HTTPS- en SSL-certificaten: maak uw website veilig (en waarom u dat zou moeten doen)

Als het gaat om het verzenden van persoonlijke informatie via internet – of het nu gaat om contactgegevens, inloggegevens, accountgegevens, locatiegegevens of iets anders dat misbruikt kan worden – is het publiek over het algemeen ronduit paranoïde over hackers en identiteitsdieven. En terecht. De angst dat uw gegevens worden gestolen, dat er mee wordt geknoeid of dat er misbruik van wordt gemaakt, is verre van irrationeel. De krantenkoppen over lekken en inbreuken op de beveiliging van de afgelopen decennia bewijzen dit. Maar ondanks deze angst blijven mensen inloggen om hun bankzaken, boodschappen, dagboekaantekeningen, dating, sociale contacten en andere persoonlijke en professionele zaken op internet te doen. En er is één kleinigheidje dat hen het vertrouwen geeft om dit te doen. Ik zal het je laten zien:

Hoewel ze niet allemaal begrijpen hoe het werkt, geeft dat kleine hangslotje in de adresbalk aan webgebruikers door dat ze een vertrouwde verbinding met een legitieme website hebben. Als bezoekers dat niet in de adresbalk zien wanneer ze uw website bezoeken, krijgt u hun klanten niet (en zou u dat ook niet moeten doen).

Om dat kleine adresbalkhangslot voor uw website te krijgen, heeft u een SSL-certificaat nodig. Hoe krijg je er een? Lees verder om erachter te komen.

Artikeloverzicht:

• Wat is SSL/TLS?
• Hoe HTTPS te gebruiken?
• Wat is een SSL-certificaat en hoe krijg ik er een?
• SSL-certificaat winkelgids
  • Certificaatautoriteit
  • Domeinvalidatie versus uitgebreide validatie
  • Gedeelde SSL versus privé SSL
  • Vertrouwenszegels
  • Wildcard SSL-certificaten
  • Garanties
  • Gratis SSL-certificaten en zelfondertekende SSL-certificaten
• Een SSL-certificaat installeren
• HTTPS-voor- en nadelen

Wat is SSL/TLS?

Op internet worden gegevens overgedragen met behulp van het Hypertext Transfer Protocol. Daarom staat er voor alle webpagina-URL's 'http://' of 'http s ://'.

Wat is het verschil tussen http en https? Die extra kleine S heeft grote implicaties: veiligheid.

Laat het me uitleggen.

HTTP is de ‘taal’ die uw computer en de server gebruiken om met elkaar te praten. Deze taal wordt universeel begrepen, wat handig is, maar het heeft ook zijn nadelen. Wanneer gegevens via internet tussen u en een server worden uitgewisseld, worden onderweg enkele stops gemaakt voordat de eindbestemming wordt bereikt. Dit brengt drie grote risico’s met zich mee:

• Dat iemand uw gesprek zou kunnen afluisteren (een beetje zoals een digitale telefoontap).

• Dat iemand aan beide kanten een (of beide) partijen zou kunnen nabootsen .

• Dat iemand zou kunnen knoeien met de berichten die worden verzonden.

Hackers en sukkels gebruiken een combinatie van het bovenstaande voor een aantal oplichtingspraktijken en overvallen, waaronder phishing-trucs, man-in-the-middle-aanvallen en ouderwetse reclame. Schadelijke aanvallen kunnen zo simpel zijn als het opsporen van Facebook-inloggegevens door niet-gecodeerde cookies te onderscheppen (afluisteren), maar ze kunnen ook geavanceerder zijn. U zou bijvoorbeeld kunnen denken dat u tegen uw bank zegt: “Maak alstublieft $ 100 over naar mijn ISP”, maar iemand in het midden zou het bericht kunnen veranderen in de volgende tekst: “Maak alstublieft $ 100 van al mijn geld over naar mijn ISP Peggy in Siberië” (manipulatie van gegevens). en nabootsing).

Dat zijn dus de problemen met HTTP. Om deze problemen op te lossen, kan HTTP worden gelaagd met een beveiligingsprotocol, wat resulteert in HTTP Secure (HTTPS). Meestal wordt de S in HTTPS geleverd door het Secure Sockets Layer (SSL)-protocol of het nieuwere Transport Layer Security (TLS)-protocol. Indien geïmplementeerd, biedt HTTPS bidirectionele encryptie (om afluisteren te voorkomen), serverauthenticatie (om nabootsing van identiteit te voorkomen) en berichtauthenticatie (om geknoei met gegevens te voorkomen).

Hoe HTTPS te gebruiken

Net als een gesproken taal werkt HTTPS alleen als beide partijen ervoor kiezen deze te spreken. Aan de clientzijde kan de keuze om HTTPS te gebruiken worden gemaakt door “https” in de adresbalk van de browser te typen vóór de URL (in plaats van http://www.facebook.com te typen, typt u bijvoorbeeld https://www.facebook .com) of door een extensie te installeren die HTTPS automatisch afdwingt, zoals HTTPS Everywhere voor Firefox en Chrome . Wanneer uw webbrowser HTTPS gebruikt, ziet u een hangslotpictogram, een groene browserbalk, een duim omhoog of een ander geruststellend teken dat uw verbinding met de server veilig is.

Om HTTPS te kunnen gebruiken, moet de webserver dit echter ondersteunen. Bent u een webmaster en wilt u HTTPS aanbieden aan uw webbezoekers, dan heeft u een SSL-certificaat of TLS-certificaat nodig. Hoe verkrijgt u een SSL- of TLS-certificaat? Blijf lezen.

Verder lezen: bij sommige populaire webapps kunt u HTTPS kiezen in uw gebruikersinstellingen. Lees onze artikelen op Facebook , Gmail en Twitter .

Wat is een SSL-certificaat en hoe krijg ik er een?

Om HTTPS te kunnen gebruiken, moet op uw webserver een SSL-certificaat of TLS-certificaat zijn geïnstalleerd. Een SSL/TLS-certificaat is een soort identiteitsbewijs met foto voor uw website. Wanneer een browser die HTTPS gebruikt uw webpagina bezoekt, voert deze een 'handshake' uit, waarbij de clientcomputer om het SSL-certificaat vraagt. Het SSL-certificaat wordt vervolgens gevalideerd door een vertrouwde certificeringsinstantie (CA), die verifieert dat de server is wie hij zegt dat hij is. Als alles klopt, krijgt uw webbezoeker het geruststellende groene vinkje of een slotje. Als er iets misgaat, krijgen ze een waarschuwing van de webbrowser dat de identiteit van de server niet kan worden bevestigd.

Een SSL-certificaat kopen

Als het gaat om het installeren van een SSL-certificaat op uw website, zijn er een overvloed aan parameters waar u over moet beslissen. Laten we de belangrijkste doornemen:

Certificaatautoriteit

De certificeringsinstantie (CA) is het bedrijf dat uw SSL-certificaat uitgeeft en degene die uw certificaat valideert telkens wanneer een bezoeker uw website bezoekt. Hoewel elke SSL-certificaataanbieder zal concurreren op prijs en functionaliteit, is het belangrijkste dat u moet overwegen bij het doorlichten van certificeringsinstanties of zij al dan niet certificaten hebben die vooraf zijn geïnstalleerd in de populairste webbrowsers. Als de certificeringsinstantie die uw SSL-certificaat uitgeeft niet in die lijst staat, krijgt de gebruiker een waarschuwing dat het beveiligingscertificaat van de site niet wordt vertrouwd. Dit betekent uiteraard niet dat uw website onwettig is; het betekent alleen dat uw CA (nog) niet op de lijst staat. Dit is een probleem omdat de meeste gebruikers niet de moeite nemen de waarschuwing te lezen of de niet-herkende CA te onderzoeken. Waarschijnlijk klikken ze gewoon weg.

Gelukkig is de lijst met vooraf geïnstalleerde CA's in de belangrijkste browsers behoorlijk groot. Het omvat een aantal grote merknamen, maar ook minder bekende en meer betaalbare CA's. Bekende namen zijn onder meer Verisign , Go Daddy , Comodo, Thawte, Geotrust en Entrust.

U kunt ook in de instellingen van uw eigen browser kijken welke certificaatautoriteiten vooraf zijn geïnstalleerd.

• Voor Chrome gaat u naar Instellingen -> Geavanceerde instellingen weergeven... -> Certificaten beheren.
• Voor Firefox: doe Opties -> Geavanceerd -> Certificaten bekijken.
• Voor IE: internetopties -> Inhoud -> Certificaten.
• Voor Safari gaat u naar Finder en kiest u Ga -> Hulpprogramma's -> KeyChain Access en klikt u op Systeem.

Domeinvalidatie versus uitgebreide validatie

Een SSL-certificaat is bedoeld om de identiteit te bewijzen van de website waarnaar u informatie verzendt. Om ervoor te zorgen dat mensen geen valse SSL-certificaten afsluiten voor domeinen die ze niet rechtmatig controleren, zal een certificeringsinstantie valideren dat de persoon die het certificaat aanvraagt ​​inderdaad de eigenaar van de domeinnaam is. Meestal gebeurt dit via een snelle e-mail- of telefoontjevalidatie, vergelijkbaar met wanneer een website u een e-mail stuurt met een accountbevestigingslink. Dit wordt een domeingevalideerd SSL-certificaat genoemd . Het voordeel hiervan is dat SSL-certificaten vrijwel onmiddellijk kunnen worden uitgegeven. U kunt waarschijnlijk een domeingevalideerd SSL-certificaat aanschaffen in minder tijd dan u nodig had om deze blogpost te lezen. Met een domeingevalideerd SSL-certificaat krijgt u het hangslot en de mogelijkheid om het verkeer van uw website te versleutelen.

De voordelen van een domeingevalideerd SSL-certificaat zijn dat ze snel, gemakkelijk en goedkoop te verkrijgen zijn. Dit is ook hun nadeel. Zoals je je kunt voorstellen, is het gemakkelijker om een ​​geautomatiseerd systeem voor de gek te houden dan een systeem dat door levende mensen wordt beheerd. Het is net alsof een middelbare scholier de DMV binnenloopt en zegt dat hij Barack Obama is en een door de overheid uitgegeven identiteitsbewijs wil hebben. De persoon aan de balie wierp één blik op hem en belde de FBI (of het gekkenhuis). Maar als het een robot was die een kiosk met foto-ID's bedient, zou hij misschien wat geluk hebben. Op een vergelijkbare manier kunnen phishers ‘valse ID’s’ verkrijgen voor websites als Paypal, Amazon of Facebook door domeinvalidatiesystemen te misleiden. In 2009 publiceerde Dan Kaminsky een voorbeeld van een manier om CA's op te lichten om certificaten te verkrijgen waardoor een phishing-website eruit zou zien alsof het een veilige, legitieme verbinding was. Voor een mens zou deze zwendel gemakkelijk te herkennen zijn. De geautomatiseerde domeinvalidatie destijds ontbeerde echter de nodige controles om zoiets te voorkomen.

Als reactie op de kwetsbaarheden van SSL en domeingevalideerde SSL-certificaten heeft de industrie het Extended Validation- certificaat geïntroduceerd. Om een ​​EV SSL-certificaat te verkrijgen, moet uw bedrijf of organisatie een strenge controle ondergaan om er zeker van te zijn dat het een goede reputatie heeft bij uw overheid en het domein dat u aanvraagt ​​rechtmatig controleert. Deze controles vereisen onder meer een menselijke factor en duren daardoor langer en zijn duurder.

In sommige sectoren is een EV-certificaat vereist. Maar voor anderen gaat het voordeel slechts zo ver als wat uw bezoekers zullen herkennen. Voor gewone webbezoekers is het verschil subtiel. Naast het hangslotpictogram wordt de adresbalk groen en wordt de naam van uw bedrijf weergegeven. Als u klikt voor meer informatie, ziet u dat de identiteit van het bedrijf is geverifieerd, niet alleen de website.

Hier is een voorbeeld van een normale HTTPS-site:

En hier is een voorbeeld van een HTTPS-site met een EV-certificaat:

Afhankelijk van uw branche is een EV-certificaat wellicht niet de moeite waard. Bovendien moet u een bedrijf of organisatie zijn om er een te krijgen. Hoewel grote bedrijven de neiging hebben om EV-certificering te behalen, zul je merken dat de meerderheid van de HTTPS-sites nog steeds de niet-EV-variant heeft. Als het goed genoeg is voor Google, Facebook en Dropbox, is het misschien ook goed genoeg voor jou.

Nog één ding: er is een middenwegoptie die een door de organisatie gevalideerde of door het bedrijf gevalideerde certificering wordt genoemd. Dit is een grondiger onderzoek dan de geautomatiseerde domeinvalidatie, maar het gaat niet zo ver dat het voldoet aan de branchevoorschriften voor een Extended Validation-certificaat (merk op hoe Extended Validation met een hoofdletter wordt geschreven en 'organisatorische validatie' niet?). Een OV- of bedrijfsgevalideerde certificering kost meer en duurt langer, maar u krijgt niet de groene adresbalk en de bedrijfsidentiteit-geverifieerde informatie. Eerlijk gezegd kan ik geen reden bedenken om voor een OV-certificaat te betalen. Als je er een kunt bedenken, laat het me dan weten in de reacties.

Gedeelde SSL versus privé SSL

Sommige webhosts bieden een gedeelde SSL-service aan, die vaak goedkoper is dan een privé-SSL. Afgezien van de prijs is het voordeel van een gedeelde SSL dat u geen privé IP-adres of een speciale host nodig heeft. Het nadeel is dat u niet uw eigen domeinnaam kunt gebruiken. In plaats daarvan ziet het beveiligde gedeelte van uw site er ongeveer als volgt uit:

https://www.hostgator.com/~uwdomein/secure.php

Vergelijk dat eens met een privé SSL-adres:

https://www.uwdomein.com/secure.php

Voor openbare sites, zoals e-commercesites en sociale netwerksites, is dit uiteraard vervelend, omdat het lijkt alsof u vanaf de hoofdsite wordt omgeleid. Maar voor gebieden die normaal gesproken niet door het grote publiek worden bekeken, zoals de binnenkant van een mailsysteem of een beheerdersgebied, kan een gedeelde SSL een goede deal zijn.

Vertrouwenszegels

Bij veel certificeringsinstanties kunt u een vertrouwenszegel op uw webpagina plaatsen nadat u zich heeft aangemeld voor een van hun certificaten. Dit geeft vrijwel dezelfde informatie als klikken op het hangslot in het browservenster, maar met een betere zichtbaarheid. Het toevoegen van een vertrouwenszegel is niet vereist, en het vergroot ook niet uw veiligheid, maar als het uw bezoekers een warm gevoel geeft om te weten wie het SSL-certificaat heeft uitgegeven, gooi het daar dan in elk geval op.

Wildcard SSL-certificaten

Een SSL-certificaat verifieert de identiteit van één domein. Dus als je HTTPS op meerdere subdomeinen wilt hebben, bijvoorbeeld groovypost.com, mail.groovypost.com en forum.groovypost.com , moet je drie verschillende SSL-certificaten kopen. Op een gegeven moment wordt een wildcard SSL-certificaat voordeliger. Dat wil zeggen, één certificaat voor één domein en alle subdomeinen, dat wil zeggen *.groovypost.com.

Garanties

Hoe oud de goede reputatie van een bedrijf ook is, er zijn kwetsbaarheden. Zelfs vertrouwde CA's kunnen het doelwit zijn van hackers, zoals blijkt uit de inbreuk bij VeriSign die in 2010 niet werd gemeld. Bovendien kan de status van een CA op de vertrouwde lijst snel worden ingetrokken, zoals we in 2011 zagen met de DigiNotar -snafu . .

Om het ongemak over de mogelijkheid van dergelijke willekeurige daden van SSL-losbandigheid weg te nemen, bieden veel CA's nu garanties. De dekking varieert van een paar duizend dollar tot meer dan een miljoen dollar en omvat verliezen als gevolg van misbruik van uw certificaat of andere ongelukken. Ik heb geen idee of deze garanties daadwerkelijk waarde toevoegen of niet, en of iemand ooit met succes een claim heeft gewonnen. Maar ze zijn er voor uw aandacht.

Gratis SSL-certificaten en zelfondertekende SSL-certificaten

Er zijn twee soorten gratis SSL-certificaten beschikbaar. Een zelfondertekend certificaat dat voornamelijk wordt gebruikt voor privétesten en volledige openbare SSL-certificaten die zijn uitgegeven door een geldige certificeringsinstantie. Het goede nieuws is dat er in 2018 een paar opties zijn om 100% gratis, geldige 90-dagen SSL-certificaten te krijgen van zowel SSL for Free als Let's Encrypt . SSL for Free is in de eerste plaats een GUI voor de Let's Encrypt API. Het voordeel van de SSL for Free-site is dat deze eenvoudig te gebruiken is, omdat deze een mooie GUI heeft. Let's Encrypt is echter leuk omdat je het aanvragen van SSL-certificaten volledig kunt automatiseren. Het is ideaal als u SSL-certificaten nodig heeft voor meerdere websites/servers.

Een zelfondertekend SSL-certificaat is voor altijd gratis. Met een zelfondertekend certificaat bent u uw eigen CA. Omdat u echter niet tot de vertrouwde CA's behoort die in webbrowsers zijn ingebouwd, krijgen bezoekers een waarschuwing dat de autoriteit niet wordt herkend door het besturingssysteem. Als zodanig is er eigenlijk geen zekerheid dat u bent wie u zegt dat u bent (het is net zoiets als uzelf een identiteitsbewijs met foto geven en dit proberen door te geven bij de slijterij). Het voordeel van een zelfondertekend SSL-certificaat is echter dat het internetverkeer versleutelt. Het kan goed zijn voor intern gebruik, waarbij u uw personeel uw organisatie kunt laten toevoegen als vertrouwde CA om de waarschuwingsmelding te verwijderen en aan een veilige verbinding via internet te werken.

Raadpleeg de documentatie voor OpenSSL voor instructies over het instellen van een zelfondertekend SSL-certificaat. (Of, als er voldoende vraag is, schrijf ik een tutorial.)

Een SSL-certificaat installeren

Nadat u uw SSL-certificaat heeft aangeschaft, moet u deze op uw website installeren. Een goede webhost zal aanbieden dit voor u te doen. Sommigen gaan misschien zelfs zo ver dat ze het voor u kopen. Vaak is dit de beste manier, omdat het de facturering vereenvoudigt en ervoor zorgt dat het correct is ingesteld voor uw webserver.

Toch heb je altijd de mogelijkheid om zelf een SSL-certificaat te installeren. Als u dat doet, wilt u misschien beginnen met het raadplegen van de kennisbank van uw webhost of door een helpdeskticket te openen. Zij verwijzen u naar de beste instructies voor het installeren van uw SSL-certificaat. Raadpleeg ook de instructies van de CA. Deze zullen u beter begeleiden dan enig algemeen advies dat ik u hier kan geven.

Misschien wilt u ook de volgende instructies bekijken voor het installeren van een SSL-certificaat:

• SSL implementeren in IIS (Windows Server)
• Apache SSL/TLS-codering

Al deze instructies omvatten het aanmaken van een SSL Certificate Signing Request (CSR). U heeft zelfs een CSR nodig om een ​​SSL-certificaat te krijgen. Nogmaals, uw webhost kan u hierbij helpen. Voor meer specifieke doe-het-zelf-informatie over het maken van een CSR, bekijk dit artikel van DigiCert .

Voor- en nadelen van HTTPS

We hebben de voordelen van HTTPS al stevig vastgelegd: beveiliging, beveiliging, beveiliging. Dit verkleint niet alleen het risico op een datalek, maar schept ook vertrouwen en voegt reputatie toe aan uw website. Slimme klanten nemen misschien niet eens de moeite om zich aan te melden als ze een “http://” op de inlogpagina zien.

Er zijn echter enkele nadelen aan HTTPS. Gezien de noodzaak van HTTPS voor bepaalde soorten websites, is het logischer om deze als “overwegingen” te beschouwen in plaats van als negatieve punten.

• HTTPS kost geld . Om te beginnen zijn er de kosten voor het kopen en vernieuwen van uw SSL-certificaat om de geldigheid van jaar tot jaar te garanderen. Maar er zijn ook bepaalde ‘systeemvereisten’ voor HTTPS, zoals een speciaal IP-adres of een speciaal hostingplan, wat duurder kan zijn dan een gedeeld hostingpakket.
• HTTPS kan de reactie van de server vertragen. Er zijn twee problemen met SSL/TLS die de laadsnelheid van uw pagina's kunnen vertragen. Om voor de eerste keer met uw website te kunnen communiceren, moet de browser van de gebruiker eerst het handshake-proces doorlopen, dat terugkeert naar de website van de certificeringsinstantie om het certificaat te verifiëren. Als de webserver van de CA traag is, zal er een vertraging optreden bij het laden van uw pagina. Dit ligt grotendeels buiten uw macht. Ten tweede maakt HTTPS gebruik van encryptie, wat meer verwerkingskracht vereist. Dit kunt u verhelpen door uw inhoud te optimaliseren voor bandbreedte en de hardware op uw server te upgraden. CloudFare heeft een goede blogpost over hoe en waarom SSL uw website kan vertragen.
• HTTPS kan van invloed zijn op SEO-inspanningen. Wanneer u overstapt van HTTP naar HTTPS; u verhuist naar een nieuwe website. http://www.groovypost.com zou bijvoorbeeld niet hetzelfde zijn als https://www.groovypost.com . Het is belangrijk om ervoor te zorgen dat u uw oude links heeft omgeleid en de juiste regels onder de motorkap van uw server heeft geschreven om te voorkomen dat u waardevolle link-sap verliest.
• Gemengde inhoud kan een gele vlag opleveren . Als bij sommige browsers het hoofdgedeelte van een webpagina wordt geladen via HTTPS, maar afbeeldingen en andere elementen (zoals stylesheets of scripts) worden geladen vanaf een HTTP-URL, kan er een pop-up verschijnen met de waarschuwing dat de pagina niet-beveiligde inhoud bevat . Natuurlijk is het beter om wat veilige inhoud te hebben dan geen, ook al resulteert dit laatste niet in een pop-up. Maar toch kan het de moeite waard zijn om ervoor te zorgen dat er geen “gemengde inhoud” op uw pagina's staat.
• Soms is het eenvoudiger om een ​​betalingsverwerker van een derde partij in te schakelen . Het is geen schande om uw betalingen te laten afhandelen door Google Checkout, Paypal of Checkout by Amazon. Als al het bovenstaande teveel moeite lijkt, kunt u uw klanten betalingsgegevens laten uitwisselen op de beveiligde site van Paypal of de beveiligde site van Google, zodat u uzelf de moeite kunt besparen.

Heeft u nog vragen of opmerkingen over HTTPS- en SSL/TLS-certificaten? Laat het me horen in de reacties.