SSL veiligheid

SSL: wat is het en waarom hebben we het nodig?

Tommy Kolkman

Je bent gewaarschuwd!

Een gewaarschuwd mens telt voor twee, en met alle recente aandacht voor veilig shoppen op het web, onder andere door de campagne van veiligbankieren.nl, is de huidige internetgebruiker er zeker van op de hoogte dat hem of haar bij het shoppen op het web een goede veiligheid geboden moet worden. Als webmaster of houder van een webwinkel is het dus belangrijk deze veilige omgeving te bieden.

Hier komt het SSL-certificaat om de hoek kijken, ook wel het “slotje” in de browser dat ervoor zorgt dat data versleuteld wordt verzonden zodat het niet kan worden onderschept. En wanneer dat wel gebeurt, zal het eerst nog moeten worden ontrafeld.

Maar wat is precies een SSL-certificaat?

Een SSL-certificaat is in essentie een combinatie van twee sleutels die gedeeld worden door de server en de verstrekker van het certificaat. Als houder van een website koop je een certificaat, waarna je geverifieerd moet worden door het bedrijf dat de certificaten uitgeeft (bekende bedrijven zijn bijvoorbeeld Verisign, Globalsign en Symantec).

Als dat proces voltooid is, wordt er op je server een certificaat geïnstalleerd. Alle data die vervolgens wordt opgevraagd en getoond, gaat versleuteld heen en weer (zie grafiek hieronder). Matchen deze zogenoemde ‘ciphers’ niet, dan is het geen valide ‘https’-aanvraag en dan is de request niet veilig.

Hoe werkt SSL?

Hoe wordt de data versleuteld verstuurd? (Bron: Secure Sockets Layer – Wikipedia)

Je kunt je voorstellen dat je data als betaalgegevens wel zo wil (en eigenlijk moét) versturen, anders komt het erop neer dat je iemand kunt laten meekijken bij het betalen. Zie het SSL-certificaat als de hand die je tijdens het pinnen voor de toetsen houdt.

Veilig, veiliger, veiligst

Uiteraard is het logisch dat een bank iets heftiger onder de loep genomen dient te worden dan de webwinkel van de lokale bakker. Daarom zijn er ook verschillende niveaus van SSL-certificaten verkrijgbaar. Deze levels zijn als volgt te definiëren: domeinnaam gevalideerd (DV), organisatie gevalideerd (OV) en extended gevalideerd (EV).

Bij DV kijkt men alleen of je daadwerkelijk het domein bezit. Bij OV kijkt men al wat meer naar je organisatie; bent jij echt de persoon achter het domein, heb je een KvK-nummer? Dit is het level dat wij bij Elephant adviseren, helemaal wanneer je een webwinkel bezit; je geeft je klanten een eerlijk beeld van jou als winkelier en geeft hen tevens de maximale veiligheid. Bedrijven die een EV-certificaat nodig hebben zijn bijvoorbeeld banken en andere financiële instellingen.

Een andere invalshoek – iets meer privacy!

Tijdens ons bezoek aan WordCamp Europe in Sevilla bezochten we de talk van Anders Jensen-Urstad en Amelia Andersdotter van het Europees Parlement, die over ‘privacy friendly websites’ ging. Zij verplichtten het gebruik van SSL min of meer, omdat zonder SSL allerlei derde partijen gegevens van de gebruiker verzamelen, ook al heeft hij of zij dat niet door.

Een klein voorbeeld. Denk je weleens: “Hoe weet Facebook dat ik zojuist een blog over voetbal heb bezocht? Terwijl dat blog niet eens een shop is en ik nergens op heb geklikt?”

Neem dat voetbalblog maar eens door. Zie je toevallig die ‘like’ of ‘share’ button van Facebook? Deze button is niet zo onschuldig als hij lijkt, want als je bent ingelogd op Facebook (wat vrijwel altijd het geval is), geeft deze button gewoon door waar u bent – de zogenoemde referral data. Facebook is overigens niet de enige; Google, Twitter, Pinterest… Allen hebben belang bij de referral data van de eindgebruiker.

Deze blog geeft referral data door aan derde partijen. (Elephant).

Deze blog geeft referral data door aan derde partijen. (Bron: Elephant)

SSL voorkomt dit. Heb je dus content waar je zelf als gebruiker niet van wilt dat dit wordt doorgegeven als je het leest, overweeg dan een SSL-certificaat. Ook het minimaliseren van buttons van derde partijen is hierbij wellicht netjes.

De toekomst van SSL

Om het bewustzijn van SSL-gebruik te verhogen, probeert de webdevelopment wereld allerlei manieren te vinden om de drempels voor het gebruik ervan weg te nemen. Binnenkort wordt bijvoorbeeld het project Let’s Encrypt gelanceerd: een initiatief waarbij gratis SSL-certificaten worden aangeboden op het niveau van domeinvalidatie. Normale webcontent zou dus altijd secure moeten worden kunnen opgeleverd.

Ook Google heeft openlijk aangegeven in haar ranking waarde te schenken aan websites met SSL-certificaten. De gedachtegang hierachter is natuurlijk goed; een veiligere site geeft minder risico voor de gebruiker en verdient dus een hogere waarde. We denken bij Elephant echter wel dat de Google ranking niet het eerste uitgangspunt moet zijn voor het nemen van een SSL-certificaat.

Uw site veiliger?

Elke situatie is natuurlijk anders. Bij Elephant kunnen we je verder helpen om je site veiliger en vertrouwder te maken, zij het bij potentiële klanten voor je webwinkel als wel voor je normale gebruiker, die je de privacy gunt terwijl hij of zij op  je website surft. Kom gerust eens langs voor een vrijblijvend gesprek.