SSL-Certificaat

Security gaat uiteraard om technische beveiliging, maar even goed om vertrouwen. Je wil dat bezoekers op je website wéten dat hun gegevens veilig zullen zijn. Een veiligheidsmaatregel die inspeelt op beide aspecten is het SSL-certificaat.

Wanneer je met gevoelige informatie werkt – zoals wachtwoorden en betalingsgegevens – zijn SSL-certificaten essentieel voor een maximaal vertrouwen van je bezoekers. SSL-certificaten encrypteren namelijk het dataverkeer tussen een webbrowser en een server. Zo garanderen ze de veiligheid en privacy van jouw bezoekers.

Uit onderzoek van Symantec blijkt trouwens dat 90% van de consumenten een transactie stopt als ze een SSL-waarschuwing (“uw gegevens zijn niet geëncrypteerd”) krijgen en 72% naar een concurrent gaat.

 

Hoe werkt SSL?

Hoe zo’n SSL-certificaat werkt? Wanneer je een bepaalde website met een SSL-certificaat bezoekt stuurt je browser een asymmetrische sleutel naar de server aan de andere kant om zijn identiteit te controleren. Als die identiteit correct wordt bevestigd dan gaat SSL de uitgewisselde data zelf versleutelen met een symmetrische sleutel. Kortom: je bent zeker dat niemand kan meelezen, omdat de verstuurde gegevens enkel zichtbaar zijn in jouw browser.

 

Hoe kies je het juiste certificaat?

Er zijn verschillende soorten SSL-certificaten beschikbaar. De technische bescherming – lees: de manier waarop de gegevens geëncrypteerd worden – is identiek voor alle certificaten. De manier waarop de aanvrager wordt geïdentificeerd wanneer hij een SSL-certificaat aanvraagt, verschilt wél bij de verschillende certificaten. Je krijgt dus extra garanties dat de partij aan de andere kant bonafide is.

 

Domein SSL-certificaat

Bij een domeincertificaat wordt er enkel online gecontroleerd of de aanvraag gebeurt door de eigenaar van het domein waarvoor het zal gelden. De identiteit van de website-eigenaar wordt dus niet gecontroleerd. Daarom is dit type SSL-certificaat geschikt voor toepassingen waar encryptie essentieel is, maar de identificatie minder van belang is. Een voorbeeld daarvan zijn intranet-toepassingen.

 

Organisatie SSL-certificaat

Bij het organisatiecertificaat wordt ook de identiteit van de aanvrager gecontroleerd. Je moet bij je aanvraag dus bewijzen wie je bent, via uittreksels uit het Staatsblad of de Kamer van Koophandel. Deze organisatie SSL-certificaten zijn geschikt voor de beveiliging van publieke websites: de aanvrager moet immers aantonen wie er achter de website zit.

 

Uitgebreide Validatie (EV)-certificaat

Bij het Uitgebreide Validatie-certificaat wordt de identiteit van de aanvrager uitvoerig gecontroleerd. In ruil krijgt je certificaat een speciale status, waardoor de adresbalk in de browser groen kleurt en je bedrijfsnaam toont. EV-certificaten zijn daarom ideaal voor webwinkels en websites die werken met gevoelige informatie, zoals persoonsgegevens en wachtwoorden. De groene balk laat gebruikers weten dat ze op een site surfen waarvan de eigenaar bekend is en waarbij hun gegevens geëncrypteerd worden.

 

Wildcard SSL-certificaat

Wil je meerdere subdomeinen beveiligen, zoals bijvoorbeeld www.nucleus.be, order.nucleus.be en helpdesk.nucleus.be dan maak je best gebruik van een wildcard SSL-certificaat. Dat kan je niet enkel toepassen op volledige domeinnamen, maar op meerdere subdomeinen. Op vlak van beveiliging staat een Wildcard SSL-certificaat op hetzelfde niveau als een organisatie SSL-certificaat.

 

Let’s encrypt

Sinds februari vorig jaar biedt Nucleus overigens ook een gratis SSL-certificaat aan. Het gaat hierbij om een Domein SSL-certificaat dat gratis en automatisch ter beschikking wordt gesteld door Let’s Encrypt. Dat is een onafhankelijke organisatie die gesteund wordt door grote online spelers als Google, Facebook, enz., met als missie om online communicatie veiliger te maken.

Je moet dus zelf geen SSL-certificaat aankopen en installeren. Je kan gewoon je hostingpakket upgraden naar Windows of Linux 2500. Via de webhosting subdomein instellingen kan je dan “enable SSL” aanvinken om het SSL-certificaat automatisch te genereren.

SSL & Uptime?

Een SSL-certificaat heeft dus een impact op technische security en vertrouwen, maar heeft het ook een impact op uptime? Indirect wel.

SSL-certificaten moeten immers op vastgestelde tijdstippen vernieuwd worden. Als je één certificaat hebt, is dat een routineklus, als je er heel wat tegelijk hebt te beheren wordt de situatie heel wat complexer en riskeer je downtime door een menselijke fout of doordat er ergens een certificaat vervalt. Het is dus geen slecht idee om het beheer van die SSL-certificaten over te laten aan een derde partij.

Heb jij al een SSL-certificaat voor jouw bedrijf? En welk certificaat heb jij gekozen? Laat het ons weten in de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin we aantonen hoe belangrijk security is om downtime te voorkomen.

 

Download ons gratis eBook “Hoe goede security downtime voorkomt”

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer