Een SSL-Certificaat aanschaffen, waar moet ik op letten?

U heeft de knoop doorgehakt om uw website te gaan beveiligen middels een zogeheten SSL-certificaat. Toch kunt u tot de conclusie komen dat het nog niet zo eenvoudig is om een passend certificaat te vinden. Er zijn ontzettend veel aanbieders en varianten. Om nog maar te zwijgen over de termen die u tegenkomt bij het opzoeken van een SSL certificaat.

In deze blogpost zullen we trachten om wat dieper op de verschillende mogelijkheden in te gaan zodat u een goede afweging kunt maken omtrent het type certificaat wat u nodig hebt.
We gaan bewust niet de diepte in qua techniek maar uitsluitend op de verschillende varianten en de verschillen. Voor meer technische informatie omtrent SSL kunt u op onze pagina https://businessconnect.nl/diensten/hosting/ssl-certificaten/ terecht.

De keuze voor het certificaat hangt in feite af van wat u wilt beveiligen. In mindere mate ook van wat uw bezoekers verwachten van uw beveiligingsmaatregelen. Een website van een bank, een webshop en een blog hebben ieder een eigen doel met ieder hun eigen eisen omtrent beveiliging van het verkeer. Hier komen we later in het artikel op terug.

 

Hoe werkt een SSL-certificaat ?

Een SSL-certificaat zorgt ervoor dat versleuteling van gegevens plaats kan vinden. Dit gebeurt op basis van een sleutel. Deze mag alleen bij u als eigenaar van de website bekend mag zijn. Daarnaast is er een publiek certificaat met eventueel bijbehorende root-certificaten. Deze vormen samen een keten en als deze keten compleet is zal het hangslot in de browser van de bezoeker geactiveerd worden en is de verbinding tussen browser en uw website beveiligd.

 

De verschillende categorieën

Grofweg zijn SSL-certificaten in te delen in drie categorieën. Iedere categorie heeft uiteraard haar specifieke eigenschappen. De verschillen zitten met name in de extra controles welke worden uitgevoerd vóór het certificaat wordt verstrekt. Hieronder ziet u een tabel met daarin de meest belangrijke verschillen.

tabel-met-vergelijking-ssl-certificaten

 

Domain-validated certificaat

De aanvraag van een “domain-validated” certificaat wordt op een eenvoudige en goedkope manier gecontroleerd. De enige controle die plaatsvindt is een mail welke gestuurd wordt naar het mailadres van de eigenaar van de bijbehorende waarvoor het certificaat wordt aangevraagd.
Als dan uiteindelijk de aanvraag verder verwerkt wordt; gaat de uitgever er van uit dat deze aanvraag correct is en zal het certificaat verstrekt worden. Normaliter wordt een domain-validated certificaat binnen het uur verstrekt.

 

Organisation-validated certificaat

De verwerking van een “organisation-validated” certificaat is gebaseerd op een iets uitgebreidere controle. Naast een check per email zal ook het administratief contactpersoon van de domeinnaam gebeld worden om de aanvraag te bevestigen. Hierdoor zal de verwerking van de aanvraag van dit type certificaat iets langer duren (tot 2 dagen).

 

Extended-validation certificaat

Een “extended validation” certificaat tenslotte heeft de strengste controle. Hierbij wordt onder het uittreksel van de Kamer van Koophandel gecontroleerd. De eigenaar van het domein dient overeen te komen met de bedrijfsnaam op het uittreksel van de Kamer van Koophandel. Als laatste wordt ook gecontroleerd of het opgegeven telefoonnummer ook in publiekelijk toegankelijke registers (lees : telefoongids) aanwezig is. Bovendien wordt ook nog telefonisch gecontroleerd of de aanvraag correct is. Pas dan wordt het certificaat verstrekt. U zult begrijpen dat door deze extra (handmatige) controles de aanvraag langer duurt en deze certificaten duurder zijn.

Uit deze vergelijking tussen de drie verschillende typen certificaten blijkt dat het verschil uitsluitend zit in de controle welke door de uitgever van het certificaat wordt uitgevoerd.
In technisch aspect (de versleuteling van de gegevens) zijn deze dus allen identiek; een duurder certificaat geeft dus geen hogere of betere versleuteling !

Wel krijgt u bij de “Extended validation” certificaten een groene balk te zien :

ev-ssl-groene-adresbalk-in-browser

 

 

Die groene balk bevat de bedrijfsnaam zoals deze op het uittreksel van de Kamer van Koophandel vermeld staat. Dit geeft de bezoeker de zekerheid dat ze zaken met u doen en niet met een ander !

Uit studies is gebleken dat maar liefst 13% van de bezoekers van een webshop afhaakt omdat ze twijfels hebben over de veiligheid; met name in het betalingsproces (bron : Trends and Insights to Find and Convert Buyers; VWO eCommerce Survey 2014).

rapport-afname-bezoekers-bij-onbeveiligde-website

 

Wanneer uw bezoekers dus middels een Extended-Validation zien dat uw website wél beveiligd is kan dat dus een groot verschil maken. En dat alleen door het vertrouwen wat de groene balk uitstraalt.

Er zijn echter nog meer voordelen van een Extended Validation-certificaat. Door de eenvoudige controle bij “domain-validated” certificaten is het eenvoudig om een website op te zetten met een vergelijkbare domeinnaam (bijvoorbeeld rabobonk.nl in plaats van rabobank.nl).
Hierdoor kunnen hackers daar eenvoudig een domain-validated certificaat op aanvragen en middels een phishing-mail bezoekers daar naar toe lokken. Wanneer u als argeloze bezoeker daar vervolgens uw financiele gegevens op gaat controleren hebben de hackers vrij eenvoudig en goedkoop beschikking over correcte gegevens en wellicht zelfs toegang tot uw bankrekeningen.

 

Overige typen certificaten

Naast de hierboven vermelde categorieën zijn er binnen die drie categorieën ook nog de zogenaamde wildcard, multidomain en unified-communications-certificaten. Al deze subtypen bieden de mogelijkheid om meerdere hostnamen te beveiligen met één certificaat.

Een wildcardcertificaat beveiligt alle websites welke dezelfde domeinnaam hebben. Hiermee hebt u dus één certificaat waarmee u bijvoorbeeld de websites businessconnect.nl, webmail.businessconnect.nl en mailadmin.businessconnect.nl kunt beveiligien

Een unified-communications-certificaat beveiligt meerdere hostnamen; met name die hostnamen welke gebruikt worden voor bijvoorbeeld webmail en/of activesync.
Bij een multi-domain certificaat kunnen de te beveiligen hosts opgegeven worden; vaak met een bepaald maximum aantal. Meerdere hosts zijn dan aanvullend op te nemen binnen het certificaat.

Één van de voordelen van deze typen certificaten is het beheer. Er hoeft van slechts één certificaat de  vervaldatum gecontroleerd te worden; er is maar één sleutelbestand en ook maar één certificaat. Ook is er doordat het één certificaat is slechts één aanvraagtraject om meerdere namen te kunnen beveiligen.

 

Hoe kiest u het goede certificaat ?

Eerder werd al vermeld dat de versleuteling van alle typen certificaten identiek is. Hoe gaat u dan uw keuze maken voor een bepaald certificaat ?

    • Bepaal eerst wat de gevoeligheid van de data is die u wilt beveiligen en wat de wensen van de bezoekers zijn. Wanneer u een gesloten omgeving wilt beveiligen waaronder uw eigen mailserver of een gesloten forum, weten de bezoekers toch wel wie u bent en is een EV-certificaat niet noodzakelijk. Daarnaast is voor mailuitwisseling geen browser benodigd en heeft een EV-certificaat geen toegevoegde waarde.
    • Heeft u een webshop; kunt u eventueel een Organisation-validated certificaat pakken.Echter; bezoekers zien geen verschil tussen een domain-validated en organisation-validated certificaat. Vanuit dat commercieel oogpunt hebben deze certificaten dus geen toegevoegde waarde!
    • Als uw website dermate is voor uw business kies dan een Extended validated certificaat. Dit is bijvoorbeeld belangrijk voor webshops, banken en wanneer u persoonlijke gegevens op slaat.

 

Zitten er nadelen aan SSL-certificaten ?

Een SSL-certificaat is niet alleen maar haleluja, er zitten ook nadelen aan. Deze zijn te herleiden tot drie verschillende categorieen.

Kosten

Uiteraard de kosten van aanschaf en installatie van het certificaat.

Beheer

U zult zorg moeten dragen voor bescherming van uw sleutelbestand; iemand die namelijk uw sleutelbestand heeft kan daarmee eenvoudig uw website mét certificaat nabouwen !
Dit is niet zozeer een groot nadeel maar wel een risico wat u zult moeten evalueren. Indien wij de certificaataanvraag doen, is dit risico afgedekt. Wij zorgen ervoor dat deze bestanden vertrouwelijk behandeld worden en uitsluitend worden uitgewisseld met de betreffende certificaatleverancier.

Technisch

Daarnaast vergt de installatie van een certificaat grondige kennis van SSL en de instellingen van de gebruikte serversoftware. Uw website dient namelijk vanwege het overstappen op SSL een eigen IP-adres te krijgen. Ook dit dient correct ingesteld te zijn. Omdat uw website een ander IP zal krijgen zal ook de DNS aangepast moeten worden.

De installatie van het certificaat zelf vergt ook de nodige aandacht.
Dit omdat een niet correct geïnstalleerd certificaat direct afgestraft wordt door de browser die uw bezoeker gebruikt. Met name Google Chrome zal geen doekjes winden om het feit dat de veiligheid van de website die bezocht wordt, ook al is een SSL-certificaat geïnstalleerd, niet goed is geregeld :

foutmelding-chrome-bij-onjuiste-ssl-configuratie

 

Snelheid

Daarnaast is een website welke SSL gebruikt ook trager.
De reden hiervan is dat het opzetten van de versleuteling extra tijd kost (vanwege de extra onderhandeling tussen webserver en bezoeker). Daarnaast vergt de encryptie van de verbinding zelf meer rekenkracht kost dan een reguliere, niet versleutelde verbinding. Wij kunnen deze extra vertraging beperken door uw omgeving meer rekenkracht te geven.

U zult dus uw processen voor aanvraag, installatie en verlenging goed moeten inrichten om de risico’s van deze nadelen te beperken. Niets zo vervelend als een verlopen SSL-certificaat op uw website; dit geeft namelijk aan bezoekers aan dat cruciale zaken omtrent beveiliging te wensen over laten.

 

Wat zijn de voordelen van hosting en SSL via BusinessConnect ?

De nadelen welke hierboven zijn beschreven kunnen wellicht voor u reden zijn om af te zien van SSL.
Wij adviseren echter iedereen met een website van enige omvang om die om te zetten naar SSL. Hiervoor hebben we processen ontwikkeld om de nadelen van SSL voor u te beperken :

    • BusinessConnect verzorgt het genereren van de sleutel en beheert ook de sleutelbestanden dusdanig dat deze niet bij derden terecht komen;
    • BusinessConnect verzorgt de wijziging van het IP-adres van uw website. Als ook uw domeinen bij ons in beheer zijn passen wij die uiteraard ook aan;
    • BusinessConnect zorgt ervoor dat uw certificaat correct wordt geïnstalleerd op de server waar uw website op draait;
    • Indien noodzakelijk schalen wij de rekenkracht van de server op.

 

Waarom is een SSL-certificaat duurder bij BusinessConnect dan bij andere hosters ?

Er zijn meerdere aspecten die een rol spelen bij de prijsstelling die wij hanteren :

    • de inkoopkosten van het certificaat;
    • de configuratie en het gebruik van een extra ip-adres;
    • de afhandeling van de certificaataanvraag;
    • de installatie en test van het certificaat

Al deze kosten bepalen onze verkoopprijs; welke wellicht hoger is dan elders. het voordeel voor u is dat u ná de bestelling nergens meer aan hoeft te denken !

Als u via ons een SSL-certificaat wilt bestellen of wilt genieten van onze betrouwbare, zakelijke hosting, neem dan contact met ons op !