Laatste update: 21-08-2018
SSL certificaten zijn hot!
Sinds Google Chrome, en in zijn voetsporen de andere browsers, in 2017 veranderingen begon door te voeren om websites zonder het groene ‘https’ slotje als -not secure- te markeren stroomt het internet vol met aanbiedingen, vragen en tutorials. Maar wat is nou precies het nut van zo’n ding voor jou als websitebezitter?
Moet iedereen een SSL certificaat?
De populaire browser Chrome heeft kort geleden een update uitgebracht waarmee het antwoord op deze vraag nu echt volmondig ‘JA’ wordt. Vroeger werd er door de browsers alleen gewaarschuwd op sites zonder https die iets te verkopen hebben. Zodra er een login of betaal mogelijkheid aanwezig was op een site, en deze had geen SSL, werd in de browsers de rode – not secure – waarschuwing zichtbaar.
Met de nieuwe update wordt dit principe omgedraaid;
- Heb je een SSL cert op de site dan ziet de bezoeker niet langer het groene slotje maar staat er niets extra’s meer in de adresbalk.
- Heb je GEEN SSL certificaat dan komt er nu botweg ‘ONVEILIG’ voor te staan. Dit zal bezoekers gaan afschrikken.
GDPR
Het gebruik van HTTPS op websites met invulvelden is onder de GDPR verplicht gesteld. En praktisch iedere website heeft wel een invulveld, bijvoorbeeld een inlogmogelijkheid of contactformulier. Door de hogere boetes zijn de gevolgen van slechte beveiliging bovendien ernstiger.
Maar wat doet zo’n certificaat nou precies?
Een SSL certificaat doet, mits goed ingezet 2 dingen:
1: Versleuteling van het verkeer tussen webserver en bezoeker
Hierdoor worden man-in-the-middle attacks een flink stuk moeilijker. Dat werkt zo: Ik kan op een terras gaan zitten met een ‘ speciale’ laptop die doet alsof het de wifi router van het terras is. Wie denkt in te loggen op de gratis wifi van het terras logt eigenlijk bij mij in en al het verkeer loopt via mijn laptop. Hierdoor is het redelijk eenvoudig om login’s en wachtwoorden te kapen, je mail in te zien en onder jouw naam iets leuks op de facebook van je vrienden te posten.
Is de site voorzien van een certificaat dan wordt al het verkeer versleuteld.
Ik kan die data dan nog steeds wel vangen maar niet meer lezen. De onversleutelde data is nu alleen nog te onderscheppen op de beide eindpunten: Je laptop en de webserver waarop de website draait. Dit maakt het voor kwaadwillenden een heel stuk moeilijker met je gegevens aan de haal te gaan.
2: Identificatie van de website (eigenaar)
Het certificaat vertelt de bezoeker zonder twijfel dat hij of zij inderdaad te maken heeft met de beoogde website, en niet een nepsite die er op lijkt en wellicht gebruikt wordt om gegevens te stelen. Om een certificaat te verkrijgen voor een bepaalde domeinnaam moet je namelijk bewijzen dat je echt de eigenaar bent. Afhankelijk van het type certificaat is dit een simpele of een uitgebreide test. (Jawel, er zijn verschillende soorten certificaten die verschillende levels van beveiliging bieden, uiteraard met een verschillend prijskaartje.)
Gratis certificaten (bv van Let’s encrypt) worden door de site/server beheerder zelf uitgegeven zonder enige externe controle en we zien nu dat deze ook worden gebruikt door phishing sites, sites dus die een ‘echte’ website imiteren met als doel gegevens te stelen.
(Let’s encrypt werkt dus in de hand dat de veiligheid van het groene slotje een beetje een schijnveiligheid word. Je denkt als bezoeker veilig te zijn maar mogelijk heb je een beveiligde verbinding met een nepsite die je gegevens wilt stelen)
Een bezoeker van een https:// website is dus beter beveiligd door versleuteling van de data of versleuteling+identificatie wat automatisch leidt tot meer vertrouwen in die website. Een SSL certificaat is inmiddels de norm geworden. Een site zonder certificaat is bij voorbaat ‘verdacht’ en men zal eerder gaan shoppen bij de concurrent die wel zo’n certificaat heeft.
Met een SSL certificaat kom je hoger in google
Hmm.. ok klopt, je komt hoger in Google dan precies dezelfde website, maar dan zonder certificaat.
Google heeft als doel de bezoeker de best passende content bij zijn zoekterm te laten zien en een veiligere site zal naar verwachting de bezoeker blijer maken dan een onveilige. De veilige site krijgt dus van Google een pluspuntje. Google let echter op meer dan 300 factoren en dit is er slechts 1 van. Verwacht dus niet door het installeren van een SSL certificaat direct met je site bovenaan te staan.
De verwachting is echter wel dat het in de toekomst zwaarder gaat wegen en dat het plusje wat een site met SSL nu krijgt straks wordt omgezet in een dikke min voor sites die het niet hebben.
Wat je ook moet weten is dat Google sites ook beoordeeld op snelheid en een SSL certificaat maakt je website meestal trager. Een certificaat kan namelijk ook ingetrokken worden of verlopen en je browser controleert elke keer dat je een https:// site bezoekt even bij de instantie die het certificaat heeft uitgegeven of het nog wel geldig is. Zou dit niet gebeuren dan zou een certificaat nagemaakt kunnen worden en juist een vals gevoel van veiligheid kunnen geven. Die extra check zorgt er voor dat je site ‘ iets’ trager zal laden en als je webserver al niet zo snel was zou je dat net een positie in Google kunnen kosten.
Overigens is het snelheidsverlies op te vangen door een mechanisme wat OCSP Stapling heet, hierdoor wordt de extra check gedaan bij de webserver zelf en treed geen snelheidsverlies op.
(note: Onze webservers zijn voorzien van SSD-schijven EN OCSP Stapling dus host je je site bij ons dan hoef je je geen enkele zorg te maken over snelheid )
Mijn Aanbevelingen
Heb je een serieuze website voor je bedrijf dan kom je niet meer onder een SSL certificaat uit, de rode – not secure- melding zal ertoe leiden dat je bezoekers elders gaan shoppen als je m niet hebt. Bovendien ben je het tegenwoordig zelfs wettelijk verplicht. Ook voor andere sites heeft het mijn aanbeveling er een certificaatje op te zetten.
Neem je een certificaat, kijk dan naar een betaalde met externe controle en geen gratis wassen neus. Bij ons heb je al een ‘echt’, inclusief omleiding van http:// naar https:// en het omzetten van al je links van 20 euro ex btw per jaar.
Tip:
Heb je zo’n certificaat, denk er dan bij het bijwerken van je site aan dat je alle links die je aanmaakt ook met httpS:// laat beginnen. Doe je dat niet dan kan er een ‘mixed content’ waarschuwing verschijnen, waarmee de browser aangeeft dan niet alle content op de pagina beveiligd is.