Secure Socket Layer (SSL) is een protocol dat door middel van cryptografie een veilige (versleutelde) verbinding kan verzorgen tussen twee computers. Hierbij wordt de authenticiteit van een server gewaarborgd, terwijl de cliënt onbekend kan blijven. De communicatie tussen uw website (de webserver) en de cliënt vindt versleuteld plaats. Indien u middels een beveiligde site bent verbonden staat er meestal een hangslot symbooltje in de statusbalk, ten teken dat u middels een beveiligde verbinding communiceert.
Waarom zou u SSL willen gebruiken?
Indien u bijvoorbeeld een product bestelt via een webwinkel wordt allerlei informatie over het internet verstuurd, zoals adresgegevens, creditcard informatie, enzovoort. Deze informatie zou met een onbeveiligde verbinding in principe te onderscheppen zijn. Indien u echter middels SSL communiceert, is de vertrouwelijkheid van deze gegevens gewaarborgd. De gegevens worden in versleutelde vorm verstuurd. Als SSL wordt gebruikt zal het “http://” gedeelte in “https://” vervangen worden in het URL invoerveld van uw browser. De “s” staat dan voor “Secure” (Secure HTTP). HTTPS bestaat uit twee delen:
- Eerst wordt een beveiligde verbinding gemaakt. Tussen de webbrowser en een server wordt middels een zogenaamde ‘handshake’ gekeken of de verbinding volgens een SSL certificaat verloopt.
- Daarna wordt de informatie van bijvoorbeeld webformulieren versleuteld in uw browser (op de PC van degene die uw site bezoekt dus). Deze gaat daarna versleuteld over de internet verbinding, waarna deze “ontsleuteld” wordt op de webserver. Dit geldt ook andersom, informatie van de webserver zal ook in versleutelde vorm verstuurd worden naar degene die uw site bezoekt
Indien iemand de gegevensstroom zou onderscheppen wordt de versleutelde informatie onderschept. Deze is zonder de sleutels die nodig zijn voor ver- en ontsleuteling onbruikbaar. De benodigde sleutelgegevens bevinden zich in een server certificaat, dat specifiek voor een bepaald domein en een uniek IP-adres wordt uitgegeven. Daardoor is het onmogelijk hetzelfde certificaat na te bootsen op een ander domein of op een ander IP-adres.
Hoe kom ik aan een SSL certificaat?
Een SSL certificaat kunt u alleen op aanvraag gebruiken op uw hostingpakket. Hier zijn extra kosten aan verbonden. In het prijsoverzicht vind u per SSL certificaat meer informatie, alsmede de kosten van de verschillende certificaten. Om een SSL certificaat aan te schaffen kunt u contact opnemen of een support ticket indienen. SSL certificaten worden apart gefactureerd en afgehandeld.
Owned IP adres en SSL toegang
U kunt de provider vragen of u een SSL certificaat mag gebruiken. Dit is niet gratis, de provider moet in zo’n geval een zogenaamd ‘owned’ IP adres regelen, een IP adres waarop enkel en alleen uw domein te bereiken is. Dit is een vereiste voor het werken met SSL certificaten. Ook moet de SSL mogelijkheid op uw hostingpakket ingeschakeld worden, zodat u het SSL certificaat kunt aanvragen en installeren.
De Certificate Authority (CA)
Vervolgens moet een SSL certificaat aangevraagd worden bij een vertrouwde uitgever. Bekende uitgevers van SSL certificaten zijn bijvoorbeeld VeriSign en GeoTrust. Er zijn tientallen aanbieders (CA‘s, Certificate Authorities) van SSL certificaten. De CA waarborgt dat de publieke sleutel toebehoort aan de persoon, organisatie of server die in het certificaat vermeld wordt. De taak van de CA is om de identiteit van de aanvrager te controleren zodat gebruikers (de partijen die op de CA vertrouwen) zekerheid hebben dat er gecommuniceerd wordt met uw website / server.
Certificaten worden met een beperkte levensduur uitgegeven, en moeten na verloop van enige tijd verlengd worden. Van het statische ‘eigen’ IP adres tot het aanvragen van een SSL certificaat. U kunt echter ook zelf een SSL certificaat regelen bij een vertrouwde uitgever. De prijzen variëren enorm, van € 50,- tot € 1.000,- of meer per jaar.
Veiligheidsniveaus
Er zijn verschillende opties als u een SSL certificaat aanvraagt. Dit verklaart ook de prijsverschillen. Een EV certificaat (Extended Validation) is een duurder type certificaat. Wie zijn bezoekers meer zekerheid wil geven, kan voor dit certificaattype kiezen. Hiervoor worden bij de aanvraag ook daadwerkelijk de bedrijfsgegevens geverifieerd. Deze extra stap zorgt ervoor dat een groot aantal browsers een groene adresbalk weergeeft, waarmee wordt aangegeven dat het om een ‘100% vertrouwde’ website gaat. Dit type certificaat is aan te raden wanneer u bijvoorbeeld een grote online winkel wilt beveiligen.
Goedkopere certificaten worden bij aanvraag alleen tegen het whois-record gecontroleerd: als de aanvrager gelijk is aan de gegevens in de whois, dan is het goed en wordt het certificaat uitgegeven. Verder zijn er verschillende sleutelgroottes (128 bits, 256 bits of nog hoger).
Belangrijke aandachtspunten
U dient ook rekening te houden met hoofd- en subdomeinen, subdomeinen worden namelijk als apart domein gezien. Een certificaat voor uwdomein.nl zal niet zondermeer werken voor webshop.uwdomein.nl. Normaliter beschermt een SSL certificaat één specifiek domein of subdomein. U zou verschillende certificaten voor de door u benodigde domeinen / subdomeinen aan kunnen vragen, maar dat zal mogelijk een kostbare aangelegenheid zijn. Er bestaan ook zogenaamde wildcard certificaten. Deze beveiligen dan het hoofddomein en alle subdomeinen. De subdomeinen dienen daarbij wel op dezelfde server te draaien. En de wildcard geldt alleen voor één level. Dat wil zeggen dat webshop.uwdomein.nl en forum.uwdomein.nl door het SSL certificaat beschermd worden, maar support.forum.uwdomein.nl niet.
De aanvraag (CSR)
CSR staat voor Certificate Signing Request (CSR), deze heeft u veelal nodig om het SSL certificaat bij een CA (Certificate Authority) aan te vragen. Deze CSR kunt u in het Control Panel zelf laten genereren.
U ziet nu een vervolgscherm waarin u de gegevens in kunt vullen die voor de SSL aanvraag benodigd zijn. Het is raadzaam om te informeren bij de CA (Certificate Authority) welke gegevens benodigd zijn om de aanvraag in te dienen. De aanvraag zelf wordt gecodeerd in een lange rij letters en cijfers, dit regelt het Control Panel voor u. U vult eerst uw gegevens in:
U kiest voor de optie “Vraag een certificaat aan”. Er wordt dan op basis van de ingevulde gegevens een CSR gegenereerd. Bij “Naam’ vult u de domeinnaam in waar het SSL certificaat voor wordt gemaakt. Dit kan mét of zonder de www zijn. Vraagt u het certificaat aan mét www, dan zal deze niet gelden voor de domeinnaam zonder www en andersom. Indien u een wildcard certificaat aanvraagt vult u *.uwdomein.nl in.
Klik nu op “Opslaan” onder in het scherm.
De bovenstaande CSR code kunt u bij de aanvraag van het SSL certificaat meegeven. Ten overvloede: de aanvraag van het SSL certificaat doet u bij de CA (de Certificate Authority), zie voor meer informatie de website van de authoriteit waar u het certificaat koopt. Kies bij deze certificate authority op de aanvraagpagina voor “Apache-ModSLL” indien daar om gevraagd wordt, of “Other” als u geen Apache-ModSSL in de lijst ziet staan. U hoeft zich geen zorgen te maken als u een vergissing maakt, de informatie wordt alleen voor statistische informatie gebruikt.
Installeren van het SSL certificaat
U kunt via het Control Panel klikken op “SSL certificaten”, onder “Geavanceerd”. Plak in het tekstveld de SSL certificaatcode, direct onder de Private Key (de Private Key is al voor u ingevuld). Plak de code hier direct onder, zonder witruimte:
Voor sommige certificaten moet er nog een zogenaamd CA Root certificaat toegevoegd worden. Deze ontvangt u van de instantie waar het SSL certificaat is aangevraagd. Deze kunt u installeren door andermaal naar SSL certificaten te navigeren in het Control Panel, en daarna te kiezen voor installeren van het Root Certificate:
Een eigen SSL certificaat
U kunt ook zélf het SSL certificaat ondertekenen. Dat wil zeggen dat u zelf borg staat voor de identiteit van uw website. Daarmee kunt u in elk geval de versleutelde toegang regelen, maar het SSL certificaat is dan niet door een derde partij gecontroleerd en gewaarborgd. Voor een zelfgetekend SSL certificaat kiest u de linker optie, “Maak een eigen certificaat aan”:
Klikt u nu op “Opslaan”, dan is het zelf ondertekende SSL certificaat direct actief. Het betreft nu een zogenaamd “Non-Trusted” certificaat. De encryptie en veiligheid is hetzelfde als een door de CA (Certificate Authority) uitgegeven SSL certificaat, echter uw identiteit is niet door een derde partij gecontroleerd en gewaarborgd. Om die reden krijgen bezoekers van uw beveiligde verbinding eerst een veiligheidswaarschuwing van de browser. Die ziet er in de verschillende browsers anders uit, maar Internet Explorer 8 toont onderstaande informatie:
Uw bezoekers kunnen nu “Continue to this website (not recommended)” kiezen, waardoor ze via het zelf ondertekende SSL certificaat een beveiligde verbinding hebben. De browser toont boven in het scherm bij de URL ook nog prominent dat er geen “Trusted SSL” gebruikt wordt.