Wat is een SSL-certificaat en welke past het best bij jouw website?

Sinds Let’s Encrypt in 2016 gratis SSL/TLS-certificaten op de markt bracht, is de versleutelde https-verbinding de standaard geworden. Koppel daar het beleid van Google aan vast om sites zonder https-protocol als onveilig te bestempelen, en je kun eigenlijk niet meer zonder. Iedere (serieuze) website heeft tegenwoordig als het goed is een certificaat op zijn site geïnstalleerd. Welke functie heeft een SSL/TLS-certificaat en welke past het best bij jouw website?

Hoe werkt het https-protocol?

HTTPS staat voor ‘hypertext transfer protocol secure’. Een protocol dat gebruikt wordt door webbrowsers om websites te ‘lezen’. Voorheen bezocht je websites met HTTP waarbij dus het woord ‘secure’ wegvalt. Wat maakt HTTPS dan veilig ten opzichte van HTTP? Dat is de encryptie van het dataverkeer dat plaatsvindt tussen de webbrowser die je gebruikt en de server waar de website op staat die je bezoekt.

Op het moment dat iemand anders van buitenaf inhaakt op de communicatie die plaatsvindt tussen jouw browser en een server, ziet hij alleen data die versleuteld is (zie voorbeeld hieronder). Daar valt dus geen chocola van te maken. Op deze manier kan iemand die ‘stiekem’ meekijkt niet zien hoe jij als webbezoeker betaalgegevens of andere gevoelige informatie invoert.

https-encryptie

Het verschil tussen SSL en TLS

De term SSL (Secure Socket Layers) is eigenlijk niet meer op zijn plaats als men het heeft over SSL-certificaten. Dit verouderde encryptieprotocol is al geruime tijd vervangen door TLS (Transport Layer Security). De meeste browsers en servers ondersteunen daarom ook geen encryptie meer op basis van SSL. Toch worden certificaten nog aangeduid met SSL omdat mensen vertrouwd zijn geraakt met de naam ervan. Om geen verwarring te zaaien noemen we in dit artikel de certificaten SSL/TLS-certificaten. Voor meer informatie over SSL, en de opvolger TLS, raad ik je aan dit blog te lezen.

Welke rol speelt het SSL/TLS-certificaat binnen het encryptieproces?

Een certificaat heeft twee functies: bewijzen dat een website te vertrouwen is, en het leveren van een ecryptiesleutel.

Een SSL/TLS-certificaat bevat vier componenten:

• Het bewijs van DNS-eigendom
• Digitale handtekening webserver
• Digitale handtekening uitgever
• Een encryptiesleutel

Op het moment dat een webbrowser en een server contact met elkaar leggen, vind er een zogenaamde ‘handshake’ plaats. Tijdens de handshake bepalen beide partijen de encryptiemethode en wordt er door de webbrowser gecontroleerd of het certificaat geldig is. Aan de hand van het SSL/TLS-certificaat kan de webbrowser zien of een website betrouwbaar is. Essentieel voor de totstandkoming van een HTTPS-verbinding.

De SSL/TLS-handshake

Om de HTTPS-verbinding op gang te laten komen is een SSL/TLS-handshake nodig. Hierbij maken een server en webbrowser kennis met elkaar, bepalen ze of ze elkaar vertrouwen en stemmen ze af welke encryptiemethode (cipher suite) gebruikt wordt. De handshake gaat als volgt:

• De webbrowser maakt contact met de server en laat weten welke encryptieprotocollen hij ondersteunt.
• De server legt contact terug met de webbrowser, stuurt hem zijn SSL/TLS-certificaat en kiest een ecryptieprotocol.
• De webbrowser controleert het SSL/TLS-certificaat. Als deze goedgekeurd wordt, gebruikt hij de publieke sleutel die meegestuurd wordt voor encryptie.
• Met de publieke sleutel maakt de webbrowser een zogenaamde ‘premaster secret’ byte string aan. Dit stukje code kan alleen ontsleuteld worden met een privé sleutel die op de server staat.
• De server ontsleutelt de byte string en vind daarin het bewijs dat de juiste partijen met elkaar aan het communiceren zijn.
• Beide partijen wisselen hierna sessiesleutels uit. Deze sleutels zijn uniek voor iedere sessie tussen webbrowser en server. Tijdens ieder nieuw bezoek worden nieuwe sessiesleutels aangemaakt.
• Na het uitwisselen van de sessiesleutels maken server en webbrowser contact met elkaar via HTTPS-verbinding.

Het verschil tussen DV- en EV-certificaten

De installatie van een EV-certificaat (meestal duurder) zal de encryptiekwaliteit ten opzichte van een DV-certificaat niet verbeteren. De certificaten verschillen alleen in de manier waarop ze uitgegeven worden. Bij een domeinvalidatiecertificaat (DV-certificaat) controleert de uitgever of de aanvrager eigenaar is van het domein waar de website op staat. Bij extended validation certificaten (EV-certificaten) worden ook de bedrijfsgegevens uitvoerig onder de loep genomen. De certificaatuitgever controleert KvK-gegevens, kijkt of het bedrijf in de WHOIS-database staat en neem telefonisch contact op met de onderneming.

Wat is het voordeel van deze uitgebreide controle? Stel nou dat iemand onder jouw bedrijfsnaam linkt naar een phishingwebsite. De kans is groot dat bezoekers het verschil tussen deze site en de officiële bedrijfswebsite niet zien. Een oplichter hoeft alleen te bewijzen dat hij eigenaar is van een domeinnaam en kan vervolgens ook een DV-certificaat op de website installeren. De site ziet er dan betrouwbaar uit, maar dat is hij natuurlijk niet. Hoewel het dataverkeer tussen webbrowser en server beveiligd is, zijn het niet de ‘pottenkijkers’ die voor gevaar zorgen. Het is de bezochte site zelf, waar eigenlijk een ander achter zit dan de naam van de site doet vermoeden.

Met een EV-certificaat kan de bezoeker er zeker van zijn dat de site die hij bezoekt ook echt toebehoort aan het bedrijf waar de website zich voor uitleent. Voor websitebezoekers die betalingen doen of vertrouwelijke gegevens achterlaten erg belangrijk om te kunnen controleren.

Achtenvijftig procent van alle phishingwebsites maakt gebruik van een HTTPS-verbinding en heeft dus een SSL/TLS-certificaat op de server geïnstalleerd staan. In slechts 0,4% van de gevallen gaat dit, als we afgaan op onderzoek van USENIX, om phishingwebsites met een EV-certificaat. Het is dus enorm lastig voor oplichters om een EV-certificaat te bemachtigen voor hun phishingsites. Gebeurt het toch, dan draait een certificaatuitgever doorgaans op voor de schadekosten. Check voor de grap ons certificaat door op het slotje te klikken in de adresbalk.  Zoals je kunt zien beschikken ook wij over een EV-certificaat.

EV-certificaat Savvii

P.S. Gebruik de SSL Server Test van Qualys om de HTTPS-verbinding van websites te testen. In een uitgebreid rapport krijg je te zien welke protocollen en cipher suites ondersteund worden en welk certificaat op een server staat. De testuitslag van onze website vind je hier.

Het wildcardcertificaat

Naast DV- en EV-certificaten bieden we bij Savvii de mogelijkheid om een wildcardcertificaat te kopen. Deze is bedoelt voor websites die subdomeinen hebben. Normaal beveiligt een certificaat alleen het hoofddomein van een website, maar met een wildcard kun je ook al jouw subdomeinen van HTTPS-verbinding voorzien. Lees meer over de certificaten die wij aanbieden op onze certificatenpagina.

Let’s Encrypt of Sectigo?

Bij Savvii installeren wij een gratis Let’s Encrypt-certificaat op iedere site. Zo is jouw website altijd voorzien van een beveiligde HTTPS-verbinding. Doorgaans moet een Let’s Encrypt-certificaat na 90 vervangen worden. Ook dit regelen wij voor jou. Wil je een extra beveiligd EV-certificaat van Sectigo op je website installeren? Dan kun je deze bij ons aanschaffen waarna wij hem voor je installeren. Kijk op onze certificatenpagina voor meer informatie.

Conclusie:

De gemiddelde blogger zal voor zijn blog voldoende hebben aan een DV-certificaat. Maar run je een webshop of heb je een bedrijfswebsite waar klanten gevoelige informatie achterlaten? Dan is een EV-certificaat geen overbodige luxe. Met een EV-certificaat ben je verzekerd tegen de gevolgen van misbruik. Als een ongeautoriseerde partij het certificaat in handen krijgt bijvoorbeeld. Jij en je klanten krijgen dan de schade uitbetaald. Daarnaast straalt je website meer betrouwbaarheid uit en oogt daarmee een stuk professioneler. Reken er maar op dat dit ook in het conversiepercentage van je website terug te zien is.

Timo Kuijpers - Timo Kuijpers - Voormalig journalist die het schrijven nog niet verleerd is. Timo verdiept zich vandaag de dag liever in marketing en WordPress. Doordeweeks drinkt hij proteïne shakes. In het weekend drinkt hij bier. Heeft geen bierbuik of sixpack – wellicht dat beide brouwsels elkaar tegenwerken.