Bijna iedereen heeft tegenwoordig een mobiele telefoon of een laptop en maakt met grote regelmaat gebruik van het internet. Ook willen we dit graag in alle veiligheid doen. Voordat je jouw website volledig wilt beveiligen, is het erg van belang om je in te lezen hoe je dit bereikt. Het is normaal voor vele internetgebruikers om in de war te zijn over de term SSL. SSL is zeker een effectieve methode om jouw website te beveiligen, maar hier houdt het niet mee op. Onderzoek vooraf goed over alle termen en stappen die er nodig zijn om jouw website te beveiliging en vergeet, naast de SSL, ook zeker niet de belangrijke functie van Security headers.
Waar staat SSL voor?
SSL is de afkorting van Secure Sockets Layer. De SSL zorgt er voor dat er een veilige internetverbinding is die gegevens, denk aan persoonlijke gegevens of creditcardgegevens, beschermt. Je kunt het zien als een privé tunnel van jouw browser naar de server die de informatie ontvangt. De informatie is gecodeerd om er voor te zorgen dat andere deze informatie niet kunnen lezen of wijzigen terwijl deze worden overgedragen.
Wat is een SSL-certificaat?
Een SSL-certificaat is een klein gegevensbestand die cryptografisch een gecodeerde verbinding tot stand brengt tussen de webserver en een browser. Deze koppeling zorgt er voor dat alle gegevens die tussen de webserver en de browser worden uitgewisseld, privé blijven. Het werkt als een certificaat voor op een website. Bezoekers kunnen hierdoor gelijk zien dat jouw website veilig is om te bezoeken. Dit SSL-certificaat kan je aanvragen bij jouw hosting-provider.
De verschillende soorten SSL-certificaten
Extended Validation (EV) Certificaat
De EV Certificaten zijn de meest dure SSL die je kunt krijgen, maar ze zijn wel erg waardevol om de legitimiteit van jouw domein aan de hand van de adresbalk te laten zien. De eigenaar van de website moet namelijk door een identiteitscontrole gaan om dit certificaat te krijgen. Een EV-certificaat bewijst dat je gemachtigd bent om eigenaar te zijn van het domein en hiermee verzekerd je de bezoekers dat je legaal de gegevens verzamelt die nodig zijn om bepaalde acties uit te voeren, zoals het invullen van creditcardnummers.
Organization Validated (OV) Certificaat
Dit certificaat bevestigt dat jouw organisatie en domein-validatie echt zijn. De OV-certificaat biedt een gemiddeld coderingsniveau aan en worden in twee stappen verkregen. In de browser zullen gebruikers een klein groen hangslotje zien met daarop de naam van het bedrijf. Dit type certificaat is geschikt als je niet over de financiële middelen beschikt voor een EV-certificaat, maar wel een gematigd coderingsniveau wilt aanbieden.
Domain Validation (DV) Certificaat
Een DV-certificaat biedt een laag verificatie-niveau aan dat wordt weergegeven als een groen hangslot naast de URL in de adresbalk. Dit is de snelste validatie die je kunt ontvangen voor jouw website en je hebt maar enkelen bedrijfsdocumenten nodig om de aanvraag in te dienen. In tegenstelling met OV-, en EV-certificaten worden bij deze de identiteitsgegevens niet gecontroleerd.
Wildcard SSL Certificaat
Wildcard SSL-certificaten bevinden zich in de categorie ‘domein en subdomein-nummers’. De Wildcard SSL’s zorgen er voor dat als je een certificaat koopt voor één domein, je datzelfde certificaat ook kunt gebruiken voor alle andere subdomeinen. Dit is echter alleen toepasbaar bij een OV-certificaat en een DV-certificaat.
De voordelen van een SSL-certificaat
Het voor de hand liggende voordeel van SSL-certificaten is dat jouw website-gegevens beschermd zijn tegen onderschepping door derden. De verbindingen van de webbrowser naar de server blijft versleuteld. Daarnaast verbetert het ook het vertrouwen voor jouw bezoekers. Als er via jouw websites acties worden ondernomen zoals betalingen, dan voelen klanten veel wantrouwen als deze website niet beschikt over een SSL-certificaat. Dit geldt ook voor het invullen van persoonlijke gegevens. Het hebben van een SSL-certificaat kan dus uiteindelijk transacties op jouw website stimuleren. Ook zorgt het voor gegevensintegriteit. Veel websites, zoals Ebay, zijn in het verleden slachtoffer geworden van hacking. Met een SSL-certificaat zal de kans hierop worden verminderd en ook zal het zorgen dat gegevens op de online server altijd intact en beschermd zullen worden tegen externe bedreigingen. Als laatste verhoog je ook de SEO-ranking van je website op Google als jouw website in het bezit is van een SSL-certificaat.
De nadelen van een SSL-certificaat
Ieder SSL-certificaat kost geld. Om je website volledig te beschermen, zul je wel bereid moeten zijn om te betalen. Aangezien de voordelen vrij groot zijn, zouden de kosten echter geen reden tot bezorgdheid moeten zijn. Hoewel de SSL-configuratie vrij eenvoudig is voor een expert, kan het soms complex zijn voor een ander. Het proces om de SSL-certificaat te configureren kan in zo’n geval vrij veel complicaties opleveren en fouten kunnen bezoekers makkelijk afschrikken. Daarnaast is een mobiele configuratie niet eenvoudig. Doordat de SSL-certificaten in eerste instantie zijn ontwikkeld voor websitebeveiliging, zijn de mobiele apparaten niet direct overwogen. Dit heeft er toe geleid dat er nog vrij veel complicaties voorkomen in de mobiele versie. In de meeste gevallen is het dus sterk aan te raden om de configuratie door een techneut te laten uitvoeren.
Wat is een HTTP Security header
Iedere keer wanneer een browser een pagina opvraagt bij de webserver, voorziet een server de browser van de inhoud samen met wat andere nuttige informatie. Dit zijn de zogenaamde headers. Veel SSL-gerelateerde kwetsbaarheden kunnen worden verholpen met een speciaal type header, genaamd security headers. Deze kunnen de browsers namelijk vertellen hoe ze inhoud op een webpagina moeten behandelen, zoals ‘laad deze site alleen via HTTPS’.
Waarom SSL niet genoeg is en je een HTTP Security header nodig hebt voor optimale veiligheid
De meeste website-eigenaren denken dat ze zodra ze een SSL-certificaat op de website hebben, de site zonder zorgen zal werken op de meest veilige manier. Helaas is dit in de realiteit niet volledig het geval. Tegenwoordig zit het internet vol met hackers die proberen websites te ruïneren. Als je optimaal gebruik wilt maken van SSL, moet je een HTTP Security header er bij halen. Alle afbeeldingen, scripts, stijlbestanden en andere zaken worden op deze manier via een beveiligde verbinding geladen en dit zal bijvoorbeeld hackers geen kans geven om jouw website binnen te dringen. Net zoals een SSL, is het handmatig installeren vrij moeilijk. Vooral aangezien je certificaat-fouten wilt voorkomen. Het beste is om zowel voor de SSL-certificaat en de Security header een techneut in te schakelen als je zelf geen expert bent op dit gebied. Denk er dus niet twee keer over na. De SSL-codering met Security header is zeker een must voor jouw website. Zeker als de site werkt als een e Commerce-winkel waar dagelijks financiële transacties worden uitgevoerd.
