De beveiliging van webshops is van groot belang, juist nu we met z’n allen in deze bijzondere periode steeds meer online bestellen.
SecuriGuide onderzocht daarom de online beveiliging van 67 webwinkels in negen verschillende categorieën uit het overzicht van beste en slechtste webshops van de
Consumentenbond op basis van drie belangrijke online beveiligingscriteria: status van het SSL certificaat, aanwezigheid van DNSSEC en de configuratie van de security headers van de webserver.
Top 3 voor de online warenhuizen
Bijna 8.600 online-shoppers hebben hun voorkeur uitgesproken voor de verschillende webshops uit de lijst van de Consumentenbond. Op basis van onderzoek naar bovenstaande drie beveiligingscriteria, scoort de categorie ‘online warenhuizen’ zoals Wehkamp en Bol.com het hoogst met een gemiddelde score van 67% op de 3 onderzochte beveiligingscriteria.
Verder gaat de gedeelde tweede plaats - met allebei een score van gemiddeld 65% - naar de categorie ‘sport- en vrijetijdsartikelen’ met webwinkels van onder andere de ANWB en Decathlon en de categorie ‘meubels en woninginrichting’ met online winkels zoals wederom Wehkamp en Bol.com.
SSL beveiliging bij vrijwel alle webwinkels op orde
Het SSL certificaat geeft aan of er een beveiligde verbinding is door het slotje bovenin de browser. De configuratie van dit SSL certificaat kan op veel verschillende manieren gedaan worden. Het is daarnaast van belang om oude, vaak onveilige configuraties van de SSL-instellingen aan te passen of te verwijderen.
In het onderzoek hebben we de SSL-certificaten van alle 67 webwinkels getest via de
SSL tool van Immuniweb. Hierin valt op dat deze online beveiligingsmethode het meeste op orde is bij alle webwinkels. De categorie ‘online boodschappen’ met online winkels zoals AH.nl en Plus.nl voert deze lijst aan. De gemiddelde score van deze webwinkels is 97%.
DNSSEC maar bij 33% van de webwinkels aanwezig
DNSSEC is een techniek die ervoor zorgt dat DNS-records beveiligd zijn. De DNS-records zijn vergelijkbaar met het adresboek van internet: ze vertalen een IP-adres zoals 200.25.24.1 naar
www.domeinnaam.nl.
Het is echter mogelijk voor een hacker om dit opzoeken te manipuleren door middel van ‘DNS spoofing’. Een hacker kan de DNS-records veranderen waardoor een bezoeker op de webshop van een hacker komt die er net zo uitziet als de originele webshop. Hiermee kan de hacker gevoelige informatie zoals bijvoorbeeld creditcardgegevens bemachtigen.
Gelukkig is er een manier om de DNS-records te beschermen. Dit kan met behulp van DNS Security Extensions (DNSSEC): een digitale handtekening waarmee DNS-records niet manipuleerbaar zijn door hackers.
Uit ons onderzoek via deze
DNSSEC tool komt naar voren dat DNSSEC het best op orde is in de categorie ‘online warenhuizen’ met websites zoals Wehkamp.nl en Bol.com en de categorie ‘entertainment & kantoor’ met websites zoals wederom Bol.com en Intertoys.nl. Beide categorieën hebben een gemiddelde score van 50%.
Echter, een maximale gemiddelde score van 50% van de onderzochte websites die dit op orde hebben, laat nog genoeg ruimte voor verbetering zien. In totaal is er van de 67 onderzochte webwinkels maar bij 33% DNSSEC aangetroffen.
Perfect Day cyber expert Marc van Vliet reageert hierop:
"Bij onze klanten zien we ook regelmatig dat DNSSEC en Security Headers niet of onvoldoende ingesteld zijn. Nu KPN vorige maand DNSSEC voor de particuliere klanten heeft geactiveerd verwacht ik wel dat de implementatie van dit protocol een vlucht zal nemen omdat het weer relevanter wordt voor bezoekers."
Security headers: hier valt nog winst te behalen
Security headers geven aan de browser aan hoe deze zich moeten gedragen tijdens de communicatie met de website. De juiste configuratie van security headers op de webserver helpt bij een verbeterde beveiliging van de website.
Uit ons onderzoek via
deze online tool komt naar voren dat de security headers het best op orde is in de categorie ‘sport- en vrijetijdsartikelen’ met online winkels zoals Futurumshop.nl en Bol.com met een gemiddelde score van 74%. Op positie twee eindigt de categorie ‘doe-het-zelf en woningdecoratie’ met een gemiddelde score van 70% met online winkels zoals wederom Bol.com en Lidl-shop.nl.
Ook in deze categorie is nog winst te behalen met een maximale gemiddelde score van 70%.
Conclusie
Wehkamp en Bol.com hebben hun online beveiliging het best op orde op basis van deze drie beveiligingscriteria. Het SSL-certificaat hebben de meeste online webshops goed geregeld maar op het gebied van DNSSEC en de security headers van de webserver is er nog wel ruimte voor verbetering.