Tegenwoordig zijn vrijwel alle websites beveiligd met SSL. Toch krijgen wij bij 4BIS Innovations nog regelmatig klanten die geen beveiligde website hebben, herkenbaar aan het HTTPS-slotje. Dit is niet alleen onveilig, maar het heeft ook een negatieve invloed op de Google-ranking van je website. Maar wat zijn SSL en HTTPS eigenlijk, en hoe werken ze?
Antwoorden op je vragen
- Geen veilige serververbinding
- Deze site kan geen beveiligde verbinding leveren
- SSL-verbinding
- Fout met SSL-verbinding
- Wat is een SSL-certificaat?
Ik laat de technische details van encryptie achterwege om een lang wiskundig verhaal te vermijden, maar ik zal uitleggen hoe een SSL-certificaat werkt en hoe wij het inzetten om een veilig communicatiekanaal op te zetten.
Wat is SSL?
SSL staat voor Secure Socket Layer en is een uitbreiding op bestaande protocollen. Bijvoorbeeld, webverkeer kan verzonden worden via het HTTP-protocol, dat op zichzelf niet veilig is. Iedereen die HTTP-verkeer tussen een server en een browser kan onderscheppen, kan de inhoud van dat verkeer lezen. Dit is uiteraard ongewenst wanneer gevoelige informatie wordt uitgewisseld, zoals wanneer je de website van je bank bezoekt of een betaling doet in een webwinkel.
Daarom wordt SSL toegepast, als extra laag op het HTTP-verkeer. Het upgrade het HTTP-protocol naar HTTPS via SSL. De SSL-encryptie wordt opgezet door een extra laag toe te voegen waarover het onbeveiligde HTTP-verkeer geleid wordt. Door slim gebruik te maken van priemgetallen en wiskundige berekeningen, wordt het verkeer dat via de SSL-laag wordt verstuurd, onbruikbaar voor iedereen die het verkeer kan onderscheppen.
Identiteitsverificatie
Encryptie is niet het enige voordeel van SSL. Het stelt ons ook in staat om de identiteit van een server te controleren. Via SSL kunnen we vaststellen of de website die we zien ook daadwerkelijk de website van bijvoorbeeld de bank is. SSL-certificaten bestaan uit twee hoofdonderdelen: een private key en een public key. De private key wordt door jou gegenereerd en is niet meer dan een serie nummers en letters. Zoals de naam al aangeeft, wordt deze private key niet gedeeld met anderen. Niemand anders kan deze key zien.
Met deze private key maak je een CSR (Certificate Signing Request) en dien je deze in bij jouw CA (Certificate Authority).
Wat is een Certificate Authority (CA)?
Een CA is een organisatie die verantwoordelijk is voor het valideren van de identiteit van de eigenaar van een domein of webapplicatie. Daarnaast genereert de CA op basis van de CSR een publiek certificaat met haar eigen private/public keys. Deze keys worden vertrouwd door de Root Authority (RA). Web browsers en andere SSL-compatibele applicaties vertrouwen automatisch op Root Authorities. Elke web browser of SSL-compatibele applicatie heeft een lijst met de grootste Root Authorities en hun certificaten. Een certificaat dat is aangemaakt met behulp van een van deze vertrouwde certificaten, wordt automatisch geaccepteerd. Certificaten werken met een hiërarchie, die jouw certificaat verbindt met de certificaten boven je. Dit vormt een link van jouw private key naar een Root Authority. Een web browser volgt automatisch deze link om uiteindelijk bij een Root Authority te komen.
Wat is een SSL-certificaat?
Wat is een SSL-certificaat precies? Het is een certificaat dat veilige communicatie via het internet mogelijk maakt. Een SSL-certificaat zorgt voor het ‘HTTPS-slotje’ in je browser wanneer een website via een veilige verbinding wordt geopend.
AVG-waarschuwing! Als jouw website een contactformulier gebruikt, ben je verplicht om een veilige verbinding te hebben om contactgegevens uit te wisselen. Een SSL-certificaat is wat je nodig hebt! Voorkom de melding “je verbinding is niet privé” op jouw website.
De rol van de public key
Deze ondertekende key is jouw public key. Deze staat in verbinding met jouw private key, maar bevat deze niet. De public key wordt geïnstalleerd op de webserver en aan een bezoeker van de website of applicatie aangeboden ter verificatie van de identiteit van de server of applicatie. Het is vergelijkbaar met het tonen van jouw ID aan iemand die om verificatie van jouw identiteit vraagt. Een SSL-certificaat werkt op dezelfde manier; het bevat de bovenliggende certificeringsautoriteit en bevestigt jouw gegevens. Net als bij een ID weet de uitgevende instantie of een ID is uitgegeven door haar en geldig is. Dit geldt ook voor een SSL-certificaat.
Een groot voordeel van de private/public key-paren is dat ze aan elkaar gelinkt zijn. Wanneer je een website bezoekt, geeft de webserver jou de public key. Je kunt deze verifiëren aan de hand van de bovenliggende autoriteiten. De webserver versleutelt het verkeer op basis van de private key. Jij kunt het verkeer decrypten met behulp van de public key, en zo sluit de cirkel. Uiteindelijk is de public key gemaakt op basis van de private key, de CSR, en vervolgens goedgekeurd en geverifieerd door de certificate authority. Dit biedt bewijs van identiteit en een methode om vertrouwen op te bouwen. Dit is in simpele woorden hoe SSL-certificaten een rol spelen in de beveiliging van het internet en je kunnen verzekeren dat je verbonden bent met de juiste website.
Waarom SSL essentieel is
Zoals je kunt zien, is het in deze tijd bijna onmogelijk om zonder SSL-certificaat te opereren. Dit geldt vooral voor webshops waar je financiële data verstuurt, waarbij je niet zonder certificaat kunt werken. Daarom bieden wij bij 4BIS Innovations gratis een SSL-certificaat aan bij al onze webhostingpakketten. Wij zijn van mening dat al het internetverkeer veilig moet verlopen.