In navolging op de eerdere wijzigingen in de weergave van HTTPS in Chrome en andere browsers, gaat Google in Chrome nu een stapje verder: het uitfaseren van het welbekende slotje in de adresbalk bij beveiligde websites.

Wat is de aanleiding?

Een beveiligde HTTPS-verbinding wordt nu in alle browsers aangeduid door een slot-icoon in de adresbalk. Uit onderzoek van Google blijkt dat inmiddels ruim 90 procent van alle in Chrome geladen websites gebruik maakt van HTTPS, echter bleek enkele jaren geleden ook uit onderzoek dat 89 procent van de onderzochte gebruikers niet weet wat het slot-icoon precies inhoudt. Gebruikers denken vaak dat het slot-icoon aangeeft dat de website betrouwbaar is, terwijl het alleen laat zien dat er een beveiligde verbinding met de website is. Dit zegt dus niet over de identiteit van de website. Deze gecontroleerde identiteit werd wel duidelijk weergegeven in een EV SSL certificaat, maar dankzij aanpassingen in Chrome wordt deze identiteit nauwelijks meer zichtbaar getoond.

Daarom start Google in een de volgende versie van Chrome die in augustus dit jaar uitkomt met een experiment waarbij het slotje wordt vervangen door een neutrale aanduiding waarmee pagina-informatie kan worden bekeken. Omdat het nog een experiment betreft, is het voor organisaties nog wel mogelijk aan te geven dat ze hier niet aan mee willen doen.

Google start met experimenteren met verwijderen slotje in Chrome browser

Eerdere wijzigingen

Google is met Chrome al geruime tijd bezig met een omslag naar HTTPS als standaard en het vereenvoudigen van de weergave van domeinnamen:

  • Begin 2017 kregen alle websites met HTTPS een ‘veilig’ melding.
  • In Juli 2018 kregen alle websites zonder HTTPS een ‘onveilig’ melding , waarmee de veilig melding van een jaar eerder weer verviel. Deze waarschuwing bij niet beveiligde websites blijft voorlopig gehandhaafd.
  • Twee jaar geleden werd vanaf versie 76 geen www of http/https voor het domein meer getoond. Omstreeks dezelfde tijd werd de weergave van een EV SSL certificaat niet meer groen getoond, en werden de bedrijfsnaam en de landcode niet meer getoond in de url-balk, maar in een ‘Page-info’ pop-up.

Koers is voer voor discussie

Het helemaal niet meer tonen van het slotje bij HTTPS is een stap die destijds al als een van de mogelijke acties naar aanleiding van het eerdergenoemde onderzoek werd aangekondigd. Omdat inmiddels 90% van alle websites gebruikmaakt van HTTPS, acht Google de tijd nu rijp om te experimenteren met het helemaal niet meer tonen van het bekende slotje.

Niet iedereen is het eens met de koers van Google, veelgehoorde geluiden zijn bijvoorbeeld dat het telkens wijzigingen van de weergave van SSL en EV SSL de duidelijkheid voor gebruikers juist vermindert. Ook de door Google genoemde ruim 90% van de websites geladen via HTTPS, lijkt erg ruim in vergelijking met andere metingen, die lager uitkomen met minder dan driekwart.

Met zo’n tweederde marktaandeel op de browsermarkt is het logisch dat de andere browsers min of meer dezelfde koers varen. Ter bevordering van HTTPS lanceert Mozilla in Firefox 91 (augustus dit jaar) de HTTPS-only mode, die ervoor zorgt dat websites – indien beschikbaar-  standaard in HTTPS worden geladen.