fbpx

Het nut van een SSL certificaat

Word je website nou veiliger van zo’n SSL certificaat? en klopt het dat je daarmee hoger in Google komt?.

Dit zijn een paar vragen die wij regelmatig over dit onderwerp krijgen. In dit artikel lees je er alles over!

Sinds 2017 is Google Chrome, met in zijn voetsporen de andere browsers, veranderingen aan het doorvoeren om het internet veiliger te maken. Door deze veranderingen word het gebruik van het veilige httpS:// protocol aangemoedigd en het gebruik van het oude, onveilige http:// ontmoedigd. Om gebruik te kunnen maken van het veilige httpS:// protocol dient er een SSL certificaat op je website geïnstalleerd te worden.

 

Wat doet zo’n certificaat nou precies?

Een SSL certificaat doet, mits goed ingezet 2 dingen:

1: Versleuteling van het verkeer tussen webserver en bezoeker

Hierdoor worden man-in-the-middle attacks een flink stuk moeilijker. Dat werkt zo:  Ik kan op een terras gaan zitten met een ‘speciale’ laptop die doet alsof het de wifi router van het terras is. Wie denkt in te loggen op de gratis wifi van het terras logt eigenlijk bij mij in en al het verkeer loopt via mijn laptop. Hierdoor is het redelijk eenvoudig om login’s en wachtwoorden te kapen, je mail in te zien en onder jouw naam iets leuks op de Facebook van je vrienden te posten.

Is de site voorzien van een certificaat dan wordt al het verkeer versleuteld.
Ik kan die data dan nog steeds wel vangen maar niet meer lezen. De onversleutelde data is nu alleen nog te onderscheppen op de beide eindpunten: Je laptop en de webserver waarop de website draait. Dit maakt het voor kwaadwillenden een heel stuk moeilijker met je gegevens aan de haal te gaan.

2: Identificatie van de website (eigenaar)

Een ‘echt’ certificaat vertelt de bezoeker zonder twijfel dat hij of zij inderdaad te maken heeft met de beoogde website, en niet een nepsite die er op lijkt en wellicht gebruikt wordt om gegevens te stelen. Om een certificaat te verkrijgen voor een bepaalde domeinnaam moet je namelijk bewijzen dat je echt de eigenaar bent. Afhankelijk van het type certificaat is dit een simpele of een uitgebreide test. Er zijn verschillende soorten certificaten die verschillende levels van beveiliging bieden, uiteraard met een verschillend prijskaartje.

Ik begon dit stukje met -Een ‘echt’ certificaat- want de identificatie geldt niet voor alle certificaten:

Gratis certificaten (bv van Let’s encrypt) worden door de site/server beheerder zelf uitgegeven zonder enige externe controle en we zien nu dat deze ook worden gebruikt door phishing sites, sites dus die een ‘echte’ website imiteren met als doel gegevens te stelen.
(Let’s encrypt werkt dus in de hand dat de veiligheid van het groene slotje een beetje een schijnveiligheid word. Je denkt als bezoeker veilig te zijn maar mogelijk heb je een beveiligde verbinding met een nepsite die je gegevens wilt stelen)

Hierom werkt YogiHosting alleen met ‘echte’ certificaten, die worden uitgegeven door een instantie. Deze zijn controleerbaar en kunnen bij misbruik ook ingetrokken worden.

Een bezoeker van een https:// website is dus beter beveiligd door versleuteling van de data of versleuteling+identificatie wat automatisch leidt tot meer vertrouwen in die website. Een SSL certificaat is inmiddels wel de norm geworden. Een site zonder certificaat is bij voorbaat ‘verdacht’ en men zal eerder gaan shoppen bij de concurrent die wel zo’n certificaat heeft.

 

Komt een website met een SSL certificaat hoger in Google?

 

Dit is een argument wat vaak word ingezet door bedrijven die certificaten verkopen. Het is niet onwaar maar wekt wel wat te hoge verwachtingen:  je komt namelijk hoger in Google – dan precies dezelfde website, maar dan zonder het certificaat.

Google heeft als doel de bezoeker de best passende content bij zijn zoekterm te laten zien en een veiligere site zal naar verwachting de bezoeker blijer maken dan een onveilige. De veilige site krijgt dus van Google een pluspuntje. Google let echter op meer dan 300 factoren en dit is er slechts 1 van. Verwacht dus niet door het installeren van een SSL certificaat direct met je site bovenaan te staan.

YogiHosting Google

De verwachting is echter wel dat het in de toekomst zwaarder gaat wegen en dat het plusje wat een site met SSL nu krijgt straks wordt omgezet in een dikke min voor sites die het niet hebben.

Wat je ook moet weten is dat Google sites ook beoordeeld op snelheid en een SSL certificaat maakt je website meestal juist een klein beetje trager. Een certificaat kan namelijk ook ingetrokken worden of verlopen en je browser controleert elke keer dat je een https:// site bezoekt even bij de instantie die het certificaat heeft uitgegeven of het nog wel geldig is.  Zou dit niet gebeuren dan zou een certificaat nagemaakt kunnen worden en juist een vals gevoel van veiligheid kunnen geven. Die extra check zorgt er voor dat je site ‘ iets’ trager zal laden en als je webserver al niet zo snel was zou je dat net een positie in Google kunnen kosten.

Overigens is het snelheidsverlies op te vangen door een mechanisme wat OCSP Stapling heet, hierdoor wordt de extra check gedaan bij de webserver zelf en treed geen snelheidsverlies op.

Onze webservers zijn voorzien van SSD-schijven EN OCSP Stapling dus host je je site bij ons dan hoef je je geen zorgen te maken over snelheid

 

Moet iedereen een SSL certificaat?

De populaire browser Chrome heeft enige tijd geleden een update uitgebracht waarmee het antwoord op deze vraag nu echt volmondig ‘Ja!’ wordt. Vroeger werd er door de browsers alleen gewaarschuwd op sites zonder https die iets te verkopen hebben. Zodra er een login of betaal mogelijkheid aanwezig was op een site, en deze had geen SSL, werd in de browsers de rode – not secure – waarschuwing zichtbaar.

Met de nieuwe update wordt dit principe omgedraaid;

  • Heb je een SSL cert op de site dan ziet de bezoeker niet langer het groene slotje maar staat er niets extra’s meer in de adresbalk.
  • Heb je GEEN SSL certificaat dan komt er nu botweg ‘ONVEILIG’ voor te staan. Dit zal bezoekers gaan afschrikken.

GDPR / AVG

Het gebruik van HTTPS op websites die data verzamelen is onder de GDPR verplicht gesteld. En praktisch iedere website verzameld wel data, bijvoorbeeld door een inlogmogelijkheid of contactformulier. Door de hogere boetes die in kunnen worden uitgeschreven zijn de gevolgen van slechte beveiliging bovendien mogelijk ernstiger.

YogiHosting

Host je je website bij YogiHosting dan is het SSL / https gebeuren al voor je verzorgd:

  • We installeren een (echt) SSL certificaat
  • We lopen al je links na en zetten ze om naar httpS://
  • We installeren een script zodat bezoekers die je site proberen te bezoeken via het onveilige http:// omgeleid worden naar de httpS:// ingang
Logo YogiHosting

Tips:

  • Denk er bij het bijwerken van je site aan dat je alle links die je aanmaakt ook met httpS:// laat beginnen. Doe je dat niet dan kan er een ‘mixed content’ waarschuwing verschijnen, waarmee de browser aangeeft dat niet alle content op de pagina beveiligd is.
  • Controleer bij externe links (een link naar iets buiten je eigen website)  of die content wel als https:// beschikbaar is. Is het dat niet dan kan je de eigenaar daar op wijzen en of een andere link zoeken.