Wat is SSL en waarom is het belangrijk? 5 tips
2016 wordt nu al het jaar van cyberaanvallen genoemd, met phishingcampagnes als grootste bron van kwaad. Maar niet alleen de duistere zijde van het internet heeft het op ons gemunt, ook regeringen worden steeds agressiever in een poging zijn bevolking in de gaten te houden. Vraag maar na bij de NSA. Grote bedrijven als Google, Facebook en Microsoft doen daarom hun best om SSL/TLS te promoten.
Wat is het?
SSL/TLS (Secure Sockets Layer/Transport Layer Security)-encryptie wordt beschouwd als een dure methode om beveiliging te garanderen, maar kan toch de moeite lonen. Het protocol werd reeds in de jaren ’90 ontwikkeld door Netscape om de authenticiteit van websites te garanderen en data veilig te kunnen verschepen tussen eindgebruikers. Deze verbindingen zijn beter gekend als ‘HTTPS’.
Waarom is het belangrijk?
Data die wordt verzonden via een onbeveiligde verbinding kan onderschept worden door hackers. Deze data kunnen dan makkelijk worden gestolen of aangepast, wat natuurlijk zorgt voor beveiligingsrisico’s. Grote banken en webwinkels gebruiken deze encryptie, maar niet allemaal. Pas dus op met webwinkels die het protocol links laten liggen.
Is het moeilijk te implementeren?
SSL/TLS heeft niet meteen de reputatie van makkelijk te implementeren te zijn. Zeker voor grote websites kan dit een flessenhals vormen. Om een website te kunnen authenticeren via dit protocol moet immers een certificaat worden aangekocht bij een zogenaamde ‘Certification authority’. Dit certificaat dekt dan doorgaans de gehele website, al is dat niet altijd het geval. Dergelijke certificaten vervallen ook, waardoor het erg belangrijk is dit in de gaten te houden. Bovendien kunnen ze duur zijn.
Zijn er zwakheden?
Ja, toch wel. Er zijn manieren om de beveiliging te omzeilen, en ook enkele virussen en bugs zoals Heartbleed kunnen door de beveiliging breken. Ook de certification authorities worden al eens gehackt.
Wat wordt gedaan tegen deze problemen?
Er zijn enkele projecten op stapel om het protocol veilig te houden, zoals ‘Let’s encrypt!’ dat vorig jaar in het leven werd geroepen. Bugs worden gepatched, virussen opgeruimd en beveiliging extra verstevigd. Ondanks de vele zwaktes zijn er gewoonweg geen betere alternatieven. En een beetje beveiliging is nog steeds beter dan niets.