Het nut en de noodzakelijkheid van een versleutelde verbinding
| 13 februari 2017
| 13 februari 2017
Door Menno Visser | 13 februari 2017
Het is al een tijd af en toe in het nieuws: populaire browsers komen steeds meer met meldingen over onbeveiligde sites, Google laat HTTPS-versies van websites hoger in de resultaten zien en de Nederlandse overheid gaat alle overheidssites verplichten om alleen over een HTTPS-verbinding bereikbaar te zijn. Maar wat houdt HTTPS nu in en waarom wil je het zelf echt voor je website gebruiken?
Zodra je naar een website gaat, zet de browser een verbinding op tussen jouw computer en de server van de website. Met een traditionele HTTP-verbinding is de data niet versleuteld. Door de manier waarop lokale netwerken en het internet functioneren is het dan voor externe partijen mogelijk om de data te bekijken die tussen de browser en server over en weer wordt gestuurd. Natuurlijk is dat nogal een probleem als deze data bijvoorbeeld jouw wachtwoord of creditcard gegevens bevat.
Om deze gegevens wél veilig te kunnen versturen, is de HTTPS-verbinding bedacht. Hiermee wordt de verbinding versleuteld opgezet, waardoor alleen nog jouw browser en de server de mogelijkheid hebben om te zien wat er wordt verstuurd.
Naast dat de verbinding versleuteld is, is er nog een tweede controle nodig: is de server waarmee wordt verbonden wel de echte? Hiervoor worden certificaten gebruikt. Elke server die HTTPS-verbindingen toestaat moet een certificaat bevatten. In dit certificaat staan vervolgens gegevens die de identiteit van de server beschrijven, zoals de domeinnaam waar het certificaat voor geldt en wie de eigenaar van de website is.
Standaard worden certificaten verstrekt door zogenaamde certificaatautoriteiten (CA). Dit zijn bedrijven of instanties die aan een aantal eisen moeten voldoen waardoor wordt gegarandeerd dat als zij een certificaat uitgeven, de informatie in het certificaat ook te vertrouwen is. Alle moderne browsers bevatten een standaard lijst van vertrouwde autoriteiten zodat, als een certificaat is uitgegeven door één van deze autoriteiten in de vertrouwde lijst, de browser de website als beveiligd zal weergeven.
Het is ook mogelijk om een uitgebreid gevalideerd (extended validation of EV) certificaat aan te vragen. Hierbij zal de certificaatautoriteit extra controles uitvoeren bij de aanvrager. Dit certificaat bevat vervolgens extra informatie over de identiteit van de website eigenaar en browsers zullen de bedrijfsnaam laten zien.
Ten slotte is het ook mogelijk om een zogenaamd zelf-ondertekend certificaat te maken. Dit certificaat kan door iedereen aangemaakt worden. Met dit type certificaat wordt de verbinding nog steeds versleuteld, maar omdat deze certificaten niet door een vertrouwde CA zijn verstrekt, zal een browser meestal een paginagrote waarschuwing weergeven, voordat de website bezocht kan worden.
Afhankelijk van of de website beveiligd is of niet, of zelfs een uitgebreid gevalideerd certificaat gebruikt, geven browsers andere iconen weer. Het is ook mogelijk dat een deel van de elementen op de pagina (zoals afbeeldingen) over een niet-versleutelde verbinding worden verzonden. Hier wordt dan een apart icoon voor gebruikt. Hoe verschillende browsers de status over versleuteling aangeven is hieronder te zien.
Bij een goed beveiligde pagina zal dus altijd een slotje zichtbaar zijn. Maar als sommige elementen over een niet-beveiligde verbinding worden verstuurd, wordt in sommige browsers het slotje niet weergegeven. Zelfs als de pagina zelf versleuteld is verstuurd. Zorg er dus voor dat alles altijd over een versleutelde verbinding gaat!
HTTPS is voor het eerst bedacht in 1994. Toch is het pas de laatste paar jaar dat we een algemene trend hebben gezien voor de invoering van HTTPS voor alle websites. Als de HTTPS-verbinding veiliger is, waarom is deze dan niet lang geleden al gemeengoed geworden? Hier zijn waarschijnlijk twee belangrijke redenen voor.
Er was voor een lange tijd vrij veel rekenkracht nodig om een verbinding te versleutelen. Aan het aanzetten van HTTPS zaten dus duidelijke kosten verbonden, omdat er krachtigere, of meer, servers nodig waren voor een website. Tegenwoordig is dit echter geen probleem meer, omdat er veel meer rekenkracht beschikbaar is, waardoor het versleutelen van de verbinding geen noemenswaardige extra moeite kost.
Daarnaast zijn aan de certificaten ook kosten verbonden. Dit is meestal een jaarlijks bedrag. Deze kosten kunnen zeker bij kleine bedrijven maken dat er geen certificaat wordt gekocht of dat men kiest voor een zelf-getekend certificaat. Ook hier is tegenwoordig een goede oplossing voor, waaronder de instantie Let’s Encrypt.
Om te helpen alle verbindingen te versleutelen, is de certificaatautoriteit Let’s Encrypt opgezet met behulp van verschillende technologiebedrijven, instanties en universiteiten. Deze dienst biedt zonder kosten certificaten aan en doet dit met een systeem wat zo goed als automatisch het certificaat kan vernieuwen. Een beheerder hoeft slechts een stuk software te installeren en de rest gaat vanzelf.
Als we bij ByYourSite een website hosten kunnen wij natuurlijk HTTPS instellen. Wij kunnen bij verschillende CA’s certificaten aanvragen, maar het is ook mogelijk om zelf een certificaat aan te schaffen en het door ons te laten installeren. Verder zullen we zeer binnenkort ondersteuning bieden voor Let’s Encrypt, waardoor er geen extra kosten hoeven te worden gemaakt voor een versleutelde verbinding!
Versleutelde verbindingen bieden een extra laag aan veiligheid voor bezoekers, verhogen het vertrouwen in een website en zijn in sommige situaties zelfs noodzakelijk. En omdat het tegenwoordig eenvoudig en goedkoop is om dit toe te voegen is de keuze ook eenvoudig: gewoon doen!
Meer weten of wil je de mogelijkheden voor een SLL-certificaat zien? Bel dan met onze sales manager Evert Kuipers op 050 588 54 50
