Wat is het verschil tussen HTTP en HTTPS
Uw website kan worden beveiligd met een SSL certificaat. Hiermee ‘versleutelt’ u de informatie die tijdens een verbinding wordt uitgewisseld. Een beveiligde verbinding kan worden herkend aan het https:// in plaats van http:// voor de URL.
Het versleutelen van de informatie betekent dat de letterlijke informatie wordt omgezet in een soort codetaal. Deze codetaal kan weer worden terugvertaald met een digitale sleutel. Deze digitale sleutel is ook weer een lange code.
Deze sleutel is beschikbaar bij twee partijen: u en de website die u gebruikt. Deze sleutel is tussen jullie uitgewisseld. Op die manier, als een derde ertussen komt, kan hij nooit de codetaal ontcijferen. Dit heet daarom ook end-to-end encryptie. Alleen de twee uiteinden van de verbinding kunnen de versleuteling ongedaan maken.
Wat is een SSL Certificaat?
Een SSL certificaat wordt uitgegeven door een Certificate Authority (CA). SSL staat voor ‘Secured Sockets Layer’. Ondertussen is SSL al opgevolgd door TLS, dat staat voor ‘Transport Layer Security’. De term SSL wordt nog wel gewoon gebruikt.
Het SSL certificaat wordt door verschillende Security Headers gebruikt om bepaalde gegevens en verbindingen te valideren. In een ander artikel leggen we uit welke Security Headers er zijn, hoe ze werken en waarvoor zij dienen.
Het SSL certificaat doet dus eigenlijk twee dingen. Het SSL certificaat bevat de gevalideerde identiteit van uw website en het bevat een versleuteling voor de informatie die tussen uw website en de gebruiker wordt uitgewisseld. De browser van de gebruiker kan middels het SSL certificaat dus de identiteit van uw website controleren. Met de versleuteling voorkomt u dat een derde de uitgewisselde informatie kan zien.
Hoe werkt SSL Security?
Een SSL certificaat versleuteld dus de verbinding tussen uw website en de gebruiker. Uw website heeft een certificaat met daarin een SSL sleutel. Deze sleutel fungeert als identiteit van uw website. Deze sleutel is geheim.
Tot voor kort, als een gebruiker uw website bezocht, werd de SSL sleutel van uw website omgezet in een ‘hash’ en gedeeld met de gebruiker. Dit werkt op het zogenaamde ‘First Visit First Trust’-principe. Bij het eerste bezoek van de gebruiker moet de gebruiker erop vertrouwen dat uw website authentiek en veilig is.
De hash is niet de SSL sleutel zelf, maar slechts een vertaling ervan. Op basis van de hash kan de SSL sleutel zelf nooit worden achterhaald. Daarom kan een hacker niet door middel van de hash uw website corrumperen.
De hash wordt uitgewisseld en bij de gebruiker lokaal opgeslagen. De volgende keer dat de gebruiker op uw website komt, vergelijkt de browser automatisch de uitgewisselde hashes. Als zij overeenkomen wordt de https-verbinding tot stand gebracht. Als de hashes niet overeenkomen, krijgt de gebruiker een beveiligingswaarschuwing.
Hier komt de naam end-to-end-encryptie vandaan. Beide uiteinden, de server waarop de website draait en het apparaat van de gebruiker, hebben de hash van de encryptie. Door beide uiteinden naast elkaar te leggen en te vergelijken wordt de veiligheid geverifieerd.
Dit is de zogenaamde HPKP (Hash Public Key Pins) methode. Dit is een bepaalde security header die veel browsers standaard aan hebben staan. Deze methode is/wordt vervangen door de nieuwe CT Security Header.
Deze hash, die dus uniek is per gebruiker, wordt ook gebruikt om de informatie te versleutelen en ontsleutelen. Dit maakt de verbinding dus veilig. Ook al komt een derde ertussen, dan nog kan de gedeelde informatie niet worden achterhaald omdat de derde niet de juiste sleutel heeft.
Nieuwe Certificate Transparency
De nieuwe Certificate Transparency (CT) Security Header werkt vrijwel hetzelfde als de HPKP methode. Echter, de hash wordt niet meer lokaal bij de gebruiker opgeslagen. Er zijn publieke databases/logs waar de SSL certificaten van websites openbaar toegankelijk zijn. De browser vergelijkt voortaan of de certificaten overeenkomen en of het afgegeven certificaat überhaupt geldig is.
Welk SSL certificaat is voor mij de beste?
Er zijn verschillende soort SSL certificaten. Er zijn er vier die het meest gebruikt worden.
Single domain SSL certificaat
Dit certificaat is vooral gebruikelijk bij websites zonder subdomeinen. Dit certificaat beveiligd een (hoofd)domein. Dit certificaat is doorgaans het beste voor personen en bedrijven met één website.
Wildcard SSL certificaat
Grotere bedrijven, maar ook bedrijven met bijvoorbeeld een inlogportaal, moeten naast het domein, ook subdomeinen beveiligen. Dit kan in een keer met het Wildcard SSL certificaat.
Multi Domain SSL Certificate
Dit SSL Certificaat kan meerdere domeinen in een keer beveiligen. Handig dus als u meerdere domeinen heeft, want dan hoeft u niet verschillende SSL Certificaten te kopen en installeren.
Extended Validation (EV) SSL Certificaat
Een SSL certificaat versleuteld de verbinding en geeft in de URL de https:// code aan. Met een EV SSL Certificaat kunt u hier uw bedrijfsinformatie aan toevoegen. Dit kost uiteraard wel meer, maar het ziet er professioneel uit. Verder voegt het niet veel toe qua beveiliging.
In plaats van de normale URL:
staat de bedrijfsnaam voor de URL:
Secity B.V. [NL] | https://www.secity.nl
Hetzelfde geldt voor de ‘groene-balk certificaat’. Deze maakt als extra de URL balk groen, om zo te laten weten dat de verbinding veilig is.
Hoe kan ik een SSL certificaat aanvragen?
Een SSL certificaat kunt u doorgaans aanvragen bij uw hostingprovider. Als u een webshop heeft kunt u dit regelen met het ecommerce-platform waarop u uw webshop host. Het grootste voordeel is dat zij het certificaat doorgaans direct voor u kunnen installeren.
