Wat is een SSL certificaat

Veiligheid en vertrouwen zijn de twee belangrijkste redenen om je website te beveiligen met een SSL certificaat.

Sinds 2015 is daar nog een derde bij gekomen: je Google ranking. Google geeft https-websites voorrang in de zoekresultaten.

Maar wat is SSL? Het groene slotje uitgelegd.

Wat is een SSL certificaat

SSL betekent Secure Sockets Layer. Met SSL wordt er een beveiligde laag geplaatst tussen een webserver en de internetbrowser.

Wat doet een SSL certificaat

Met een SSL certificaat zorg je ervoor dat gegevens die met de site worden uitgewisseld, versleuteld zijn. Ze kunnen tijdens de uitwisseling niet onderschept worden.

Het SSL certificaat zorgt dus voor een beveiligde verbinding. Dat is belangrijk voor alle gegevens die je via formulieren invoert, bijvoorbeeld inloggegevens, betalingsgegevens of persoonsgegevens.

Een SSL-beveiligde website herkennen

Een SSL-beveiligde website heeft de volgende kenmerken:

• De URL begint met https
• Er staat een slotje in de adresbalk van je browser
• Soms is de hele adresbalk groen en is de naam van het bedrijf zichtbaar in de adresbalk (bij specifieke SSL-certifcaten)
• Bij klikken op het slotje kun je soms extra informatie vinden over de aanvrager en de organisatie die het certificaat heeft afgegeven

Hoe kom ik aan een SSL certificaat

Meestal kan het via je hosting provider en die regelt dan de aanvraag, de validatie en de installatie. Daar hoef jij dan verder niets meer voor te doen.

Je kunt het ook zelf aanvragen bij een SSL-provider; dan moet je het certificaat ook zelf installeren.

Welke SSL certificaten zijn er

Er zijn verschillende soorten SSL certificaten. De beveiliging is bij alle certificaten gelijk; het verschil zit ‘m in de validatie, oftewel welke gegevens er gecheckt worden voordat het certificaat wordt afgegeven.

Gratis: Let’s Encrypt en Encryption Everywhere

Een groeiend aantal Nederlandse hosting providers biedt gratis SSL aan in de vorm van een Let’s Encrypt certificaat. Vaak hoef je daarvoor alleen maar eenmalig op een knopje te klikken en je site is beveiligd. Bij de meeste providers kun je kiezen tussen een certificaat voor één domeinnaam of een wildcard, waarmee meteen al je eventuele subdomeinen ook meegenomen worden  (een subdomein is bijvoorbeeld shop.jouwwebsite.nl).

Een Let’s Encrypt certificaat moet elke drie maanden vernieuwd worden. De meeste hosting providers hebben een script waarmee dat automatisch gebeurt.

Sommige hosters bieden Encryption Everywhere aan. Encryption Everywhere is een project van Symantec en Digicert om zo veel mogelijk sites op SSL te krijgen; deze bedrijven bieden het aan hosting providers aan zodat zij het weer gratis aan hun klanten kunnen aanbieden.

Let’s Encrypt en Encryption Everywhere zijn certificaten van het type domain validation (zie volgende alinea).

Betaald: Domain validation SSL

Dit is het basiscertificaat van de betaalde certificaten. Je hebt ze voor één domeinnaam of in een wildcard variant, waarmee je alle subdomeinen binnen je domeinnaam beveiligt. De wildcard is duurder dan een certificaat voor één domeinnaam.

Bij domain validation wordt alleen gecheckt of jij eigenaar bent van de domeinnaam.

De meeste hosting providers bieden betaalde SSL certificaten met domain validation aan. Sommige providers hebben dus ook Let’s Encrypt of Encryption Everywhere.

Betaald: Organisation Validation (OV)

Wil je een stapje hoger met je betaalde certificaat? Dan kun je met Organisation Validation in het certificaat laten zien wie je bent en met wie je bezoekers te maken hebben.

Hiervoor wordt niet alleen gecontroleerd of jij eigenaar bent van de domeinnaam; er wordt ook gecheckt of het telefoonnummer bij de organisatie hoort en of de gegevens van de domeinnaam dezelfde zijn als die bij de KvK.

Betaald: Extended Validation (EV) SSL certificaat

Het EV certificaat voegt bedrijfsinformatie toe aan de adresbalk. In veel browsers wordt bovendien de adresbalk groen.

Voordat je een EV-certificaat kunt krijgen, voert de certificaatautoriteit een uitgebreide controle uit op het bedrijf om zeker te weten dat jij een echt bedrijf bent. Alle bovenstaande onderdelen worden gecheckt, en er wordt ook gecontroleerd of jij uit naam van de organisatie mag handelen.

Betekent een SSL certificaat dat mijn website veilig is?

Nee. Het betekent alleen dat de uitwisseling van gegevens versleuteld gebeurt. Je site kan nog steeds gehackt worden (of gehackt zijn). En als dat het geval is, dan zijn de gegevens wel versleuteld uitgewisseld, maar ze kunnen nog steeds opgeslagen zijn in de database, en daar zijn ze niet versleuteld.

Een SSL certificaat ontslaat je dus niet van de verplichting om je site te beveiligen met sterke wachtwoorden, two-factor authentication en het liefst ook een firewall, en, minstens zo belangrijk: je site up to date te houden.

Hoe stel ik mijn Joomla website in op SSL

Is er een SSL certificaat actief in je hostingpakket, dan kun je soms op serverniveau de site naar SSL forceren.

Je kunt het ook binnen je Joomla backend doen, bij de Algemene Instellingen, tabblad Server.

Daar kun je bij Forceer HTTPS kiezen voor Geen, Alleen administrator of Gehele site. Keuze maken (meestal zul je Gehele site willen), opslaan en klaar.

Vanaf het moment dat je de site naar https forceert, zal iedereen die via http naar de site gaat, automatisch worden omgeleid naar https.

Nieuwsbrief ontvangen?

Meld je aan voor de WebLab42 nieuwsbrief en ontvang regelmatig nieuws, tips en interessante informatie in je mailbox! Je kunt je op elk moment weer afmelden of je gegevens laten verwijderen.