SSL is nogal een dingetje de laatste tijd. Het wordt namelijk steeds belangrijker. Zo laat Google in Chrome duidelijk zien wanneer je een website bezoekt die geen SSL-certificaat heeft. En ook volgens de AVG is het inmiddels verplicht om een verbinding via een SSL-certificaat te laten verlopen.
SSL is dus belangrijk. Maar waarom? Om hier een goed antwoord op te geven kijken we eerst naar de definitie van SSL en wat TLS en HTTPS met SSL te maken hebben.
Wat is SSL, TLS en HTTPS?
SSL staat voor Secure Sockets Layer en zorgt voor een versleutelde beveiligde verbinding tussen twee computers. Een versleutelde verbinding betekent dat de data die tussen computers verstuurd worden encrypt is. Verloopt de verbinding niet via SSL, dan wordt de data als leesbare tekst verstuurd. Een niet beveiligde verbinding is hierdoor een makkelijke prooi voor internetcriminelen die interesse hebben in de vertrouwde data van je bezoekers.
TLS
TLS staat voor Transport Layer Security en is de verbeterde en veiligere opvolger van SSL De ontwikkeling binnen SSL-protocollen heeft niet stil gestaan. Dit heeft geresulteerd in het nog veilige TLS. Kwetsbaarheden die SSL nog had zijn in TLS verholpen.
Als je tegenwoordig kiest voor een SSL-certificaat dan neem je eigenlijk een TLS-certificaat. De term SSL is echter nog zo bekend onder het grote publiek dat deze term nog altijd de meest gangbare is. Goed om te weten is dat TLS v1.0 en TLS v1.1 inmiddels ook end of life zijn en dus niet langer ondersteund worden.
HTTPS
HTTPS staat voor Hyper Text Transfer Protocol Secure. Dit krijg je in je browser te zien, of wordt aan URL’s toegevoegd die over een beveiligde verbinding via SSL of TLS verlopen. Niet beveiligde verbindingen verlopen dus over HTTP, terwijl een beveiligde verbinding over HTTPS verloopt. In 2018 verliep ongeveer 51% van de top miljoen websites over HTTPS, inmiddels is dit voor 66,3% van alle websites het geval. Een goede zaak natuurlijk, want hoe meer websites een HTTPS verbinding hebben, hoe veiliger het internet wordt.
Wat is een SSL-certificaat?
Een SSL-certificaat is een certificaat die de beveiligde encrypte verbinding valideert. Om een SSL of TLS verbinding in te richten heb je dus een SSL-certificaat nodig. SSL-certificaten zijn bijvoorbeeld aan te vragen bij je webhosting. Er zijn verschillende soorten SSL-certificaten op de markt. Dit is het certificaat op basis van uitgebreide validatie (EV SSL), organisatie gevalideerde certificaten (OV SSL) en op domein gevalideerde certificaten (DV SSL). De versleutelingsniveaus zijn hetzelfde voor elk certificaat. Het verschil zit hem met name in het verificatieproces dat nodig is om het certificaat te verkrijgen.
Bij een EV SSL controleert de certificeringsinstantie (CA) het recht van de aanvrager om een specifieke domeinnaam te gebruiken en wordt er een grondige doorlichting van de organisatie uitgevoerd. Bij het OV SSL certificaat controleert de CA het recht van de aanvrager om een specifieke domeinnaam te gebruiken PLUS het voert een doorlichting van de organisatie uit. Deze extra gecontroleerde bedrijfsinformatie wordt aan bezoekers getoond als ze het certificaat bekijken. Zo hebben bezoekers nog meer zekerheid en informatie over het betreffende domein en de organisatie.
Bij Domain Validated (DV SSL) certificaten controleer de CA het recht van de aanvrager om een specifieke domeinnaam te gebruiken. Er wordt echter geen informatie over de bedrijfsidentiteit gecontroleerd.
Lets Encrypt
Misschien heb je ook al eens gehoord van Lets Encrypt. Dit type SSL-certificaat valt onder de Domain Validated (DV SSL) certifcaten. Let’s Encrypt is een certificeringsinstantie (CA) die wordt beheerd door de Internet Security Research Group (ISRG), een non-profitorganisatie in Californië. Let’s Encrypt is ‘een gratis, geautomatiseerde en open certificeringsinstantie die wordt uitgevoerd voor het algemeen belang’. Klinkt nogal ambitieus en dat is het ook zeker. Het idee achter Let’s Encrypt is om ‘een veiliger internet te creëren dat de privacy respecteert’. Nu Google en dus ook de AVG iedereen naar HTTPS laat bewegen is de populariteit van het gratis Let’s Encrypt certificaat enorm in populariteit toegenomen. Omdat Let’s Encrypt een non-profit organisatie is, is het sterk afhankelijk van donaties en sponsors. Dit betekent dat Let’s Encrypt slim moet omgaan met de diensten/producten die het aanbiedt. Een groot budget is er namelijk niet. Als gevolg hiervan heeft Let’s Encrypt enorm veel geïnvesteerd in automatisering. Dit betekent dus echter wel dat het alleen certificaten kan aanbieden op basis van domeinvalidatie en geen hele organisaties kunnen uitlichten.
Verschil tussen Let’s Encrypt en betaalde SSL-certifcaten
Het grootste verschil tussen beide certificaten zit dus met name in het type certificaat. Dus op welk niveau valideer je websites en organisaties. Let’s encrypt valideert en encrypt de verbinding van een website hoog over, terwijl betaalde SSL-certifcaten grondige analyses doen. Voor veel kleinere websites is een SSL-certificaat op basis van Let’s Encrypt voldoende. Ben je echter een grote organisatie waar veel betrouwbare informatie via het web verstuurd wordt, dan is een betaalt SSL-certificaat aan te raden.
Waarom is een SSL / TLS certificaat zo belangrijk?
Een SSL-certificaat is om meerdere redenen belangrijk om te hebben. Als je een website of webshop hebt is het belangrijk om voorzichtig met klantdata om te gaan. Deze klantdata is vaak gevoelig en bevat veel informatie waar een hoge mate van privacy belangrijk is. Deze privacy van data waarborg je niet goed als je website geen SSL-certificaat heeft. De verbinding tussen twee computers (bijvoorbeeld een website en een server) is niet encrypt en informatie is voor hackers of andere internetcriminelen hierdoor makkelijk uit te lezen.
Volgens de AVG (Algemene Verordening Gegevensbescherming) is het verplicht een SSL-certifcaat te hebben als je ‘iets’ met klantdata doet. Vrijwel iedere website heeft hier tegenwoordig mee te maken. Denk maar eens aan een contactformulier of bijvoorbeeld het hebben van social sharing icoontjes. Een SSL-certifcaat heb je dus voor jezelf, voor je bezoekers en de AVG. Maar er is nog een belangrijke speler op het bord.
En dat is Google.
Het is alweer even geleden dat Google bekend maakte dat een beveiligde verbinding een ranking factor is. Of beter gezegd, als je website niet via een beveiligde verbinding verloopt heb je hier mogelijk nadelige gevolgen van. Helemaal als je concurrenten dit wel hebben. Ook Google zegt toe te willen werken naar een beter en veiliger internet en SSL-certificaten (of eigenlijk, inmiddels TLS-certificaten) zijn hier een belangrijk onderdeel van. In Google Chrome kun je zien dat je op een beveiligde verbinding zit door het slotje links van je adresbalk. Andere browsers zoals Microsoft Edge en Firefox laten iets soortgelijks zien.
Een SSL-certificaat aanvragen
Bij Hypernode krijg je standaard een Let’s Encrypt certificaat toegewezen. Hoe je deze aanmaakt, lees je in de Hypernode Docs. Twijfel je of je website op dit moment een geldig TLS of SSL-certificaat heeft? Dit kun je checken via diverse websites zoals SSLCheck.nl. Bij Hypernode geven we diverse certificaten uit. Zo helpen wij je graag met het nog veiliger maken van jouw website of webshop.
Hi! Mijn naam is Dion, Account Manager at Hypernode
Wil je meer weten over Hypernode's Managed E-commerce Hosting? Plan je online meeting.
plan een een-op-een meeting tel:+31648362102
