Internet security: veilige websites met SSL en HTTPS
Gegevensspionage en gegevensmisbruik zijn serieuze problemen, zowel voor internationale instanties als voor privé-consumenten. Internet security wordt daarom voor bedrijven een steeds belangrijker thema. Niet alleen privé zijn we online steeds actiever, ook bedrijven zijn meer en meer bezig met digitalisering. Om ervoor te zorgen dat interne bedrijfscommunicatie, klantgegevens en andere gevoelige informatie veilig kunnen worden verstuurd en beheerd, behoren SSL en HTTPS tegenwoordig tot de veiligheidsstandaards. Maar wat betekenen deze afkortingen precies en hoe kun je je website omzetten naar de veiligheidsprotocols HTTPS en SSL?
Tip: met een hostingpakket van STRATO is een SSL-certificaat blijvend inbegrepen!
Het begrip SSL (afkorting van ‘Secure Socket Layer’) houdt een techniek in die wordt gebruikt voor het versleutelen en authenticeren van het dataverkeer op internet. Bij websites wordt daarmee de overdracht tussen browser en webserver beveiligd. Vooral in de e-commerce, waar vertrouwelijke en gevoelige gegevens worden overgedragen, is het gebruik van een SSL-certificaat of de doorontwikkelde variant TLS (‘Transport Layer Security’) absoluut noodzakelijk.
Gevoelige gegevens die worden beschermd met SSL-versleuteling zijn bijvoorbeeld:
Registratiegegevens: naam, adres, e-mailadres en telefoonnummer
Logingegevens: e-mailadres en wachtwoord
Betalingsgegevens: creditcardnummer en bankgegevens
Invulformulieren
Door klanten geüploade documenten
Met SSL als beveiliging kan de communicatie niet worden meegelezen of gemanipuleerd en kunnen persoonlijke gegevens niet in verkeerde handen vallen.
Wat is HTTPS?
HTTPS (‘Hypertext Transport Protocol Secure’) is het protocol dat wordt gebruikt voor het veilig versturen van gegevens. HTTP is de niet-beveiligde variant. Op HTTP-websites kunnen in theorie alle verstuurde gegevens worden meegelezen of veranderd door aanvallers. Bovendien is de gebruiker niet zeker of diens creditcardgegevens wel echt worden doorgegeven aan de webshop of toch eerder aan een hacker. HTTPS of SSL versleutelt de HTTP-gegevens en garandeert de authenticiteit van de aanvragen door middel van het SSL-certificaat of het doorontwikkelde TLS-certificaat. Experts adviseren tegenwoordig uitsluitend het gebruik van TLS – wanneer er wordt gesproken over SSL, wordt in de meeste gevallen tegenwoordig dan ook TLS bedoeld.
Voordelen bij het gebruik van SSL/TLS en HTTPS
Gegevensbescherming en veiligheid voor klanten en partners
Verkleining van het risico op gegevensdiefstal en gegevensmisbruik
Positieve rankingfactor voor Google
Maakt het gebruik van HTTP/2 mogelijk, waardoor de website-performance wordt verbeterd
Het certificaat is voor gebruikers goed herkenbaar en wekt vertrouwen
Tip: het groene SSL-slotje naast de URL duidt een veilige verbinding van je website aan en vergroot het vertrouwen van je bezoekers.
Website omzetten naar SSL en HTTPS
Nieuwe websites kunnen van begin af aan worden uitgerust met een SSL-versleuteling. Ook voor reeds bestaande websites is het omzetten naar HTTPS niet al te veel werk. De eerste stap: het SSL-certificaat aanvragen voor het desbetreffende domein.
Het SSL-certificaat is een soort identiteitsbewijs van een website. De certificaatautoriteit (CA) waar het certificaat wordt aangevraagd, heeft de identiteit vooraf gecontroleerd en staat borg voor de juistheid van de informatie. Een SSL-certificaat wordt op de server geïnstalleerd en telkens opgeroepen wanneer een bezoeker een website met HTTPS bezoekt. Er bestaan diverse soorten certificaten die verschillen wat betreft validatiemethode.
Certificaten met domeinvalidatie (DV):
Dit zijn certificaten met de laagste authenticatiegraad. De CA controleert alleen of de aanvrager ook de eigenaar is van het domein waarvoor een certificaat is aangevraagd. Bedrijfsinformatie wordt niet gecontroleerd waardoor er bij domeinvalidatie kans op fraude blijft bestaan. Door de beperkte authenticatie wordt het certificaat wel snel uitgegeven door de CA en is het bovendien het goedkoopste van de drie SSL-certificaten.
Certificaten met domeinvalidatie zijn geschikt voor websites waarbij het vertrouwen en de geloofwaardigheid een ondergeschikte rol spelen en waar er geen sprake is van risico op phishing of fraude.
Certificaten met organisatievalidatie (OV):
Dit soort validatie is uitgebreider en daardoor ook veiliger dan domeinvalidatie. Naast het eigendom van het domein controleert de CA ook relevante bedrijfsgegevens, zoals bijvoorbeeld de inschrijving in het handelsregister. De door de CA gecontroleerde informatie kan worden ingezien door websitebezoekers wat het vertrouwen in de website en het bedrijf versterkt. Als gevolg van de intensievere controles is het SSL-certificaat met organisatievalidatie duurder dan het certificaat met domeinvalidatie, maar daarvoor biedt het ook meer veiligheid.
Dit certificaat is geschikt voor websites waarop transacties plaatsvinden met niet-gevoelige gegevens.
Certificaten met uitgebreide validatie (EV):
Dit is het certificaat met de hoogste en uitgebreidste authenticatiegraad. Vergeleken met het certificaat met organisatievalidatie worden bedrijfsgegevens nog gedetailleerder gecontroleerd op strenge uitgiftecriteria. Bovendien wordt dit certificaat alleen uitgegeven door daartoe geautoriseerde CA’s. De uitgebreide controle van het bedrijf garandeert de hoogste veiligheidsgraad en vergroot zodoende het vertrouwen in de website en de geloofwaardigheid ervan. Aan het certificaat met uitgebreide validatie (Extended Validation) zijn de hoogste kosten verbonden. Dit certificaat is geschikt voor websites die bijvoorbeeld creditcardgegevens of andere gevoelige data verzamelen.
De volgende stap is de installatie van het SSL-certificaat op de server. Dit wordt door veel hostingproviders verzorgd. In het klantengedeelte van de website kan het certificaat meestal direct worden aangevraagd, en de provider voert de gegevens dan in. Als klant van STRATO kun je in de klantenlogin het bestaande webhostingpakket eenvoudig uitbreiden met het SSL-certificaat. De meeste pakketten zijn tegenwoordig al inclusief het certificaat. De installatie verschilt echter per provider. Doorgaans stellen providers of aanbieders van het certificaat de desbetreffende installatiehandleiding beschikbaar. Voor een technisch correcte installatie zijn de volgende zaken essentieel:
Correcte certificaten
De juiste versleuteling
Een geschikte serverconfiguratie
Sommige fouten moeten bij het omzetten worden vermeden om te voorkomen dat je website in de ranking daalt of dat je te kampen krijgt met onbereikbare sites.
Websitebeheerders die hun website willen omzetten naar SSL en HTTPS moeten:
Verlopen certificaten voorkomen: een ongeldig of verlopen SSL-certificaat leidt tot een waarschuwing in het browservenster waardoor gebruikers het vertrouwen in de website juist kwijtraken.
Een correcte redirect maken: om zogenaamde duplicate content te vermijden, moet de webmaster een 301-redirect maken. Zo voorkom je dat de zoekmachine de HTTP-site en de HTTPS-site beschouwt als twee verschillende internetsites en verwacht dat ze verschillende content bevatten.
Advertentieaccounts aanpassen (Google Ads, Bing Ads, enz.): wanneer je in een HTTPS-website onversleutelde content (afbeeldingen, scripts, enz.) insluit, wordt er een waarschuwing getoond bij het openen van de site waardoor de gebruiker gaat twijfelen aan de betrouwbaarheid. Dit is vooral een probleem bij advertenties, omdat reclame nog overwegend onversleuteld wordt verstuurd. De advertentieaccounts moeten dus absoluut worden aangepast.
Webmaster Tools & Google Analytics omzetten: theoretisch zijn de HTTP- en de HTTPS-websites twee verschillende websites. De HTTPS-variant moet daarom na het omzetten worden geregistreerd in de Webmaster Tools.
XML-sitemap updaten: ook de sitemap moet worden geüpdatet en worden opgeslagen in de Webmaster Tools.
Externe en interne links controleren: ook al verhinderen 301-redirects foutieve links, na het omzetten naar het HTTPS-protocol moeten alle interne links worden veranderd. Afhankelijk van hoe de content in het CMS is opgeslagen, kan het zijn dat dit handmatig moet worden uitgevoerd. Bij externe links moet je proberen om de belangrijkste links (bijv. van de belangrijkste websites) te laten veranderen in het HTTPS-adres.
Hoe kun je zien of een website een geldig SSL-certificaat heeft?
Websites met een geldig SSL-certificaat kun je herkennen aan de URL:
https://www.voorbeeld.nl
De ‘s’ in het HTTP-protocol van de URL staat voor ‘secure’ en toont dat deze website is versleuteld met een SSL-certificaat. Afhankelijk van het soort certificaat en de gebruikte webbrowser zijn versleutelde verbindingen ook visueel te herkennen.
Met deze gratis SSL-check kun je met één klik controleren of je huidige SSL-certificaat correct is geïnstalleerd en of je website is beveiligd tegen aanvallen.
Met SSL meer vertrouwen door veilige bedrijfswebsites
Naast de bovengenoemde voordelen is een belangrijke reden voor een veilige website dat een SSL-versleuteling ook het vertrouwen vergroot van gebruikers in de bedrijfswebsite en zodoende in het bedrijf zelf.
Het belang van online vertrouwen (webtrust) en de stijgende verwachting die gebruikers hebben van de veiligheid op internet is niet te onderschatten. Onderstaande drie adviezen zijn goed om op te volgen, zodat je tegemoet kunt komen aan de groeiende verwachting wat betreft de veiligheid van een website:
Veiligheidskeurmerken integreren in de website. Keurmerken voor beveiliging zijn tegenwoordig een gangbare indicator voor de betrouwbaarheid van een website. De verschillende keurmerken garanderen bijvoorbeeld gegevensbeveiliging, veilig betalingsverkeer of dat de website vrij is van malware.
Een SSL-certificaat met een hoge veiligheidsgraad installeren. Certificaten met een hoge veiligheidsgraad tonen direct in de browser een visuele verwijzing naar de veilige versleuteling en vergroten zo het vertrouwen van de gebruikers.
“Always on SSL”. Het SSL-certificaat moet geïntegreerd zijn op alle subpagina’s van een domein, niet alleen op de loginpagina of het winkelmandje. Zo wordt de gebruiker van het begin tot het einde van het bezoek optimaal beschermd.
HTTPS en SEO
In de afgelopen jaren is vaak gediscussieerd over de vraag of het omzetten van een website naar HTTPS een positieve invloed heeft op de zoekmachineranking. In 2014 kondigde Google aan de veilige verbinding via HTTPS te beschouwen als positief signaal bij de ranking. Google wil volgens eigen zeggen het internet veiliger maken en websitebeheerders ertoe zetten om hun sites allemaal te versleutelen. Volgens officiële bronnen krijgen websites zonder versleuteling in de Chrome-browser in de toekomst een rode “X”. Tot nu toe werden HTTP-websites in de browser standaard wit afgebeeld en HTTPS-websites met een groen hangslotje. HTTPS moet echter voor alle websites gestandaardiseerd worden.
Afgezien van de plannen van Google geven HTTPS-websites nu al het signaal af van kwaliteit en betrouwbaarheid. Internetgebruikers worden zich steeds bewuster van gegevensbeveiliging en ook leken kunnen gemakkelijk herkennen of een site is gekenmerkt als veilig of niet.
Veilige website maken? Met een hostingpakket van STRATO is een SSL-certificaat blijvend inbegrepen en met één klik geïnstalleerd.
