Wat is SSL?
SSL staat voor Secure Sockets Layer. Dit is de standaard technologie voor het maken van een beveiligde verbinding tussen websites en browsers.
SSL is dus niets meer dan een manier om het internetverkeer tussen een website en een bezoeker te versleutelen.
Communicatie over het internet is normaal gesproken openbaar. Alles wat over het internet gaat, kan worden onderschept.
Met een SSL-certificaat versleutel je het verkeer van en naar je site, waardoor derden de verstuurde gegevens niet meer leesbaar kunnen inzien.
Voor sites die wachtwoorden, persoonsgegevens of betaalinformatie verwerken is SSL zelfs verplicht, dankzij bepalingen binnen de Wet Bescherming Persoonsgegevens. In hoofdstuk 2, artikel 13 staat:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
Een manier om onderscheppen onmogelijk te maken is door de verbindingen van en naar een website of clouddienst te versleutelen.
Dit versleutelen gebeurt dus met SSL, en hiervoor heb je een SSL-certificaat nodig.
Een SSL-certificaat wordt uitgegeven door een Certificate Authority (CA). Hierbij getuigt de CA dat het toebehoort aan de persoon of organisatie die in het certificaat wordt vermeld. Zodoende controleren en bevestigen zij de identiteit van de aanvrager. Het is dus niet zomaar iemand die dit doet, maar de CA als faciliterende en controlerende partij.
SSL beschermt je site niet tegen hacks
Een SSL certificaat beveiligt dus alleen de verbinding. Onveilige scripts (bijvoorbeeld van plugins in een CMS) blijven ook met SSL onveilig.
Goede hosting en sitebouw zorgen daar verder voor.
Hoe werkt SSL?
Wanneer je browser verbinding maakt met een website die SSL gebruikt wordt eerst het certificaat opgehaald. Dit certificaat bevat informatie over de website zelf en eventueel informatie over het bedrijf dat de website beheert.
De Certificate Authority die de digitale handtekening heeft gezet, wordt vervolgens door de browser opgezocht in een lijst van vertrouwde CA’s.
Als de CA van het certificaat bij de browser bekend is, de handtekening klopt, het certificaat nog niet verlopen is, en er geen intrekking is gedaan, spreekt de browser vervolgens met de site een sleutel (wachtwoord) af.
Dat wachtwoord wordt dan gebruikt om de communicatie te versleutelen. Dit gebeurt allemaal in een fractie van een seconde.
Als het certificaat ook ergens maar niet klopt, wordt de verbinding onmiddelijk afgebroken.
Je browser laat dan een waarschuwing zien dat veilig communiceren niet mogelijk is.
Hoger in Google met SSL
Sinds begin 2015 neemt Google beveiligde verbindingen mee als criterium voor het bepalen van posities in Google.
Doordat Google veiligheid hoog in het vaandel heeft staan en zij willen werken aan een veiliger internet, ‘belonen’ zij websites en webwinkels met een beveiligde verbinding.
De verschillende vormen van SSL
#1. Domein SSL (DV).
Hier vindt alleen een validatie op basis van de domeinnaam plaats of deze wel toebehoort aan de correcte persoon.
Eigenschappen:
- Voor particulier gebruik
- Simpel, voordelig en automatisch
- Goedkoop certificaat
- Snelle uitgifte
- Activeert https en het hangslot in alle browsers
#2. Organisatie SSL (OV)
Ook hier geldt een domeinvalidatie. Tevens vindt er een controle van de bedrijfsgegevens plaats.
Dit zakelijke certificaat is de beste keuze voor zzp’ers, stichtingen en voor kleine tot middelgrote bedrijven en organisaties.
Eigenschappen:
- Zakelijk certificaat
- Beste keus voor bedrijven
- Standaard validatieniveau
- Validatie middels bedrijfsgegevens
- Automatisch installeren
- Toont bedrijfsnaam
- Activeert https en het hangslot in alle browsers
#3. Uitgebreide SSL (EV)
Voorbeeld (of kijk nu linksboven in je browserbalk):
Naast een validatie op basis van de domeinnaam, wordt bij een Extended Validation (EV) expliciet gekeken of het bedrijf correct bij de Kamer van Koophandel is geregistreerd. Deze uitgebreidere controles lichten vrijwel alle aspecten van het bedrijf door.
Dit uitgebreide certificaat is de beste keuze voor online diensten, webshops en grote bedrijven. Websites met deze SSL-certificaten stralen extra vertrouwen uit. Een grote groene balk met de bedrijfsnaam wordt zichtbaar voor de domeinnaam in de browser.
Eigenschappen:
- Hoogste klasse SSL
- Meest gekozen door webshops
- Allerhoogste validatieniveau
- Validatie en controle middels KvK
- Toont bedrijfsnaam en adres
- Activeert herkenbare groene balk in alle browsers
- Activeert https en het hangslot in alle browsers
Houd rekening met SEO!
Het activeren van HTTPS betekent dat een website vanaf dat moment op twee url’s benaderbaar is: http://www.domein.nl en https://www.domein.nl. Google ziet deze twee url’s als wezenlijk verschillend. Gevolg: de pagina’s zijn bereikbaar via twee verschillende url’s, waardoor je risico loopt op duplicate-content minpunten. Zorg er dus voor dat altijd een goede redirect is ingestelt die alle http:// links doorstuurt naar https://.
En voorkom dat je likes, tweets en +1’s verliest
Ook als je op je website social sharing knoppen hebt staan is het verstandig om een aanpassing te doen. Ook social media zien de HTTP en HTTPS url’s als verschillend. Als je voorheen altijd HTTP links hebt gebruikt heb je waarschijnlijk de nodige likes, tweets en +1’s vergaard. Schakel je de site over naar HTTPS, dan zul je merken dat je Like button opeens naar 0 terugspringt. Er zijn immers nog geen likes voor de HTTPS versie van de pagina. Ook dit is op te lossen, door alle pagina’s vóór de HTTPS migratie te voorzien van een og:url tag met daarin de HTTP link naar de pagina.
Ach, er is zo veel meer over te vertellen. Belangrijk om te onthouden is dat wij klaar staan om vragen te beantwoorden of om het complete SSL traject voor je te verzorgen. Dat doen we graag en dat doen we goed. Laat ons maar die kolen uit het vuur halen.