Veiligheid voor alles. Want voorkomen is beter dan genezen. Dit geldt zeker als het gaat om de data van jouw eigen websitebezoekers én natuurlijk de websitebezoekers van jouw klanten. Een goed geconfigureerd SSL-certificaat helpt je hier al een heel eind mee op weg. Tegenwoordig is zo’n certificaat (gelukkig) voor de meeste bedrijven ook een standaard onderdeel van het websitebeheer. Er is simpelweg geen reden meer om je website niet te voorzien van een SSL-certificaat. Zeker niet nu er zelfs gratis certificaten te verkrijgen zijn.
Maar wist je dat onjuist beheer van SSL-certificaten juist voor serieuze veiligheidsrisico’s kan zorgen? In deze blog leggen we uit met welke risico’s je rekening moet houden en hoe je ervoor zorgt dat de websites van jouw klanten wél goed beveiligd zijn en blijven.
Wat zijn SSL-certificaten en waarom zijn ze belangrijk?
Eerst even wat achtergrondinformatie. SSL staat voor Secure Sockets Layer. Een SSL-certificaat is een digitaal certificaat waarmee je aantoont dat de verbinding tussen de websitebezoeker en de server van de website beveiligd is.
Simpel gezegd houdt dit in dat de gegevens die tussen deze twee partijen worden verzonden, versleuteld zijn zodat niemand anders ze ongewenst in handen kan krijgen. En zelfs als dat wél gebeurt, zullen de gegevens niet leesbaar zijn omdat ze zijn versleuteld (encrypted).
Wat zijn de voordelen van een SSL-certificaat?
Een SSL-certificaat biedt websiteeigenaren en webagencies verschillende voordelen:
Veiligheid
De veiligheid die een SSL-certificaat biedt is ongetwijfeld één van de grootste voordelen. Want, de websites die jij in beheer hebt moeten optimaal functioneren en goed beveiligd zijn. Je wil voorkomen dat gevoelige data op straat komt te liggen door een slechte beveiliging.
Door gebruik te maken van een SSL-certificaat zorg je ervoor dat de website veilig is om te bezoeken. Gegevens die tussen de server van de website en de bezoeker worden verzonden, zijn beveiligd en versleuteld.
Wettelijke verplichting
Wist je dat een SSL-certificaat tegenwoordig in de meeste gevallen verplicht is? Zodra er sprake is van het verzenden van persoonsgegevens, is het volgens de AVG (Algemene Verordening Gegevensbescherming) verplicht om gebruik te maken van een SSL-certificaat. De meeste websites van tegenwoordig maken gebruik van formulieren op hun website voor het verzamelen van persoonsgegevens. Neem bijvoorbeeld een aanmeldformulier voor een nieuwsbrief. Ookal gaat het hier alleen om een e-mailadres, volgens de AVG geldt dit ook als een persoonsgegeven. In dit geval ben je dus al verplicht om een SSL-certificaat te hebben.
Betrouwbare uitstraling
Websites beveiligd met een SSL-certificaat zijn te herkennen aan een slotje naast de URL. Daarnaast begint de URL met HTTPS in plaats van HTTP. Hiermee maak je duidelijk aan de websitebezoeker dat de website veilig is. In onder andere Google Chrome, één van de meest gebruikte browsers, krijgen websitebezoekers een melding te zien dat er een onveilige website wordt bezocht wanneer deze niet beschikt over een SSL-certificaat. En je begrijpt waarschijnlijk dat dit absoluut geen positieve bijdrage levert aan een betrouwbare uitstraling..
Online vindbaarheid (SEO)
Wil je zorgen dat jouw website(s) goed gevonden worden in Google en andere zoekmachines? Ook dan is een SSL-certificaat van groot belang. Zoekmachines hechten namelijk veel waarde aan de veiligheid en de gebruikerservaring die jij websitebezoeker biedt. Wanneer zoekmachines beoordelen welke websites naar voren komen in de zoekresultaten bij een zoekopdracht, wordt naast vele andere factoren ook gekeken naar de aanwezigheid van een SSL-certificaat. Beschikken over een geldige SSL-certificering wordt dus beloond door zoekmachines.
Wanneer brengen SSL certificaten risico’s met zich mee?
Verlopen certificaten
SSL-certificaten zijn niet oneindig houdbaar. Ze hebben een verloopdatum. Wanneer je het certificaat niet op tijd verlengt of vervangt, is jouw website dus ook niet meer beveiligd. Je begrijpt dat dit de nodige risico’s met zich meebrengt. De gegevens die worden verzonden tussen de websitebezoeker en de server van een niet beveiligde website kunnen onderschept worden en de gegevens zijn in dat geval gemakkelijk in te zien.
Wildcard certificaten
Wildcard certificaten zijn varianten van SSL-certificaten die voor meerdere domeinen of subdomeinen gebruik kunnen worden. Een makkelijke en voordelige keuze zou je denken, maar dit brengt helaas wel risico’s met zich mee. Want een wildcard certificaat maakt gebruik van één identieke versleuteling. Wanneer je dit inzet op meerdere subdomeinen en een van deze subdomeinen wordt gehacked, lopen direct ook alle andere subdomeinen een groot risico. In dat geval moet je de certificaten van alle subdomeinen vernieuwen. Overmatig gebruik van wildcard certificaten zorgt dus voor risico’s.
Tegenwoordig is een SSL-certificaat wel echt een standaard geworden voor websites. Toch zien wij regelmatig dat klanten zelf te weinig kennis hebben om het SSL-certificaat juist te configureren en te onderhouden zodat het voldoende veiligheid biedt. Hierdoor kunnen ongewenst onveilige situaties ontstaan. Zeker wanneer de website veel (gevoelige) klantdata verwerkt.
Kevin Bentlage
CTO bij Cobytes
Onjuiste geconfigureerde certificaten
Met alleen een SSL-certificaat ben je er vaak nog niet. Want wanneer je het niet op de juiste manier configureert, kun je de veiligheid niet garanderen.
Om de website te beveiligen, maakt het SSL-certificaat gebruik van zogeheten beveiligingsprotocollen. Hackers worden helaas steeds handiger in het omzeilen hiervan, waardoor het nodig is nieuwe protocollen toe te passen. Maak je gebruik van een verouderd beveiligingsprotocol? Dan is de website alsnog een gemakkelijk doelwit voor hackers.
TLS 1.3 en TLS Ciphers Op dit moment is ons advies om gebruik te maken van het meest actuele protocol: TLS 1.3. Ook adviseren we om gebruik te maken van veilige TLS ciphers. Dit zijn zijn combinaties van encryptie- en authenticatie-algoritmen die worden gebruikt om gegevens te versleutelen en te beveiligen.
SSL-certificaat beheer: Zó voorkom je dat je risico loopt
Kies het juiste certificaat
Het ene SSL-certificaat is het andere niet. Heb je als webagency verschillende websites in beheer? Dan is het verstandig om per website te bepalen wat de beveiligingsbehoefte is. De certificaten zijn globaal op te delen in 3 categorieën:
- Domein Validatie (DV): Dit is de meest eenvoudige vorm van SSL. Het is geschikt voor een of meerdere websites. Voor het verkrijgen van dit certificaat hoef alleen te bewijzen dat jij de eigenaar van het domein bent. Bij deze variant kun je ook kiezen voor een wildcard.
- Organisatie Validatie (OV): Dit is een uitgebreidere versie van SSL. Hierin zijn de organisatiegegevens van het bedrijf opgenomen, zodat een websitebezoeker dit kan valideren. Het uitgifteproces bij deze variant duurt over het algemeen wat langer dan bij een DV. Dit komt omdat voor het verkrijgen van dit certificaat organisatiegegevens aangeleverd en gevalideerd moeten worden. Ook bij deze variant kun je kiezen voor een wildcard.
- Extended Validatie (EV): Dit is de meest uitgebreide SSL-certificaat variant. Deze komt in principe overeen met een OV certificaat, maar bij EV wordt een groene browserbalk getoond. Dit zorgt voor een extra betrouwbare uitstraling.
Het is dus verstandig om bij de keuze voor het certificaat niet alleen de kosten in overweging te nemen. Kijk goed naar de behoefte van de klant en de gegevens die worden verzonden via de website. Kom je er niet uit of twijfel je over de juiste keuze? Vraag dan om advies bij een expert.
Een betrouwbare aanbieder
Er zijn veel verschillende aanbieders van SSL-certificaten op de markt. Ons advies is er goed op te letten dat je het certificaat bij een betrouwbare aanbieder aanschaft. Dit wordt ook wel een Certificaatautoriteit (CA) genoemd. Een CA zorgt ervoor dat je certificaat op de juiste wijze wordt uitgegeven en dat je gegevens veilig zijn.
Juiste monitoring van certificaten
Zorg ervoor dat het monitoren van de beveiliging een vast onderdeel wordt van jouw organisatieproces. Bij Cobytes kun je dit proces zelfs laten automatiseren. Zo signaleer je eventuele risico’s op tijd en kun je direct actie ondernemen. Heb je zelf te weinig kennis om dit te doen? Besteed het dan uit aan iemand die deze kennis wel in huis heeft.
Monitoring is ongetwijfeld een van de belangrijkste aandachtspunten. Voer ook periodiek testen uit om te waarborgen dat de instellingen en beveiligingsprotocollen nog veilig zijn.
Kevin Bentlage
CTO bij Cobytes
Voorkom onnodig risico
We kunnen concluderen dat een SSL-certificaat een onmisbaar onderdeel is voor vrijwel iedere website. Het zorgt voor een betrouwbare uitstraling en biedt een websitebezoeker de benodigde veiligheid om zorgeloos een website te bezoeken en gegevens te versturen.
Maar met alleen een certificaat ben je er in de meeste gevallen nog niet. Goed SSL-certificaatbeheer is van groot belang om de veiligheid op ieder moment te kunnen garanderen. Ook is het aan te raden het certificaat aan te schaffen bij een betrouwbare aanbieder.
Wil je meer weten over de verschillende SSL-certificaten en het certificaatbeheer wat wij aanbieden? Bekijk dan hier onze SSL-certificaat aanbod.