Foto: © Skylarvision (bewerkt) Wat voor soort SSL Certificaat moet ik kiezen?
In de laatste jaren is er steeds meer aandacht gekomen voor de online wereld. Ook wel de wereld van de bereikbaarheid, waarbij wij als mensen eigenlijk 24/7 bereikbaar moeten zijn. Allemaal natuurlijk erg leuk en aardig, maar dit vraagt ook om veranderingen binnen het gebruik van online diensten. Denk bijvoorbeeld maar eens aan de beveiliging. Vandaag bespreek ik samen met jou wat voor soorten beveiligingscertificaten (SSL Certificaten) je kan kopen. Maar eerst zal ik beginnen met een korte uitleg wat een SSL Certificaat eigenlijk precies is.
Wat is een SSL Certificaat?
Een SSL Certificaat is een certificaat die je bij jouw webhosting (of een erkende organisatie) kunt kopen. Hiervoor moet je enkele gegevens genereren (zogeheten CRS-code) om jouw identiteit te versturen na de webhosting of erkende organisatie. Zij sturen je een bevestigingse-mail die je moet bevestigen.
Wanneer alles is geregeld krijgt je een private key en een public key, samen met een CA-root certificaat. Deze kan je installeren op jouw webserver zodat je een beveiligde verbinding kunt hebben. Dit is te herkennen aan het groene slot en https:// in de adresbalk van jouw browser.
Wat is de levensduur van een SSL Certificaat?
Een betaalde SSL Certificaat heeft een levensduur van één, twee of drie jaar. Afhankelijk van jouw keuze en doel van de website, kan je uit deze drie levensduren kiezen om zo de beveiligde verbinding te kunnen realiseren.
Bij de meeste webhostingbedrijven of erkende organisaties krijgt je vaak korting wanneer je een certificaat afneemt met een langere looptijd. Dit heeft in sommige gevallen een besparing van tientallen Euro’s (bij de uitgebreide certificaten). Maar over het algemeen kan je het beste kiezen voor een certificaat met één jaar. Wanneer dit certificaat bijna verloopt, kunt je een nieuw certificaat aanvragen of bij een ander bedrijf aanschaffen. Dit gaat altijd op dezelfde manier als die ik eerder in dit artikel heb geschreven.
Inmiddels is het bekende Let’s Encrypt ook een oplossing voor hobbywebsites. Deze certificaten hebben een levensduur van 3 maanden (90 dagen). Voor bedrijven raad ik deze keuze ten strengste af, omdat dit goedkoop oogt na jouw bezoeker en dat je zijn of haar veiligheid niet serieus neemt.
Wat voor SSL Certificaten zijn er?
Nu we duidelijk hebben wat een SSL Certificaat precies doet en wat de levensduur een certificaat heeft, dan is het nog belangrijks om te kijken welk certificaat je nodig heeft voor jouw website. Allereerst wil ik je zeggen dat bij alle certificaten ook jouw e-mail beveiligen samen met jouw domeinnaam (in de meeste gevallen dus mjbeventspr.com en www.mjbeventspr.com). Maar daarop zijn uitzonderingen, waar ik later in dit stukje op terug zal komen.
Domeinvalidatie SSL Certificaat
De meest bekende vorm van een SSL Certificaat is de domeinvalidatie. Dit certificaat zorgt ervoor dat jouw e-mail en website (mjbeventspr.com en www.mjbeventspr.com) worden beveiligd. De levensduur kan verschillen van één, twee of drie jaar en is alleen geldig voor één domeinnaam. Het certificaat kan in de meeste gevallen binnen 15 minuten worden geleverd waarna je het certificaat kunt installeren op jouw webserver.
Multi-domeinnaam SSL Certificaat (MDC)
Een organisatie SSL Certificaat is handig wanneer je een bedrijf bent die meerdere domeinnamen beheerd die beveiligd moeten worden. Je kan hierbij in één certificaat deze domeinnamen toevoegen. Een nadeel is dat alle domeinnamen gevalideerd moeten worden. Dit gebeurt door de webhosting (of erkende bedrijf) die een bevestigingse-mail naar een bepaalde e-mailadres stuurt van jouw website (bijvoorbeeld admin@, administrator@ of info@). Het verschilt dan per webhosting (of erkende bedrijf) of dit certificaat inclusief of exclusief het www. is. Soms heb je tegen een kleine extra vergoeding beide varianten beveiligd.
Uitgebreide validatie SSL Certificaat
Een uitgebreide validatie SSL Certificaat kent je ongetwijfeld, bijvoorbeeld wanneer je inlogt bij online bankieren van jouw bank. Dan zie je voor de URL een groene balk met de naam van de bank, bijvoorbeeld ABN Amro Nederland. Deze certificaten duren meestal enkele dagen tot een week. Er moet op verschillende manieren geverifieerd worden dat je de eigenaar bent van de website. Dit gebeurt bijvoorbeeld via een bevestigingse-mail zoals bij een domeinvalidatie, door een brief die op het adres wordt afgeleverd en door een telefonisch gesprek met de uitgevers van het certificaat. Wanneer alles in orde is, zal het certificaat van het aangevraagde domeinnaam worden uitgegeven. De levensduur kan één, twee of drie jaar zijn.
Wildcard SSL Certificaat
Wildcard SSL Certificaten zijn certificaten die niet alleen jouw website (mjbeventspr.com en/of www.mjbeventspr.com) beveiligen, maar ook alle subdomeinnamen. Bijvoorbeeld demo.mjbeventspr.com of demo1.mjbeventspr.com. Wanneer je een gewone SSL Certificaat (domeinvalidatie) heeft geïnstalleerd, dan kan je niet de subdomein mee beveiligen. Daarom heeft je deze Wildcard nodig. Tot tegenstelling wat met een Multi-Domeincertificaat niet kan tegen lage kosten, zijn alle subdomeinen bij een Wildcard beveiligd. Dus bij een installatie van een Wildcard certificaat maakt het niet uit hoeveel subdomeinen je aanmaakt.
Hoe herken ik een veilige website? Is mijn eigen website veilig?
Waarschijnlijk vraag je zich af na de installatie of alles goed is gegaan of dat er toch iets onveilig is. In het volgende gedeelte geef ik je enkele handige websites en tools om te kijken of alles klopt.
URL Check
Allereerst kan je kijken of jouw beveiligde verbinding al beschikbaar is met jouw website. Dit doet je bijvoorbeeld door https:// toe te voegen aan jouw URL. Wanneer jouw website goed beveiligd is, dan krijgt je een groen slotje met de groene tekst https://. Wanneer jouw beveiliging niet beveiligd is, krijgt je vaak een foutmeldingspagina (bijvoorbeeld de onveilige waarschuwing in Google Chrome) in jouw browser. Wanneer je wel https:// ziet maar deze lichtgrijs wordt weergegeven, dan moet je het één en ander nog aanpassen.
SSL Check
De eerste (en waarschijnlijk de bekendste) is www.sslcheck.nl (website kan soms traag zijn). Hier vul je de betreffende domeinnaam in (dus www.mjbeventspr.com bijvoorbeeld). Wanneer alles goed is, dan krijgt je allemaal groene vinkjes met de melding: Het certificaat kon worden gecontroleerd en is op de juiste wijze geïnstalleerd.
SSL Labs
Internationaal word veel gebruik gemaakt van www.sslabs.com/ssltest/. Hier vul je de betreffende domeinnaam is (dus www.mjbeventspr.com bijvoorbeeld). Wanneer de test afgerond is (kan soms 3 minuten – 180 seconden duren), krijg je een cijfer A, B of C. Onder dit cijfer kan je per onderdeel kijken wat goed beveiligd is of wat jouw aandacht nodig heeft om te verbeteren.
Internet
Internet.nl is een website die in het leven is geroepen op websites, e-mailadressen en jouw browser controleren op de beveiliging. Kortgezegd waarmee je verbonden bent met het internet. Wanneer jouw domeinnaam of e-mailadres invoert, worden er verschillende punten weergegeven. De groene vinkjes geven aan wat goed beveiligd is, maar de ronde kruizen geven aan wat nog onbeveiligd is. Een geel driehoekje betekend dat er instellingen anders moeten worden ingesteld.
Omdat dit veel technische kennis nodig heeft, kan je het beste jouw webhosting, webmaster of een andere contactpersoon inschakelen om de punten met een rode of gele driehoek te verhelpen. Raadpleeg ook eventueel internetforums of Facebookgroepen om hulp.
Inspecteren Google Chrome (CTRL + SHIFT + i)
Waarschijnlijk hebben andere browsers zoals Microsoft Edge, Safari en Mozilla deze functie ook. Wanneer je in Google Chrome een website bezoekt, kan je rechtsklikken met de rechtermuisknop. Onderaan het menuutje krijg je de optie inspecteren (CTRL + SHIFT + i). Wanneer je hierop klikt krijg je een nieuw pop-up scherm binnen Google Chrome. Je ziet in de tabbladen “Security” staan. Hier krijg je een melding van Google Chrome wanneer de website volledig beveiligd is. Binnen dit tabblad kan ook het certificaat bekijken die op dat moment actief is op jouw website.
Bonus: Beveiligd maar niet helemaal
Soms kan het voorkomen dat jouw website wel beschikbaar is over https://, maar dat het groene slotje niet zichtbaar is. Dit betekend dat je mixed content heb. Dit kan dus betekenen dat er bijvoorbeeld een afbeelding, video of downloadbare bestand (PDF of Word-document) die via een onveilige verbinding (http://) worden geladen. Je kan in Google Chrome (maar waarschijnlijk ook in andere browsers) door enkele klikken controleren waar het probleem zich bevindt.
Klik daarvoor rechts op jouw rechtermuisknop en vervolgens op inspecteren (CTRL + SHIFT + i). Onder het tabblad Console kan je kijken waar de oorzaak is. Google Chrome geeft dan een URL weer met de tekst als mixed content of geladen via een onbeveiligde verbinding.
Installatie van SSL Certificaat
Onlangs heb ik het artikel Website stappenplan van http naar https geschreven. In dit artikel leg ik uit hoe je een SSL Certificaat moet installeren en hoe je de onveilige verbinding kunt forceren, zoals het vaak wordt genoemd. Zo kan je al (in de meeste gevallen), wanneer je het certificaat heb (private key en public key), al binnen 10 minuten een beveiligde verbinding hebben.
Soms is het allemaal iets technischer dan dat je denkt of wat je heb gehoopt. Daarom wil ik je graag de mogelijkheid aanbieden dat ik de beveiligde verbinding voor je instel. Dit kan dan al in 10 minuten voor je geregeld zijn, wanneer er toegang is tot het certificaat en tot de server van jouw website. Je hoeft daarna alleen zelf nog te controleren of alle andere bestanden (zoals PDF en Word-documenten) over de beveiligde verbinding worden geladen.
Van https naar http
Ik raad je aan, eenmaal een beveiligde verbinding blijf bij de beveiligde verbinding. Het is natuurlijk mogelijk dat je terug kunt stappen naar het onbeveiligde http://. Maar ik adviseer je graag om de beveiligde verbinding te houden.
Wanneer je terug stapt naar http:// dan moet je de volledige website forceren. Eigenlijk het tegenover gestelde van wat ik zonet heb uitgelegd bij het installeren van een SSL Certificaat. Wanneer je dit allemaal heeft geregeld, moet je de volledige website doorlezen om te kijken dat er geen afbeeldingen, PDF-bestanden of interne linken over de beveiligde verbinding worden gestuurd. Al loop je het risico dat de bezoeker een foutmeldingspagina van de browser ontvangt. Dit betekent dus dat de meeste bezoekers direct de website weer verlaten, omdat ze denken dat de website onveilig is!
Dit is slecht voor jouw website en voor jouw bedrijf of merk. Daarom raad ik je aan, blijf bij de beveiligde verbinding over https://. Zo voorkom je extra werk en het verlies op bezoekers!
Conclusie
Er is dus genoeg keuze om jouw website te kunnen beveiligen met een SSL Certificaat. De ene persoon neemt de beveiliging serieus en de andere persoon vindt dat het niet nodig zal zijn. Sinds de update van Google Chrome met versie 61 en hoger, kijkt Google streng naar onbeveiligde websites.