Is het je ooit al opgevallen dat er naast de URL in je browersbalk een hangslotje staat? Dat slotje geeft aan dat de pagina een beveiligde verbinding heeft. Zo’n verbinding kan je trouwens ook herkennen aan de ‘s’ achter http://. En die beveiliging werkt op basis van een SSL-certificaat, dat je als website-eigenaar kan kopen bij een certificeringsinstantie. Als je website persoonsgegevens verwerkt, ben je verplicht om er een te hebben.
Wat is een SSL-certificaat?
‘SSL’ staat voor ‘Secure Sockets Layer’. Een SSL-certificaat garandeert dat de informatie die bezoeker en website uitwisselen versleuteld is. En dat zorgt ervoor dat derde partijen of cybercriminelen geen gevoelige informatie zoals wachtwoorden of bankgegevens kunnen onderscheppen. Een SSL-certificaat is dus een vorm van cybersecurity.
Hoe werkt een SSL-certificaat?
Bij SSL heeft de server waarop een website draait de sleutel om het versleutelde verkeer tussen website en bezoeker te ontcijferen. Je kan de werking ervan vergelijken met een geheime taal, die alleen de zender en de ontvanger van de boodschap kunnen ontcijferen. De ontvanger van de informatie (in dit geval de website) geeft de zender (de bezoeker) op voorhand een code waarin die de boodschap moet noteren. Alleen de ontvanger, de website dus, heeft de sleutel om die boodschap te kunnen begrijpen.
De verschillende soorten SSL-certificaten
Er zijn zes soorten SSL-certificaten. Ze verschillen op het vlak van veiligheid en toepassing. Zo heb je certificaten speciaal voor websites waarop bezoekers veel online betalingen doen. Het spreekt voor zich dat die een andere beveiliging nodig hebben dan een website die enkel informatie verstrekt. We sommen ze even op.
1. Certificaten met verlengde validatie (EV SSL)
Deze SSL-beveiliging is de hoogst geclassificeerde en daarom ook het duurste certificaat. Het wordt gebruikt voor websites die online betalingen verwerken en veel persoonsgegevens verzamelen. Als je zo’n website bezoekt, dan zie je op de adresbalk van de browser het hangslotje, ‘https’, de naam van het bedrijf en soms ook het land van waaruit je de site bezoekt. Deze informatie maakt het verschil tussen legitieme en frauduleuze websites. Om zo’n certificaat te verkrijgen, moet je een gestandaardiseerd identiteitsverificatieproces doorlopen om te bevestigen dat je wettelijk bevoegd bent om de exclusieve rechten van dat domein uit te oefenen.
2. Door een organisatie gevalideerde certificaten (OV SSL)
Qua beveiliging zitten OV SSL-certificaten bijna op het zelfde niveau als de EV SSL-certificaten. Ook voor dit certificaat moet je een uitgebreid validatieproces doorlopen en ook bij dit certificaat staat de informatie van de website-eigenaar in de adresbalk. De prijs voor OV SSL-certificaten ligt een tikkeltje lager dan die voor EV SSL-certificaten. Ze zijn verplicht voor commerciële websites en sites gericht op het algemene publiek, om persoonsgegevens van klanten te beveiligen.
3. Door een domein gevalideerde certificaten (DV SSL)
Voor een DV SSL-certificaat is het validatieproces miniem: je moet alleen maar bewijzen dat je de eigenaar bent van de site via een mail of telefoontje. Deze certificaten bieden dan ook een minimale garantie en versleuteling. Je vindt dit soort SSL-beveiliging terug op blogs of informatieve websites, waar geen gevoelige gegevens uitgewisseld worden. Ze zijn daardoor ook de goedkoopste certificaten. Op de adresbalk vind je enkel een hangslotje en ‘https’ terug, geen andere informatie over de website-eigenaar.
4. SSL-certificaten met een jokerteken
Het jokerteken in het SSL-certificaat beveiligt een onbeperkt aantal subdomeinen op je basisdomein. Denk aan land.domeinnaam.be of winkel.domeinnaam.be. Het jokerteken of de asterisk (*) covert alles wat voor ‘domeinnaam.be’ komt. Zo’n certificaat met jokerteken is dan ook veel goedkoper dan voor elke domeinnaam apart een SSL-certificaat te kopen.
5. SSL-certificaten voor meerdere domeinen (MDC)
Als je een groot aantal domeinen en subdomeinnamen wil beveiligen, dan kies je het best voor een MDC SSL-certificaat. Opgelet, want dit certificaat covert niet automatisch de subdomeinen. Denk er dus aan om alle nodige namen op te geven wanneer je je certificaat aanvraagt. Zo heb je er een nodig voor 'www.domeinnaam.be', maar ook voor 'domeinnaam.be'.
6. Certificaten voor uniforme communicatie (UCC)
UCC-certificaten worden ook wel beschouwd als MDC SSL-certificaten. Ze zijn oorspronkelijk ontworpen om Microsoft Exchange en Live Communications-servers te beveiligen. Maar tegenwoordig kan elke website-eigenaar deze certificaten aanvragen om meerdere domeinnamen met één certificaat te beveiligen. Ze worden per organisatie gevalideerd en je kan ze inzetten als EV SSL-certificaten, om bezoekers de hoogste veiligheidsgarantie te bieden.
Hoe kan ik SSL inschakelen voor mijn website?
Om je website met een SSL-certificaat te beveiligen, moet je natuurlijk eerst een certificaat aanvragen. Nadat je het certificaat hebt, kan je het (laten) installeren op je website.
Een SSL-certificaat aanvragen
SSL-certificaten vraag je aan bij een certificeringsinstantie, of bij je webshostingprovider die als tussenpersoon fungeert. Per jaar worden er miljoenen certificaten uitgereikt. De certificiëringsinstanties spelen daardoor een belangrijke rol in hoe het er op het internet aan toe gaat en hoe veilig het er is om (financiële) transacties uit te voeren. Opgelet: hoe hoger de beveiligingsgraad van je certificaat, hoe langer de aanvraag kan duren.
Enkele certificeringsinstanties:
Let’s Encrypt is een non-profit certificaatautoriteit die gratis SSL-certificaten uitreikt. De certificaten zijn geschikt voor de meeste websites en worden breed ondersteund. Je kan hun certificaten aanvragen via hun website (https://letsencrypt.org).
Er zijn ook commerciële certificaatautoriteiten die betalende SSL-certificaten aanbieden. Enkele bekende namen zijn:
Het SSL-certificaat installeren
Je SSL-certificaat bestaat in de meeste gevallen uit een zip-bestand, met daarin meerdere bestanden. Het vraagt enige kennis om het SSL-certificaat zelf te installeren. Maar je kan je altijd laten bijstaan door een expert. De installatie volgt volgende stappen:
Installeer het SSL-certificaat op je server via de SSL/TLS-instellingen
Configureer je website om ‘https’ te gebruiken
Test of je SSL-certificaat naar behoren werkt. Dat kan gewoon via je browser.
Wat is de kost van een SSL-certificaat?
De prijs van een SSL-certificaat varieert van nul tot enkele honderden euro’s per jaar – afhankelijk van de beveiligingsgraad. Een EV SSL-certificaat is natuurlijk duurder dan een eenvoudig DV SSL-certificaat. Daarnaast hangt de prijs nog af van het aantal domeinnamen dat je wil certificeren en of je de installatie en configuratie zelf doet, of laat doen door een professional.
Wat als mijn SSL-certificaat verlopen is?
Een SSL-certificaat is meestal een jaar geldig. Zorg ervoor dat je het op tijd vernieuwt om de beveiliging van je website te allen tijde te garanderen. Om je SSL-certificaat te verlengen, log je in bij de de instantie waar je het certificaat aanvroeg en geef je aan dat je het wil verlengen.
Waarom heb ik een SSL-certificaat nodig?
De vier pluspunten van een https-verbinding zijn:
1) Versleutelde communicatie
Bij een https-website is de communicatie tussen de server en de gebruiker versleuteld. Worden gegevens onderschept, dan zijn die onleesbaar. Hierdoor zijn gevoelige data, zoals persoonlijke info of betaalgegevens, beschermd.
2) Vertrouwen
De melding 'niet beveiligd' in de adresbalk schaadt het vertrouwen van bezoekers. Sommige browsers tonen zelfs een opvallende melding wanneer je een formulier invult op een niet-beveiligde site. Met een SSL-certificaat neem je dus een mogelijke drempel weg die bezoekers doet afhaken.
3) Zoekmachineoptimalisatie
Sinds 2014 gebruikt Google de aanwezigheid van een https-verbinding als een rankingsignaal. Heb je geen beveiligde verbinding, dan heeft dit een negatieve invloed op je positie. Het effect is weliswaar klein, maar alle beetjes helpen. Een SSL-certificaat maakt dus deel uit van een goede SEO-strategie.
4) Snellere website
De https-technologie laat snellere laadsnelheden toe. Dat is goed nieuws voor de gebruiksvriendelijkheid van je website, want bezoekers haken af als een pagina te traag laadt.