Waarom een veiligheidscertificaat

Een onderwerp welke veel terugkomt in het nieuws is de mate van veiligheid die te garanderen is op het internet. Feit is dat veiligheid op het internet niet vanzelfsprekend is, je moet zelf stappen ondernemen om je website zonder gevaar aan de buitenwereld te tonen. Vooral bij webshops of andere omgevingen waarin men persoonlijke informatie achter laat, is het erg belangrijk dat je een veiligheidscertificaat gebruikt.

In augustus 2014 kondigde Google aan dat het gebruik van https voordeel zou gaan opleveren op de posities in Google. Daarnaast is het vanaf 1 januari 2016 wettelijk verplicht om datalekken te melden. Laat je als organisatie data lekken of verwerk je persoonsgegevens zonder je aan de wet te houden dan loop je als organisatie kans op een boete. Deze boetes zijn niet misselijk en kunnen per overtreding oplopen tot € 820.000,- of 10% van de jaaromzet. Een van de mogelijkheden om je te beschermen als organisatie is het gebruik van een veiligheidscertificaat. 

 

Wat is https

Https staat voor HyperText Transfer Protocol Secure. Het doel van https is het veilig uitwisseling van gegevens. Door gebruik te maken van een https verbinding worden de gegevens welke via het internet verstuurd worden beveiligd. Voor een buitenstaander zou het daardoor onmogelijk moeten zijn om de gegevens welke verstuurd worden af te luisteren.

 

Waarom https

De belangrijkste reden om je gehele site over te zetten op https is ter beveiliging van de gegevens die van en naar je website worden verzonden (denk bijvoorbeeld aan contactformulieren en alle klantinformatie die geregistreerd is). Daarnaast levert het nu ook voordeel op voor je posities in Google. Uit eerste onderzoeken welke gedaan zijn blijkt dit daadwerkelijk het geval te zijn. Ga je niet over op het volledig draaien van je website op https dan zal je hierin in de toekomst zeker nadelige gevolgen van ondervinden op je posities in de zoekmachines.

 

Soorten certificaten

Grofweg is er de keuze uit een tweetal beveiligingsprotocollen: het standaard SSL protocol (SSL) en het Extended Validation SSL protocol (EV SSL). In het vervolg van deze blog beschrijven we de belangrijkste verschillen tussen deze protocollen en het proces dat moet worden doorlopen om een optimaal veilige verbinding voor je website te garanderen. Ook geven we een aantal voorbeelden van de protocollen in werking. Binnen de EV SSL en de standaard SSL zitten ook een aantal variaties. Die behandelen we verder niet in dit blog artikel.

 

Standaard SSL vergeleken met EV SSL

Groot verschil tussen het ‘standaard’ SSL protocol en het EV SSL protocol is het gemak waarmee een gebruiker inzicht heeft in de kwaliteit van de beweerde beveiliging op een website. Bij een standaard protocol zal een gebruiker een aantal stappen moet zetten alvorens er naar voren komt door wie en op welke manier de website beveiligd wordt en of er sprake is van een betrouwbaar certificaat. Het EV SSL zorgt ervoor dat in één oogopslag kan worden gezien of er sprake is van een betrouwbare website.

 

De eigenschappen die EV SSL onderscheiden van een standaardprotocol op een rijtje:

 

  • De adresbalk wordt groen in de populairste browsers, waardoor meteen duidelijk is of er sprake is van een goed beveiligde website.
  • De identiteit van de eigenaar van de website wordt duidelijk getoond.
  • De naam van de organisatie die het certificaat heeft uitgegeven wordt duidelijk getoond.

Dankzij een EV SSL protocol is het voor bezoekers bij het groen worden van de browserbalk meteen duidelijk dat:

 

  • Het inderdaad om de website van de verwachte organisatie gaat;
  • Er geen sprake is van een gekopieerde website, met mogelijk verkeerde bedoelingen;
  • Er vertrouwelijk met gegevens om wordt gegaan;
  • Er met gerust hart een bestelling of betaling op de website gedaan kan worden;

 

Heeft een website een EV SSL?

Op de site van grootbanken als Rabobank, ABN en ING, is goed te zien hoe helder de presentatie van het EV SSL protocol is. Naast het webadres wordt het onderstaande blok in het groen weergegeven. Het slotje en de groene balk tonen onmiddellijk aan dat er sprake is van een betrouwbare website.

Mocht er nog enige twijfel bestaan over de geldigheid van het certificaat, dan wordt met een enkele klik op deze balk duidelijkheid gegeven.

Bij het gebruik van een standaard SSL protocol moet de bezoeker controleren of er sprake is van een webadres dat begint met https:// en of er een slotje voor het webadres staat. Na klikken op het slotje wordt een webadres getoond dat moet worden vergeleken met het adres dat in de browserbalk staat. Er is dus sprake van een drietal stappen, waarbij de laatste stap ook ruimte voor fouten laat, wat de veiligheidsgarantie toch minder sterk maakt. Het EV SSL protocol neemt deze stappen weg en garandeert een probleemloos en veilig websitebezoek. Verder maakt het standaard SSL protocol geen gebruik van een gestandaardiseerde controleprocedure, om te beoordelen of een bedrijf echt bestaat en de website daadwerkelijk beheert. De kwaliteit van de controles kan dus niet gegarandeerd worden.  

 

Garantie verschillen

Bij het uitgeven van een certificaat garandeert de uitgever van het certificaat de identiteit van de server en eigenaar. Mocht het zo zijn dat je certificaat wordt uitgegeven aan een onbevoegde organisatie dan kun je de aantoonbare schade claimen bij de uitgever van het certificaat. Het verzekerde bedrag bij een SSL EV is over het algemeen twee tot drie keer zo hoog als bij een standaard SSL.

 

Procedure bij protocolimplementatie

Er moeten enkele stappen worden doorlopen alvorens een (EV) SSL protocol kan worden ingezet. Daarom is het verstandig alvast de benodigde informatie bij elkaar te zoeken voordat begonnen wordt aan de aanvraagprocedure. 

 

SSL-certificaat aanvraagprocedure

Er komt vrij veel papierwerk aan te pas bij het integreren van het protocol, begin dus tijdig met het bij elkaar krijgen van de informatie!

Organisatiegegevens (uit KvK-uittreksel handelsregister)*
E-mail adres van de contactpersoon of aanvrager
Gegevens van de bevoegde aanvrager(s)
Gegevens van de Certificaatbeheerder(s)
Kopieën van geldige legitimatiebewijzen van de bevoegde aanvrager(s) en certificaatbeheerder(s)*
De domeinna(a)m(en) (URL’s) van de server(s) die je wilt gaat beveiligen
Bewijs van registratie van het domein op naam van je organisatie of een Akkoordverklaring Domein Gebruik
Document(en) waaruit de bevoegdheid van de aanvrager(s) blijkt
Origineel getekend aanvraagformulier

* Alleen voor EV SSL

Let op:

De Aanvrager is de persoon die officieel bevoegd is om de organisatie extern te vertegenwoordigen.
De Certificaatbeheerder is de persoon die het certificaat beheert en op je server installeert.

Het toevoegen van een veiligheidscertificaat is niet de heilige graag bij het voorkomen van datalekken. Je dient als organisatie preventief de juiste beveiligingsmaatregelen nemen om datalekken te voorkomen. Bijkomend voordeel is echter wel dat een veiligheidsprotocol een positieve bijdrage zal leveren aan je Google posities.

 

Vragen?

Ik hoop met deze blog wat meer duidelijkheid hebben kunnen verschaffen in veiligheidscertificaten en welke je moet kiezen. Heb je nog een vraag of kom je er niet, welk certificaat je moet kiezen, dan hoor ik het graag.