HTTPS Everywhere is een browserplug-in, extensie of beter gezegd een aanvulling voor Internet Explorer, Mozilla Firefox en Google Chrome die er voor zorgt dat bezoekers van een website direct via een versleutelde verbinding (HTTPS) contact maken met de betreffende website. Wanneer HTTPS Everywhere in de gebruikte browser is geinstalleerd zal deze bij het bezoeken van een website controleren of er een HTTPS-verbinding is. Indien deze beschikbaar is zal er automatisch een versleutelde c.q. beveiligde verbinding met de betreffende website worden opgezet Wanneer er geen HTTPS-verbinding beschikbaar is zal er gewoon via HTTP een verbinding worden opgezet.
Aangezien we over het internet steeds meer en meer gevoelige informatie versturen, zoals adresgegevens, bankgegevens, financiële transacties, maar ook persoonlijke al dan niet vertrouwelijke gegevens via e-mail en chatberichten. Het is dus van essentieel belang om ervoor te zorgen dat die gegevens niet door kwaadwillenden kan worden onderschept. U kunt dit eenvoudig beschermen door gebruik te maken van een beveiligde verbinding, die de betreffende gegevens versleutelt waardoor ze onleesbaar worden voor derden. In de onderstaande afbeelding ziet u schematisch het verschil tussen HTTP en HTTPS weergeven.
HTTPS Everywhere - Werking
Zodra "HTTPS Everywhere" met een betreffende website een HTTPS-verbinding maakt wordt het dataverkeer zeg maar op twee manieren beschermt.
Authenticatie: "HTTPS Everywhere" controleert continu de verbinding tussen de betreffende web-server en de gebruikte browser, om zo te voorkomen dat de verbinding tijdens de internetsessie niet wordt omgeleid naar bijvoorbeeld een server die in handen is van cybercriminelen.
Versleuteling & integriteit: Alle data die tussen de betreffende web-server en de gebruikte browser worden uitgewisseld worden versleuteld, op deze manier zijn alle gegevens voor derden zeg maar onleesbaar en onbruikbaar om te manipuleren c.q. wijzigen en te misbruiken.

HTTPS Everywhere - Downloaden & Installeren
De browserplug-in "HTTPS Everywhere" is beschikbaar voor Internet Explorer, Mozilla Firefox en Google Chrome en kan van de onderstaande locaties worden gedownload.

• HTTPS Everywhere voor Firefox en Google Chrome.
• HTTPS Everywhere voor Internet Explorer

HTTPS Everywhere - In de praktijk
Heel veel websites maken deels gebruik van een HTTPS-verbinding en deze is te herkennen aan bijvoorbeeld het slotje in de adresbalk van de browser, maar ook aan de hand van het certificaat wat gebruikt wordt voor de HTTPS-verbinding is deze te herkennen.
Wanneer je een website op de normale manier bezoekt zoals bijvoorbeeld http://www.rabobank.nl/particulieren/" onclick="window.open(this.href);return false; zonder gebruik te maken HTTPS Everywhere zal je niet automatisch doorgestuurd worden naar https://www.rabobank.nl/particulieren/" onclick="window.open(this.href);return false;.

Wanneer je met de gebruikte browser een website opent zal er eerst een DNS-lookup worden uitgevoerd, tussen de HTTP-verbinding en de werkelijke HTTPS-verbinding zijn er dan twee aanvallen mogelijk.

1. DNS Spoofing
2. Direct Man In The Middle (MITM) aanval

Wanneer je gebruik maakt van "HTTPS Everywhere" zult u bij het bezoeken van http://www.rabobank.nl/particulieren/" onclick="window.open(this.href);return false; direct op https://www.rabobank.nl/particulieren/" onclick="window.open(this.href);return false; uitkomen, natuurlijk wordt er in dit geval ook een DNS-lookup uitgevoerd, maar doordat "HTTPS Everywhere" de HTTPS-verbinding afdwingt. Wanneer er in dit geval gebruik wordt gemaakt van de twee eerder genoemde aanvalstechnieken zal de gebruiker in de gebruikte browser een certificaat-error te zien krijgen.
HTTPS Everywhere - SSL Observatorium
Wanneer u voor het eerst "HTTPS Everywhere" installeert zal u de vraag krijgen om gebruik te maken van het SSL Observatorium, met behulp van deze functie controleert HTTPS Everywhere de certificaten die de browser ontvangt in het SSL Observatorium. In 2011 is door de Amerikaanse organisatie The Electronic Frontier Foundation (EFF) het SSL Observatorium ontwikkeld met als doel om gebruikers tegen frauduleuze certificaten te kunnen beschermen. Real-time worden de certificaten van Certificate Authorities gecontroleerd op legitimiteit, hierbij wordt er een kopie van de HTTPS-certficaten naar het zogenaamde "observatorium" gestuurd.

HTTPS Everywhere - SSL Observatorium (opties)
In de eerste plaats kent het SSL Observatorium een aantal standaard opties die al optioneel staan ingeschakeld zoals "Het observatorium gebruiken" en het "Melden met welke ISP u bent verbonden indien u een nieuwe certificaat ziet".

Bij de geavanceerde opties, kunt u aanvullende de volgende opties inschakelen.

• Verstuur en controleer zelf-getekende certificaten.
• certificaten ondertekend door niet-standaard hoofd-CA's opsturen en controleren.
• Certificaten voor niet-openbare DNS-namen opsturen en controleren.

HTTPS Everywhere - Algemene informatie
HTTPS Everywhere voor Mozilla Firefox en Google Chrome is ontwikkeld door de Amerikaanse organisatie The Electronic Frontier Foundation (EFF) en The Tor Project, de versie voor Internet Explorer is ontwikkeld door het beveiligingsbedrijf ZScaler Research

Vragen en problemen
Mocht u vragen hebben omtrent HTTPS Everywhere of tegen problemen aanlopen dan kunt u voor hulp terecht op ons forum in de sectie Beveiliging & Privacy