwinkel-software bepaalde delen van de website wel via een beveiligde verbinding. In dit onderzoek hebben wij deze webwinkels in de categorie “zonder https” gezet omdat niet op de gehele website een beveiligde verbinding wordt aangeboden.
Wij hebben de test als volgt uitgevoerd
- Allereerst hebben wij alle leden van de verschillende webwinkel-keurmerken verzameld die zij zelf via hun website hebben gepubliceerd.
- Vervolgens hebben wij 14.880 webwinkels bezocht en gekeken bij welke webwinkels wij doorgestuurd werden naar een beveiligde verbinding (https). Bij alle 14.880 webwinkels hebben wij nogmaals door middel van een redirect scan gecontroleerd of bezoekers automatisch over een https-verbinding worden geleid.
- Webwinkels die wij niet konden bereiken hebben wij uit de resultaten weggelaten. De resultaten kunnen hierdoor lichtelijk afwijken.
Als webwinkels ons niet automatisch de website lieten bezoeken via een beveiligde https-verbinding zijn wij er voor dit onderzoek vanuit gegaan dat deze websites dan ook niet over een correct geconfigureerd SSL certificaat beschikken.
De onderzoeksresultaten per keurmerk
[table id=1 /]
*Deze test is volledig geautomatiseerd uitgevoerd. Resultaten kunnen daarom enigszins afwijken van de werkelijkheid.
Webwinkels met een keurmerk van een van de bovenstaande keurmerken hebben gemiddeld dus vaker een beveiligde verbinding dan het landelijk gemiddelde. Toch vinden wij 28% veel te veel, wij vinden namelijk dat iedere webwinkel een beveiligde verbinding zou moeten hebben. Het ontbreken van een beveiligde verbinding kan namelijk schadelijk zijn voor zowel de consument als voor de webwinkel.
Heb je hulp nodig bij het installeren van jouw SSL certificaat?
Het ontbreken van een beveiligde verbinding kan schadelijk zijn voor de consument
Het risico dat bezoekers lopen verschilt per webwinkel omdat elke webwinkel andere functionaliteiten aan zijn bezoekers biedt. Gelukkig vinden bijna alle transacties bij webwinkels in Nederland plaats in een beveiligde omgeving; betalen via bijvoorbeeld iDEAL is dan ook nagenoeg altijd veilig. Waar de consument echter wel mee moet oppassen is het invullen van persoonlijke gegevens op websites zonder beveiligde verbinding. Bij de meeste webwinkels kunnen bezoekers zich inschrijven voor de nieuwsbrief of een account aanmaken. Bij het aanmaken van een account moet men vaak ook een wachtwoord invoeren, dit gebeurt in veel gevallen op pagina’s zonder beveiligde verbinding.
Gevoelige data vindbaar voor kwaadwillende hackers
Zonder beveiligde verbinding is het risico groter dat een kwaadwillende hacker gevoelige data kan onderscheppen. Het stelen van gegevens kan op talloze manieren, bijvoorbeeld als een hacker een zogenoemde “man-in-the-middle-aanval” uitvoert. Als er eenmaal data van een webwinkel gestolen zijn hebben hackers vaak de beschikking over persoonlijke gegevens zoals het gebruikte e-mailadres en wachtwoord. Veel consumenten gebruiken op meerdere plekken hetzelfde wachtwoord of een variatie op dit wachtwoord. Een hacker kan op deze manier met het gestolen e-mailadres en wachtwoord op allerlei plekken proberen in te loggen. Daarnaast kan het e-mailadres gebruikt worden voor het versturen van spam.
Geen beveiligde verbinding is schadelijk voor webwinkels
Veel hostingpartijen ondersteunen tegenwoordig Let’s Encrypt waardoor webwinkels zonder extra kosten kunnen zorgen dat de verbinding beveiligd is. Let’s Encrypt is onderdeel van de non-profit organisatie Internet Security Research Group en wordt gesponsord door onder andere: Google Chrome, Facebook en Cisco. Ondersteunt het bedrijf waar de webwinkel bij gehost wordt dit niet? Dan kan er al voor 10 euro per jaar een SSL certificaat worden aangeschaft. Er is dus eigenlijk geen excuus om geen SSL certificaat te hebben.
Slechte gebruikerservaring op webwinkels zonder HTTPS
Vanuit het oogpunt van de gebruiker is het fijn als een webwinkel een beveiligde verbinding heeft. Daarnaast gaat Google Chrome steeds duidelijker aangeven welke websites niet veilig zijn. Firefox doet dit ook doormiddel van een waarschuwing wanneer een gebruiker wil inlogen op en een non-https-site. Bezoekers die afgeschrikt worden door het ontbreken van een SSL certificaat verlaten hierdoor mogelijk de website. Dat is natuurlijk slecht voor het aantal conversies maar ook voor de online vindbaarheid van een website. Beter gebruikersgedrag wordt immers beloond door Google en slecht gebruikersgedrag wordt bestraft en resulteert in lagere posities in de zoekresultaten.
Google hecht veel waarde aan het verbeteren van de veiligheid van het internet. Het is zelfs zo dat websites met een beveiligde verbinding voordeel hebben ten opzichte van websites die geen beveiligde verbinding hebben.
Kans op boetes en schade voor klanten
Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens meer mogelijkheden gekregen om websites met een slechte beveiliging boetes op te leggen. Mocht het zo zijn dat na een datalek blijkt dat een website niet voldoende heeft gedaan om dit datalek te voorkomen dan kan de Autoriteit Persoonsgegevens een boete opleggen. Een van de punten waar de Autoriteit Persoonsgegevens naar kijkt is of een website een beveiligde verbinding heeft en of er voldoende is gedaan om het lekken van data te voorkomen. Met een SSL certificaat kan je dus een boete voorkomen. Daarnaast is de schade door klanten die een webwinkel niet meer vertrouwen mogelijk nog groter.
