Een SSL-certificaat op uw website is te herkennen aan de groene https en slotje in de browser. Het beveiligt het verkeer tussen uw website en de bezoeker via encryptie. In dit artikel bespreken we waarom dat belangrijk is en welke opties er zoal zijn op dit gebied.
Wat is SSL?
SSL staat voor Secure Socket Layer en bestaat al sinds 1994 en werd door Netscape Communications ontwikkeld. Het wordt heden ten dage breed ondersteund. SSL beveiligt het verkeer tussen een website en een bezoeker. Voor websites van bijvoorbeeld banken en e-commerce (webshops) is het zelfs verplicht. Ook voor websites die om bijzondere persoonsgegevens vragen (bijvoorbeeld via een contactformulier) is het bij wet vereist om de website van een ssl-certificaat te voorzien. Overheidswebsites zouden dit jaar (2017) allemaal voorzien moeten zijn van ssl indien er persoonsgegevens of andere gevoelige informatie wordt verwerkt.
Volgens de organisatie Bits of Freedom zouden alle overheidswebsites standaard moeten worden zijn voorzien van deze beveiliging. Die noodzaak ziet Minister Plasterk echter nog niet. Ook onder het bedrijfsleven leeft het besef omtrent SSL nog onvoldoende. Zo concluderen MKB Service Desk en SIDN (de organisatie die de registratie van NL-domeinen faciliteert) dat 86% van de Nederlandse bedrijfswebsites die privacygevoelige gegevens verwerken, de beveiliging onvoldoende op orde heeft ( webshops zijn niet meegenomen in het onderzoek). Bron: SIDN
Encryptie wordt steeds belangrijker
Alle Nederlandse webshops zijn voorzien van SSL-certificaten omdat betaalproviders dat vereisen. In augustus 2014 gaf Google aan dat SSL een positieve, hoewel kleine, invloed zou krijgen op de ranking van een website. SEO-experts zien daar echter nog weinig effect van. Houd er rekening mee dat er in de toekomst nieuwe functionaliteiten kunnen komen binnen uw website die bijvoorbeeld te maken hebben met de plaatsbepaling van uw bezoekers. Die plaatsbepaling kan dan aangemerkt worden als gevoelige informatie en daardoor wellicht alleen nog te gebruiken zijn via een beveiligde verbinding. Dus wanneer u in de markt bent voor een nieuwe website is dit wel iets om rekening mee te houden. Verkeerde implementatie kan een negatief effect hebben op uw ranking. Heeft u een bestaande website zonder gevoelige informatie dan is de overstap minder belangrijk.
Toch zouden we elk bedrijf aanraden de overstap te maken naar SSL. De trend van encryptie wordt steeds sterker en er komt mogelijk een tijd waarbij het gemis van een certificaat (ook al gebruikt u weinig tot geen gevoelige informatie) een serieus nadeel vormt t.o.v. uw concurrenten. We zien ook al een trend waarbij websites die een login-pagina niet voorzien van een certificaat een slotje met een kruis erdoor tonen (in Chrome en Firefox). I.t.t. het gemis van een groen slotje wekt een slotje met een kruis erdoor meteen argwaan bij de bezoeker.
Vier typen SSL
Self signed: De website-eigenaar ondertekent zelf het certificaat. Inderdaad, niet de betrouwbaarste optie en de meeste kans op beveiligingsproblemen aangezien browsers hierin steeds kritischer zullen worden.
DV SSL: De meest gangbare vorm. Hierbij wordt het domein gevalideerd en het verkeer tussen de website en de bezoeker beveiligd. U ziet dit in de adresbalk aan een groen slotje (en https). Prijs van gratis tot een euro of 10 per jaar)
OV SSL: Deze vorm beidt hetzelfde als DV maar valideert ook de achterliggende organisatie van de domeinnaam. Een domeinnaam an sich zegt niet alles natuurlijk. Prijs zo rond de 30 euro per jaar.
EV SSL: De meest uitgebreide vorm toont de bedrijfsnaam in een groenbalkje in de adresbalk. Bij deze vorm worden er ook garanties afgegeven in het geval het bedrijf schade leidt ten gevolge van SSL-fouten. Hoe hoog dat bedrag is, is afhankelijk van de aanbieder. In Nederland heeft slechts 0,3% van de bedrijfswebsites deze vorm van beveiliging (volgens het eerder genoemde onderzoek). De prijs van een EV-certificaat ligt vaak ver boven de 100 euro per jaar.
Dedicated vs Shared SSL
Wanneer u voor een certificaat gaat, heeft u de keuze tussen een betaalde dedicated certificaat of een gratis shared certificaat. Dedicated is alleen geldig voor het betreffende bedrijf, shared is geldig voor gebruikers van de hele server.
De gratis dienst van Let’s Encrypt biedt shared certificaten en die missen t.o.v. een dedicated certificaat de optie voor Wildcards. Via Wildcards kan er een ongelimiteerd aantal subdomeinen aangemaakt worden. Een subdomein kan zijn blog.mijnbedrijf.nl, webshop.mijnbedrijf.nl etc.. De meeste websites zullen echter geen gebruik maken van subdomeinen. Let’s Encrypt ondersteunt 100 (sub)domeinen per certificaat dus voor de meeste bedrijven is dat meer dan genoeg.
Wanneer je iets koopt en naar de check-out gaat dan word je omgeleid. Je krijgt dan een url te zien waarin niet jouw webadres staat, bij een dedicated ssl-certificaat is dat wel het geval is. Een dedicated certificaat ziet er dus professioneler en veiliger uit. Niet iedereen zal echter een blik werpen op de adresbalk tijdens het bestelproces. Bedrijven achter de betaalde SSL-certificaten claimen dat een dedicated certificaat veiliger is. Anderen zijn van mening dat het met name een esthetisch verschil is. Verwerkt u op uw website bijzondere persoonlijke gegevens zoals BSN’s of heeft u een webshop dan kunt u overwegen om voor een betaalde dedicated ssl-certificaat te gaan. In alle andere gevallen zal een gratis SSL-certificaat waarschijnlijk prima voldoen.
Geen certificaat? Dan mogelijk een boete!
Verwerkt u wachtwoorden, betaalgegevens en/of persoonsgegevens van personen op een website zonder certificaat dan kan u een boete riskeren. Op basis van de Wet Bescherming Persoonsgegevens kan een boete worden opgelegd die kan oplopen tot € 4500,-. De eisen die de overheid stelt worden ook steeds strenger op het gebied van beveiliging (denk aan de plicht om datalekken te melden).
Zelf uw SSL-certificaat instellen en testen
Hoe u een certificaat installeert, hangt af van uw server en wat voor soort SSL-certificaat u wenst. Bij de duurdere versies, kunt u ook op de hulp rekenen van de betreffende SSL-verstrekker om het certificaat op uw website te installeren. Vimexx (hostingprovider van pario) maakt gebruik van Direct Admin als controlepaneel op hun servers. Vimexx heeft een tutorial geschreven voor het installeren van betaalde certificaten binnen Direct Admin. Zij bieden ook de optie om certificaten aangevraagd via Let’s Encrypt in te stellen. U kunt het beste de website van uw eigen provider raadplegen. Wellicht gebruikt uw provider een andere controlepaneel (bijvoorbeeld cpanel) of verlangt aanvullende instellingen. Bij pario stellen we standaard een SSL-certificaat in voor onze bedrijfswebsites indien u zelf geen SSL-certificaat gekocht heeft.
Via diensten als Qualys Labs (link) en SSL Check (link) kunt u zelf de status van uw certificaat testen. De uitslag voor onze eigen website (certificaat via Let’s Encrypt) ziet er als volgt uit:
Geef een reactie