Met een SSL certificaat toon je de bezoekers van je website dat je gebruik maakt van een veilige verbinding tussen hun computer, laptop of smartphone en jouw webserver. Die betrouwbaarheid is belangrijk voor de reputatie van een website en daarom wordt zo’n SSL certificaat steeds belangrijker. In deze blog gaan we in op hoe dat werkt, maar ook hoe je voor een website zo’n SSL certificaat organiseert.
SSL is praktisch onmisbaar vandaag de dag, bij alle bedrijven in onze Top rankings is SSL standaard inbegrepen.
1. Wat is een SSL certificaat en hoe werkt het?
Een normale internetverbinding is niet veilig. De informatie wordt onversleuteld verstuurd en iedereen die ergens op de verbinding tussen de gebruiker en de webserver toegang heeft, kan de informatie aftappen. Om wél veilig op internet met je sitebezoekers te communiceren, zijn twee zaken nodig.
1.1 Encryptie: Veilige communicatie
Je moet op een beveiligde manier communiceren zodat anderen de communicatie – en met name gevoelige informatie als bijvoorbeeld creditcardgegevens – niet kunnen afluisteren. Hiervoor wordt encryptie gebruikt: Versleuteling van informatie zodat gebruiker en website met elkaar kunnen communiceren zonder dat tussenliggende partijen de informatie kunnen ontcijferen.
Vroeger werd een encryptiemethode gebruikt die Secure Socket Layer heette (vandaar de afkorting SSL). Tegenwoordig wordt de veel veiliger opvolger TLS (Transport Layer Security) gebruikt.
1.2 Authenticatie: Zeker weten dat je met de juiste website communiceert
Omdat de exact versleuteling aan het begin van de sessie wordt afgesproken tussen de browser en de server (de ‘handshake’), moet de bezoeker wel zeker weten dat hij met de juiste betrouwbare website is verbonden.
Je wordt er als internetgebruiker uiteraard niet beter van als je netjes een versleutelde verbinding gebruikt, maar aan de andere kant van de lijn blijkt niet de website te draaien die je verwacht, maar een kopie die door een hacker in elkaar is gezet. De identiteit van de website moet dus door iemand zijn gecheckt en bevestigd.
2. Het SSL certificaat
Voor beide stappen – encryptie en authenticatie – heb je als website eigenaar een SSL certificaat nodig dat op je webserver is geïnstalleerd. Dat certificaat fungeert als een soort paspoort van je website.
Het verstrekt informatie die nodig is voor de versleuteling, maar bovenal bevestigt het dat de identiteit van de eigenaar van de website is gecontroleerd door de Certificate Authority, de leverancier van het certificaat.
Technisch gezien kan men voor een website volstaan met een eigen certificaat. De verbinding is dan versleuteld, maar omdat de website niet door een officiële SSL Certificate Authority is gecheckt, wordt de verbinding in een browser getoond als onveilig.
Je hebt dus het certificaat van een officiële leverancier nodig om de bezoekers echt het vertrouwen te geven dat je betrouwbaar bent. Zo’n eigen ‘self signed’ SSL certificaat is als een paspoort dat jezelf hebt gemaakt.
3. Waarom is een officieel SSL certificaat zo belangrijk?
Een SSL certificaat is belangrijk voor je bezoekers omdat het hen garandeert dat je website veilig communiceert met de bezoekers. Maar er is ook nog een indirect belang. Een SSL certificaat is belangrijk voor je SEO. Sinds een jaar of twee gebruikt Google de aanwezigheid van een certificaat als een ranking factor.
Een SSL certificaat zorgt dat je website een betere positie in de zoekresultaten krijgt dan eenzelfde website met dezelfde content en reputatie maar zonder certificaat. Ongeacht of de website daadwerkelijk vertrouwelijke informatie verwerkt. Ook een eenvoudige blogsite scoort dus waarschijnlijk (iets)beter in Google dan z’n SSL-loze collega.
4. Soorten SSL certificaten (+gratis SSL certificaat!)
Via vrijwel alle hosting providers kan je eenvoudig zo’n SSL certificaat regelen. Afhankelijk van het type kan het certificaat vrijwel direct na bestelling geïnstalleerd worden op de server, of gaat er een aantal dagen overheen.
Er zijn namelijk verschillende soorten certificaten beschikbaar:
- Domeinvalidatie: Dit is het eenvoudigste – en daardoor goedkoopste – SSL certificaat. De Certificate Authority checkt in dit geval slechts de WhoIs gegevens van de domeinnaamhouder. Overigens is er nu ook een gratis SSL certificaat te krijgen via https://letsencrypt.org/. De certificaten zijn gesponsord door grote partijen als Mozilla, Google en Facebook in een poging om internet zo veilig mogelijk te maken.
- Organisatievalidatie: Hierbij worden niet alleen de website gegevens gecheckt maar ook de bedrijfsgegevens in het bedrijvenregister van de Kamer van Koophandel. De bedrijfsgegevens worden bovendien opgenomen in het certificaat en zijn dus zichtbaar voor de website bezoeker als hij het certificaat aanklikt.
- Extended Validation (EV): In dit geval worden de bedrijfsgegevens (Kamer van Koophandel uittreksel) grondig gecontroleerd en wordt ook de aanvrager opgebeld om de aanvraag te controleren. Als dit certificaat is verstrekt krijgt de bezoeker vaak een groene adresbalk in de browser te zien.
Bovenstaande indeling zegt dus met name iets over hoe streng de aanvraag wordt gecontroleerd en hoe betrouwbaar het bedrijf achter de website is.
5. Extra aandachtspunten bij aanschaf SSL certificaat
Naast het hiervoor beschreven SSL certificatie niveau zijn er nog wat andere zaken om op te letten bij aanschaf van een SSL certificaat:
- Vaak kun je via je hosting provider al een keuze maken uit leveranciers van SSL certificaten, maar soms heeft men maar één aanbod. Let op dat er meerdere aanbieders zijn en dat er dus echt iets te kiezen valt, ook qua prijs.
- Bij een certificaat hoort garantie. Dat houdt in dat als er fouten worden gemaakt door de SSL provider die jou bijvoorbeeld omzet kosten, dit is gedekt. Denk daarbij aan bedragen als 10.000 euro voor de eenvoudigste registraties tot 250.000 euro voor een Extended Validation. Maak voor jezelf de afweging. En daarbij gaat het niet alleen om omzetderving. Je kunt bijvoorbeeld ook grote boetes krijgen als je via een datalek de persoonsgegevens van je klanten openbaar maakt.
- Wildcard Heeft jouw website subdomeinen? Bijvoorbeeld blog.website.nl of shop.website.nl? Check in dat geval of je SSL certificaat wildcards ondersteunt om te voorkomen dat je voor ieder subdomein een apart certificaat nodig hebt.
- Hetzelfde geldt als je meerdere domeinen hebt. In dat geval is het handig om te zoeken naar een Multi-domein-certificaat.
6. Het SSL certificaat. Belangrijk voor een succesvolle website
Je ziet het. Zelfs als je geen gevoelige persoonlijke of andere gegevens uitwisselt, is het toch nuttig om een SSL certificaat te gebruiken. Het verhoogt het vertrouwen van de gebruikers in je site en zoekmachines als Google letten er steeds meer op bij het rangschikken van hun zoekresultaten.
Wil je laagdrempelig beginnen, dan zijn er bij veel hostingaanbieders goedkope aanbiedingen voor een zogeheten Domeinvalidatie. En interessant om een keer te bekijken is het gratis initiatief van Let’s Encrypt.