- Door
- Stefanie Weber (Networking4all)
- geplaatst op
- 23 augustus 2016 08:00 uur
Deze zomer gaat Networking4all even terug naar de basis: een lekkere frisse informatie-snack om het hoofd mee koel te houden, en uw data superveilig. Deze blog geeft een antwoord op een vraag die mensen vaak stellen als ze voor het eerst te maken krijgen met internetveiligheid: dat SSL, hoe zit dat nou? En welke moet ik kiezen?
SSL voor iedereen
Steeds meer mensen raken bekend met de term SSL. We weten het groene slotje goed te vinden, letten op de HTTPS in de adresbalk wanneer we aankopen doen bij een webshop of wanneer we inloggen bij onze bank, en sluiten een website wanneer we deze niet vertrouwen ook resoluut af. Maar er zit nog een groot gapend gat tussen begrijpen wat SSL is als klant, en het toepassen van SSL als websitebeheerder of webshop eigenaar. Dit komt doordat mensen vaak niet weten hoe het werkt, laat staan welk product uit de omvangrijke lijst SSL producten ze moeten kiezen.
Wanneer u een website begint, koopt u een domeinnaam en een hostingpakket, creëert u content, en zet dit online. Standaard wordt uw website verwerkt met het HTTP-protocol. Dit is echter niet beveiligd. Om er dus voor te zorgen dat uw gegevens en die van uw bezoekers veilig zijn, moet u er dus zelf voor zorgen dat uw website beveiligd wordt. Hiervoor biedt SSL uitkomst.
SSL staat voor Secure Sockets Layer en is een internetprotocol dat versleuteling garandeert van gegevens die tussen de server en de gebruiker worden verstuurd. Hierdoor kunnen gegevens niet afgeluisterd worden door derde partijen. Tegenwoordig wordt de opvolger van SSL, TLS, gebruikt. Dit protocol wordt geactiveerd door toepassing van een SSL certificaat, dat als het ware functioneert als de sleutelbos van het HTTPS-slot en bestaat uit publieke en private sleutels. Met die sleutels kunnen de versleutelde gegevens van de server afgeleverd en ontsleuteld worden voor de gebruiker, en andersom. Iemand die geen toegang heeft tot het certificaat, en dus die sleutel, kan niet bij de gegevens.
Een Trusted SSL certificaat wordt afgegeven door een Certificate Authority zoals GlobalSign en Symantec. Een CA wordt gezien als de vertrouwde derde partij in het uitgifteschema: er wordt van uitgegaan dat een certificaat met een handtekening van een CA goed is uitgegeven en te vertrouwen is. De CA controleert de identiteit van de eigenaar van de website en geeft de website een stempel van goedkeuring mee in de browser. Zo weet de bezoeker van een website of de eigenaren van die website echt zijn wie ze zijn, en niet een hacker die zich voordoet als uw bank of uw favoriete webshop.
Het SSL certificaat is gebaseerd op het SSL protocol en is op de achtergrond dus altijd hetzelfde. Er zijn echter verschillende soorten stempels die de CA mee kan geven waardoor de klant makkelijker kan zien óf er een certificaat aanwezig is op de website, en aan wie die is uitgegeven. Deze stempels hangen vast aan hoe streng de controle van de bedrijfsgegevens of persoonsgegevens is geweest alvorens het certificaat werd uitgegeven.
Domain Validated Certificate
Het eerste niveau van controle is Domain Validated, oftewel het DV certificaat. Het DV certificaat is het goedkoopste certificaat en heeft als enige vereiste voor uitgave dat de aanvrager aantoont dat hij of zij daadwerkelijk de eigenaar is van het domein. Dit kan op meerdere manieren gedaan worden:
- De eigenaar reageert op een standaard mailtje dat verstuurd wordt naar het e-mailadres in de WHOIS gegevens
- De eigenaar reageert op een standaard mailtje dat verstuurd wordt naar een standaard administratief e-mailadres zoals [email protected] of [email protected]
- De eigenaar plaatst een vooraf bepaald TXT record in de DNS
- De eigenaar plaatst een bestandje op de website dat uitgelezen kan worden door de CA.
De daadwerkelijke methode hangt af van de CA die het certificaat uitgeeft.
Een DV certificaat kan gezien worden als het instapniveau van SSL certificaten. De beste toepassing is voor communicatie tussen systemen waar geen klant of persoon aan te pas hoeft te komen. Omdat het in de meeste browsers geen verdere informatie geeft over de eigenaar van het domein, is het voor webshops of websites met klanten eigenlijk niet goed geschikt. Een klant weet namelijk niet of de partij die achter de website zit daadwerkelijk de partij is die ze zeggen te zijn: de klant weet alleen dat de eigenaar van de website heeft geverifieerd dat ze controle hebben over het domein. Een DV certificaat zou bijvoorbeeld wel voldoende zijn voor een website waarop slechts gegevens worden geplaatst en geen gegevens worden uitgewisseld met de bezoekers, zoals een statische pagina met wat tekst en foto’s, of een simpele privéwebsite.
Wanneer de bezoeker van een website gegevens zou kunnen gaan uitwisselen met een website, bijvoorbeeld al door middel van een contactformulier of doordat ze hun e-mailadres achter kunnen laten voor een mailinglist, biedt een DV eigenlijk niet voldoende veiligheidsgarantie voor de klanten en moet er gekeken worden naar een certificaat met betere controle door de CA. Ten slotte wil je als klant wel zeker weten met wie je zaken doet.
Organization Validated Certificate
Het volgende niveau is het Organization Validated certificaat, oftewel het OV certificaat. Zoals de naam al doet vermoeden wordt er in dit geval voor uitgave gecontroleerd of het bedrijf dat het certificaat aanvraagt als dusdanig bekend is bij een overheidsbron, zoals het register van de Kamer van Koophandel. Validatie voor OV certificaten gebeurt telefonisch. Een medewerker van de CA belt hiervoor het bedrijf op met de gegevens zoals die in het register van de Kamer van Koophandel staan om te verifiëren dat dit bedrijf daadwerkelijk de aanvraag voor een certificaat heeft gedaan.
Een belangrijk element van deze controle is dat er niet wordt gekeken naar hoe lang het bedrijf al bestaat voor de aanvraag. Dit betekent dat nieuwe bedrijven hun website, en daarmee hun klanten, veiligheid kunnen garanderen en hun gegevens kunnen beschermen met een SSL certificaat.
Op het oog is er geen verschil tussen het OV en het DV certificaat. Het CAB-forum erkent dan ook geen officieel verschil tussen de twee. Dat verschil wordt pas duidelijk wanneer de gebruiker op het slotje klikt voor meer informatie. De browser toont dan een scherm dat bedrijfsgegevens weergeeft. Het OV certificaat kost door de validatie wel meer dan een DV certificaat, maar biedt daarentegen wel meer garantie aan klanten dat de partij met wie ze gegevens uitwisselen ook is wie ze zeggen te zijn.
Extended Validated Certificate
Het derde en hoogste niveau van validatie is het Extended Validated certificaat. Dit is het boegbeeld van de SSL certificaten, en met een reden: het EV certificaat toont in de adresbalk de bedrijfsnaam van de partij achter de website, en geeft uitgebreid informatie wanneer de gebruiker verder klikt. Deze herkenbare vorm van beveiliging is in de afgelopen jaren ook veel aangehaald door onder andere de overheid in reclamecampagnes en geniet dus behoorlijk wat bekendheid onder de Nederlandse bevolking. Het EV certificaat is daarom het meest aanbevolen voor webshops en websites die te maken hebben met klantgegevens.
Maar het EV certificaat komt met wat restricties: zo is het standaard alleen beschikbaar voor bedrijven die minstens 3 jaar ingeschreven staan in een openbaar overheidsregister zoals het handelsregister van de Kamer van Koophandel. Bestaat een bedrijf korter dan die 3 jaar, dan is er ook een vermelding in een ander, onafhankelijk, zakelijk register nodig. Mocht die registratie niet bestaan, dan is er nog een laatste mogelijkheid waarbij het bedrijf een geregistreerde accountant of advocaat inschakelt. Deze kan vervolgens een officiële bevestiging aanvragen bij de bank van het bedrijf dat het bedrijf een lopende, actieve bankrekening heeft bij dit instituut. Nadat deze is opgestuurd naar de CA moet dit gecontroleerd worden bij de accountant ter bevestiging en pas als al deze stappen zijn doorlopen en goedgekeurd, kan de CA verder met de daadwerkelijke checks.
Het EV certificaat is deze zorgen wel waard. Een bedrijf dat omgaat met de persoonsgegevens van klanten moet zich goed kunnen identificeren aan die klanten. Maar het schept ook vertrouwen: de groene balk toont duidelijk aan met welk bedrijf er gecommuniceerd wordt, het toont aan dat een bedrijf goed is gecontroleerd door een externe partij voor het certificaat mocht worden uitgegeven, maar ook dat een bedrijf hun veiligheid serieus neemt.
Conclusie
Kortom: voor communicatie tussen systemen of simpele websites is een DV certificaat genoeg. Wanneer u echter een website beheert die communiceert met klanten, is een DV certificaat niet voldoende. Ga dan voor de maximale validatie en straal vertrouwen uit met een EV certificaat.
Bent u alsnog niet zeker van uw keuze? Dan kunt u altijd even bellen met onze Sales-afdeling. Zij kunnen u verder helpen met het kiezen van het beste SSL certificaat voor uw website of websites.
Geschreven door Stefanie Weber (Networking4all)
Dit ingezonden artikel is geschreven door Stefanie Weber van Networking4all.
Lees ook de onderstaande artikelen van Networking4all
Stuur ook uw blog, achtergrond artikel of andere bijdrage in!
Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via [email protected] of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.