Wat is een EV SSL-certificaat en wat zijn de voordelen?

Gijs Hovens, 21 september 2018

SSL-certificaten zijn in het huidige digitale landschap een absolute vereiste voor elke website. Het is moeilijk voor te stellen dat een deugdelijke bedrijfssite of webshop anno 2018 niet adequaat beveiligd is tegen hackers. Extended Validation-(EV)SSL-certificaten geven het duidelijkste signaal dat een website zijn gegevens versleuteld verstuurd. Maar wat is een EV-SSL-certificaat en wat zijn de belangrijkste voordelen ervan? En hoe gaat het aanvragen van zo’n certificaat precies in zijn werk? Wij leggen het uit. 

Dit artikel is bijgewerkt op 21 september 2018

Wat zijn SSL-certificaten?

SSL-certificaten zijn kleine bestanden die een beveiligde verbinding tussen een webserver en een browser tot stand brengen. Ze koppelen een digitale encryptiesleutel aan de gegevens van een bedrijf om zo cybercriminelen de voet dwars te zetten. SSL-certificaten hebben veel voordelen en zijn te herkennen aan het hangslotje en https-protocol in de adresbalk van een website.

SSL EV Certificate

SSL EV Certificaat

SSL DV Certificate

SSL DV Certificaat

Een EV-certificaat is te herkennen aan het feit dat naast het bekende hangslotje ook de bedrijfsnaam van de domeinhouder in het groene balkje komt te staan. Een DV (Domain Validation)-certificaat geeft alleen aan dat de getoonde https-verbinding veilig (‘secure’) is.

SSL-certificaten werden oorspronkelijk vooral gebruikt voor het beveiligen van online-betalingen (iedereen kent ze wel van de internetbankieromgevingen), transacties via webwinkels, logins, contactformulieren en andere (gevoelige) gegevensoverdrachten.

Tegenwoordig is het normaal om de volledige website te beveiligen met een certificaat. Vooral voor populaire websites die geregeld het doelwit zijn van phishingaanvallen is een SSL-certificaat zeker geen overbodige luxe.

Het EV-SSL-certificaat

Het EV-SSL-certificaat is de hoogste vorm van SSL-beveiliging. Zo’n certificaat koppelt de naam de naam van een domein, server of host aan de identiteit en locatie van een bedrijf, garanderen dat je verbinding maakt met dat bedrijf én beveiligen de verbinding. Dit in tegenstelling tot DV-certificaten. Die beveiligen alleen de verbinding en garanderen dat je daadwerkelijk verbinding maakt met het domein dat in de adresbalk te zien is.

EV-certificaten worden gebruikt door belangrijke spelers op de internetmarkt zoals banken en grote webshops als Bol.com. Een EV-SSL-certificaat wordt door de meeste webbrowsers getoond als een groene adresbalk die naast de domeinnaam ook nog de (statutaire) bedrijfsnaam van de eigenaar toont. De controles en uitgiftevoorwaarden zijn in het geval van een EV-SSL-certificaat streng.

De levering neemt dan ook wat extra tijd (reken gerust op een week of twee) in beslag. Bovendien gaat het aanschaffen van zo’n certificaat uit de hoogste veiligheidscategorie ook gepaard met een hogere investering.

Een EV-certificaat werkt niet structureel anders dan andere SSL-certificaten, maar bevordert wel het klantvertrouwen. Je moet voor jezelf bepalen of dit de extra investering waard is. Bij een grote en commerciële website zal het antwoord natuurlijk eerder ja zijn dan bij een veredelde hobbysite.

Voorwaarden voor een EV-SSL-certificaat

Om een Extended Validation-SSL-certificaat te kunnen en mogen gebruiken, moet een bedrijf eerst een speciale aanvraagprocedure doorlopen. Het belangrijkste onderdeel van het proces is een uitgebreide en gestandaardiseerde identiteitscontrole, een toets die de betrouwbaarheid van de aanvrager controleert en verifieert.

De criteria die worden gebruikt om EV-SSL-certificaten uit te geven zijn vastgelegd in de Guidelines for Extended Validation Certificates (richtlijnen voor EV-certificaten). Het CA/Browser Forum, een non-profitorganisatie die bestaat uit toonaangevende certificaatautoriteiten, (internet)softwareontwikkelaars en juridische experts, stelt de (behoorlijk strenge) voorwaarden op waar aanvragers van een EV-SSL-certificaat aan moeten voldoen.

Aanvragen en implementeren

Je kunt een Extended Validation-SSL-certificaat online aanvragen. Vervolgens zet de leverancier het screeningsproces in gang om er zeker van te zijn dat de aanvrager een legitieme partij is. Het aanvraag- en implementatieproces is opgedeeld in een aantal vaste stappen die we hieronder kort zullen bespreken.

Domeinvalidatie

De domeinvalidatie toont aan dat je het domein waarvoor je een Extended Validation-SSL-certificaat aanvraagt ook daadwerkelijk beheert. Bij het aanvragen van Comodo-certificaten kan worden gekozen uit drie methodes: e-mail, een bestand plaatsen of DNS (het systeem en netwerkprotocol dat wordt gebruikt om namen van computers naar numerieke adressen te sturen en vice versa).

EV-SSL-certificaten van GlobalSign, Symantec, GeoTrust en Thawte maken daarentegen exclusief gebruik van validatie per e-mail. Let er goed op dat elk domein of subdomein apart moet worden bevestigd.

In het geval van validatie per mail stuurt de leverancier van het certificaat een bericht naar het in de aanvraag opgegeven mailadres. Deze mail bevat een link naar de webpagina waar je het wachtwoord en de unieke code van het certificaat invoert.

Controle van bedrijfsgegevens

De eerste stap bij het aanvragen van een EV-SSL-certificaat is het controleren van de bedrijfsgegevens bij een onafhankelijke organisatie. In Nederland is de Kamer van Koophandel hier verantwoordelijk voor.

Voordat het certificaat wordt uitgegeven, worden eerst de statutaire naam of handelsnaam, rechtsvorm, adres- en contactgegevens, postcode en plaats en landnaam en landcode van een bedrijf nagetrokken.

Het is vooral van belang dat de in de aanvraag opgegeven bedrijfsnaam overeenkomt met de handelsnaam die is vastgelegd in het handelsregister van de KvK. Als een geregistreerde naam niet klopt of verkeerd genoteerd is, wordt de aanvraag geweigerd.

Zzp’ers hoeven niet per se een statutaire naam te overleggen, maar kunnen volstaan met alleen een handelsnaam.

Whois-validatie

In het Whois-register, een protocol dat je in staat stelt om gegevens over een domein te achterhalen, is vastgelegd wie de eigenaar is van een domeinnaam. De Whois-gegevens van het aangevraagde domein worden vergeleken met de geregistreerde bedrijfsgegevens. De inhoud van die twee moet overeenkomen om het EV-SSL-certificaat in de wacht te kunnen slepen.

Voor het veranderen van Whois-gegevens moet je contact opnemen met de leverancier van je domeinnaam. Die kan de info dan voor je aanpassen.

EV-documenten en telefonische validatie

Om in aanmerking te komen voor een EV-SSL-certificaat, moeten ten slotte ook nog enkele documenten worden overlegd. Het gaat daarbij om een certificate request form (aanvraagformulier) en een certificate subscriber agreement (contract).

Deze formulieren worden meestal al vooraf ingevuld; de contactpersoon van de organisatie hoeft ze meestal alleen te controleren, ondertekenen en retourneren.

Als extra slot op de deur wordt de medewerker die in de aanvraag is opgevoerd als contactpersoon nog eens gebeld. Voor het telefoontje wordt een publiek geregistreerd telefoonnummer van de organisatie gebruikt. Middels de telefonische verificatie wordt gecontroleerd of de betreffende organisatie daadwerkelijk de partij is die het certificaat heeft aangevraagd.

Belangrijkste voordelen van een EV-SSL-certificaat

Een EV-SSL-certificaat heeft qua aanvraag dus nogal wat voeten in de aarde. De kostprijs ligt, afhankelijk van de aanbieder en het precieze certificaat, ook een stuk hoger dan de som die je voor een DV-certificaat betaalt. Bepaalde DV-certificaten zijn zelfs gratis. Toch zijn er ook een aantal belangrijke voordelen verbonden aan het hebben van een EV-certificaat.

  • Een Extended Validation-SSL-certificaat genereert een hogere mate van klantvertrouwen. Juist omdat de toepassing het veiligheidsgehalte van een website gelijk zichtbaar maakt, wint een bedrijf aan geloofwaardigheid. Extra vertrouwen en een veilige online-winkelomgeving zijn factoren die potentiële klanten eerder zullen aansporen om daadwerkelijk een aankoop te doen. Uiteindelijk betaalt het gebruiken van een EV-SSL-certificaat zich vaak uit in meer conversies en een hogere klantentrouw.
  • Het EV-SSL-certificaat toont de bedrijfsnaam in de adresbalk en geeft summiere informatie over de domeineigenaar. Je ziet eerst de handelsnaam (optioneel), dan de statutaire naam en als laatste het land. Het visuele signaal (de karakteristieke groene adresbalk met bedrijfsinfo) dat een EV-SSL-certificaat afgeeft is een universeel teken van geloofwaardigheid. Zelfs minder ervaren internetgebruikers weten meestal dat de groene balk gelijkstaat aan een hoog beveiligingsniveau.
  • DV-certificaten zijn steeds populairder omdat ze steeds vaker gratis verkrijgbaar zijn via Let’s Encrypt. Een DV-certificaat voldoet vaak niet meer als je je als website echt wil onderscheiden van je concurrentie.
  • Het gebruiken van een SSL-certificaat op de hele website levert vaak een hogere positie in de rankings van Google op. Betrouwbaarheid en veiligheid zijn criteria die de zoekmachine meeweegt bij het tonen van relevante zoekresultaten en het toekennen van een kwaliteitsscore. Jouw website wordt dankzij een EV-certificaat dus beter vindbaar, wat de kans op extra traffic verhoogt.
  • Een goede, secure en veilige omgang met privacygegevens is in het kader van de AVG (nieuwe Europese privacywetgeving) nog belangrijker geworden. Een EV-certificaat biedt op dit vlak optimale bescherming.

‘Always on’ of niet?

Er zijn in de praktijk twee manieren om een EV-SSL-certificaat te gebruiken. Je kunt bijvoorbeeld alleen pagina’s beveiligen waar bezoekers gegevens invullen of opsturen. Denk hierbij bijvoorbeeld aan contact- of bestelformulieren. Maar het is ook mogelijk alle pagina’s te beveiligen.

Dat laatste ‘always on-principe’ is momenteel sterk in opkomst. Bij deze aanpak worden niet alleen pagina’s beveiligd waarop bezoekers persoonlijke gegevens achterlaten, maar de hele website.

Zo tonen ook de homepagina en andere belangrijke landingspagina’s waar bezoekers binnenkomen de groene adresbalk en identiteitsgegevens van het EV-SSL-certificaat. Zo voorkom je dat data die vanaf de website worden verstuurd onderschept kunnen worden wanneer er geschakeld wordt tussen beveiligde en onbeveiligde pagina’s.

Bij Savvii raden we de always on-methode aan. Die optie kun je direct en gemakkelijk instellen vanuit ons control panel.

SSL-certificaten bij Savvii

Je kunt bij Savvii terecht voor zowel DV-SSL-certificaten van Let’s Encrypt en Comodo als EV-SSL-certificaten van Comodo. Op de SSL-pagina zijn de verschillende certificaten en prijzen te vinden. Het EV-certificaat is wat prijziger, maar biedt wel meer informatie over de domeineigenaar en is nog veiliger door het strengere verificatieproces.

We bieden ook uitgebreide handleidingen aan voor het aanvragen en implementeren van een SSL-certificaat.

Daarnaast hebben we bij Savvii de techniek en kennis in huis om ervoor te zorgen dat sites met een SSL-certificaat hun snelheid en gebruiksgemak behouden. Zo kun je na de oplevering van het certificaat meteen je hele website omzetten naar https via ons control panel.

Conclusie

Het hebben van een SSL-certificaat gaat gepaard met veel voordelen. Het is vandaag de dag absoluut noodzakelijk om klanten een veilige internetomgeving te bieden.

Een EV-SSL-certificaat is de meest uitgebreide en onderscheidende optie die vandaag de dag op de markt is. De zichtbaarheid van het certificaat schept vertrouwen bij de bezoeker. Dit extra stukje vertrouwen betaalt zich uiteindelijk vaak uit in de vorm van meer traffic en omzet.

Reageer