Ik vroeg me daarna af hoe de websites van de verschilende banken zich verhouden, zetten ze allemaal een veilige verbinding op met de webbrowser?
Ik heb de volgende banken even snel gescanned:
Gelukkig zitten er geen slechte websites bij. Maar er is wel verschil tussen de sites.
Opvallend is dat niet bij alle banken HSTS aan staat. Met HSTS kan de webserver aan de webbrowser aangeven dat een verbinding met de webserver altijd beveiligd moet zijn. Wanneer je dan bijvoorbeeld een spam mailtje ontvangt met een link naar een nagemaakt website van de bank (vaak niet beveiligd) zal je webbrowser wijgeren omdat deze heeft opgeslagen dat de verbinding beveiligd moet zijn.
Een ander punt is het gebruik van de soort beveiliging. Zonder diep de techniek in te gaan is het zogenaamde Perfect Forward Secrecy momenteel de beste optie. Maar niet alle banken bieden dit aan.
Alle banken gebruiken een Extended Validation (EV) certificaat. Dit is vaak te zien aan de groene balk bovenin de browser. De betekend in iedergeval dat het bedrijf wat het certificaat heeft verstrekt aan de bank een uitgebreide controle heeft uitgevoerd of de aanvrager ook daadwerkelijk de bank is.
Hieronder een kort overzicht van de resultaten per bank.
Geteste url: https://www.abnamro.nl
Geteste url: https://www.asnbank.nl
Interessant bij de ING is dat het hoofd website (https://www.ing.nl ondersteuning heeft voor Perfect Forward Secrecy and SHA2 gebruikt, maar de uiteindelijke site om in te loggen voor je rekening niet.
Geteste url: https://mijn.ing.nl
Geteste url: https://persoonlijk.knab.nl
Geteste url: https://bankieren.rabobank.nl
Geteste url: https://www.snsbank.nl