Hoe kies je een geschikt SSL-certificaat?
Hyper Text Transfer Protocol Secure (HTTPS) is de veilige opvolger van HTTP, het protocol waarmee data verzonden wordt tussen je browser en de website die je bezoekt. De beveiliging bestaat erin dat de gegevens die je bezoekers met de website uitwisselen, zoals hun wachtwoord of betaalinformatie, worden versleuteld zodat ze onleesbaar zijn voor eventuele gluurders.
In de adresbalk van je browser wordt een HTTPS-website aangeduid met een slotje, wat een bezoeker vertrouwen geeft dat de gegevens die hij achterlaat veilig worden verwerkt.
Om HTTPS op je website te implementeren, heb je een SSL-certificaat nodig dat je verkrijgt van een certificaatautoriteit.
SSL en TLS
SSL staat voor Secure Sockets Layer en is de standaardtechnologie voor het versleutelen van alle data die via een internetverbinding verloopt. Het protocol maakt gebruik van asymmetrische encryptie met een publieke en geheime sleutel. Alle informatie die met behulp van de publieke sleutel wordt geëncrypteerd, kan alleen met de geheime sleutel worden gedecrypteerd en vice versa.
Wanneer je verbinding maakt met een HTTPS-pagina wordt een ‘SSL handshake’ uitgevoerd. De webserver stuurt een SSL-certificaat met een publieke sleutel naar je browser. Die controleert of het om een authentiek certificaat gaat en stuurt vervolgens een geheime boodschap terug die werd versleuteld met de publieke sleutel. Op de webserver wordt een geheime sleutel bewaard die de boodschap ontcijfert, waarna een beveiligde verbinding met de browser wordt opgezet.
Tegenwoordig wordt vaker gebruik gemaakt van Transport Layer Security (TLS), wat een verbeterde versie van SSL is. De term SSL-certificaat is evenwel blijven plakken en wordt ook gebruikt wanneer het eigenlijk om TLS-encryptie gaat.
Soorten certificaten
Naast het versleutelen van gegevens, kan een SSL-certificaat ook helpen om de eigenaar van een website te identificeren. Dat kan nog een extra identificatiemiddel zijn om je ervan te verzekeren dat de website voor je neus authentiek is.
Voor wie zijn website van een SSL-certificaat wil voorzien, zijn er drie soorten certificaten te onderscheiden.
1. Domeinvalidatie
Een SSL-certificaat met domeinvalidatie gaat alleen na of je de eigenaar van een domein bent, je identiteit wordt verder niet gecontroleerd. Dit is het meest eenvoudige certificaat en bijgevolg ook het goedkoopste. Via Let’s Encrypt is het zelfs mogelijk om een domeingevalideerd SSL-certificaat gratis op je website te installeren.
Voor de bezoekers van je website biedt het evenwel nog geen garantie dat jij effectief bent wie je beweert te zijn. Het enige waar ze op kunnen rekenen, is dat de informatie die ze op je website invullen versleuteld naar de webserver wordt gestuurd.
Een SSL-certificaat met domeinvalidatie volstaat voor een persoonlijke website, maar als webshop kijk je beter naar een uitgebreidere validatie.
2. Organisatievalidatie
Om een SSL-certificaat met organisatievalidatie te krijgen, moet je niet alleen kunnen aantonen dat het domein in kwestie van jou is, maar ook dat je bedrijf officieel geregistreerd staat en wettelijk aansprakelijk is.
Voor je bezoekers is dit soort certificaat niet alleen bewijs dat je eigenaar bent van het domein, maar ook dat je inderdaad het bedrijf bent dat je beweert te zijn. In de details van het certificaat is informatie over je bedrijf terug te vinden, zodat ze zeker zijn dat ze niet met scammers te maken hebben.
Dit niveau van validatie is voldoende voor de meeste bedrijven en organisaties die niet-gevoelige gegevens van hun bezoekers verwerken. Als webwinkelier kies je daarom beter voor de derde optie.
3. Uitgebreide validatie
Uitgebreide validatie of extended validation vereist dat zowel het eigendom van de website als het bedrijf gevalideerd worden. Daarnaast worden nog een aantal extra controles uitgevoerd om helemaal zeker te zijn dat het SSL-certificaat echt tot het geregistreerde bedrijf toebehoort. Zo wordt onder meer de identiteit van het individu die de aanvraag doet gecontroleerd en nagegaan of die hier wel een mandaat voor heeft. Dat betekent ook dat er vaak een langere wachttijd is voor een SSL-certificaat met uitgebreide validatie.
Dankzij de extra controlemechanismen vormt een SSL-certificaat met uitgebreide validatie de allergrootste zekerheid dat website en eigenaar authentiek zijn. Bovendien is het ook de meest zichtbare vorm van SSL-beveiliging: in de adresbalk van je browser staat niet alleen een slotje en ‘https://’ voor de url, maar verschijnt ook de naam van het bedrijf in een groene balk.
Dit niveau van validatie is aangeraden voor websites die gevoelige informatie van hun bezoekers verwerken. Denk bijvoorbeeld aan webshops die betaalgegevens verwerken, maar ook websites van de overheid of je bank. Verschillende onderzoeken hebben aangetoond dat een SSL-certificaat met uitgebreide validatie tot 18 procent meer verkoop kan opleveren voor een webshop.
Aantal domeinen
Eenmaal je voor een geschikte vorm van validatie hebt gekozen, is er nog een laatste keuze die je moet maken voor je SSL-certificaat, afhankelijk van hoeveel domeinnamen je wilt beveiligen.
Ook hier zijn drie verschillende vormen te onderscheiden. Hoef je maar één domeinnaam (e.g. www.domein.be) te beschermen, dan volstaat een standaard SSL-certificaat. Wil je meerdere (sub)domeinen beschermen (e.g. www.domein.be, www.domein2.be, webmail.domein.be), dan is een multi-domein SSL-certificaat de geschikte keuze. Ten slotte is er ook nog het wildcard SSL-certificaat, dat je kan gebruiken voor een onbepaald aantal subdomeinen (e.g. *.domein.be).
Wat met Google?
Google beloont beveiligde https-websites met een hogere positie in de zoekresultaten. Welk type certificaat je daarbij gebruikt, maakt op dit moment niets uit voor de zoekmachine. Een SSL-certificaat met domeinvalidatie geeft je evenveel SEO-voordeel als een exemplaar met uitgebreide validatie.
Mede mogelijk gemaakt door: