Wat is SSL of Secure Sockets Layer?

Een SSL Certificaat kunt u zien als een identiteitskaart voor uw website en geeft een duidelijk signaal aan uw bezoekers dat de verbinding met de website versleuteld is en alle gegevens die u invult of deelt met deze website beveiligd zijn.

SSL (Secure Sockets Layer) is de naam voor het encryptie-protocol dat het mogelijk maakt om communicatie op internet te beveiligen. Door middel van een complexe versleuteling van de verzonden gegevens kan zowel de authenticiteit van een website, als de veiligheid van de verbinding waarover de gegevens worden verzonden, worden gewaarborgd. Met andere woorden, een website mét SSL-verbinding kan garanderen dat de website is van wie een bezoeker denkt dat deze is.

De communicatie met de website, wanneer er gegevens worden verzonden (denk aan invullen van online formulieren), kan niet worden afgeluisterd.

SSL is een krachtig instrument bij het beschermen van uw klanten of bezoekers tegen misbruik van gegevens die op uw website worden ingevuld of opgehaald. Denk hierbij bijvoorbeeld aan creditcardgegevens, online bestellingen van producten, contactgegevens, wachtwoorden en gebruikersnamen, en vertrouwelijke communicatie via een website.

Wanneer u met gevoelige persoonsgegevens omgaat – zoals wachtwoorden, NAW-gegevens en betalingsgegevens – zijn SSL-certificaten sinds de introductie van de nieuwe privacywet, verplicht en dragen zeker ook bij aan het bezoekersvertrouwen van uw website.

Het gebruik van SSL heeft ook een positieve invloed op de positie van uw website in de zoekresultaten van Google. Hiermee motiveert Google, eigenaren van websites steeds meer om bij te dragen aan een veilig gebruik van het internet.

Wat is SSL of Secure Sockets Layer?

Verschil in SSL-certificaten

Grofweg kunt u SSL-certificaten indelen in 4 categorieën:

  • LE – Let’s Encrypt
  • DV – Domain Validation
  • OV – Organisation Validation
  • EV – Extended Validation

Het grote verschil tussen de verschillende certificaten zit hem in de mate van controles die worden uitgevoerd om de identiteit van de organisatie die het certificaat aanvraagt, vast te stellen. Een en ander wordt in de veelgestelde vragen over SSL behandeld, deze vragen en antwoorden vindt u op deze pagina.

Let’s Encrypt levert gratis SSL-certificaten

DigiState levert ook de gratis SSL-certificaten van Let’s Encrypt voor uw hostingomgeving. Let’s Encrypt levert uitsluitend certificaten met domein validatie, deze zorgen voor een beveiligde verbinding (encryptie), maar geeft geen identiteitsgarantie (authenticatie). Bezoekers aan websites met een LE weten dus wel dat hun gegevens veilig worden verzonden, maar kunnen helaas niet in de gegevens van het certificaat controleren naar wie de gegevens worden gestuurd.

Waar er bij een gratis Let’s Encrypt certificaat weinig tot geen controle is (en alles volledig is geautomatiseerd zonder dat er een mogelijkheid is contact met iemand op te nemen) is dat bij een Extended Validation een geheel ander verhaal.

Het gebeurt steeds vaker dat op de zogenaamde phishing domeinen gebruik wordt gemaakt van LE en DV-certificaten, internetcriminelen proberen hiermee phishing websites een betrouwbare uitstraling te geven. Door de eenvoudige beschikbaarheid, zonder echte controle bij de uitgifte van deze LE-certificaten neemt het misbruik hiermee de laatste tijd enorm toe.

Dit maakt, naast encryptie, de identiteitscheck een nog belangrijkere functie van een SSL-certificaat. Hiervoor heb je een certificaat met minimaal bedrijfsgegevens nodig (OV of EV- certificaten). Omdat deze bedrijfsgegevens handmatig gecontroleerd moeten worden, kan Let’s Encrypt deze certificaten niet leveren. Voor levering van een OV of een EV-certificaat, zult u altijd moeten terugvallen op certificaten van andere uitgevers van SSL, de zogenaamde Certifcate Authorities (CA), deze kunt u bijvoorbeeld via DigiState aanvragen.

SSL – Veel gestelde vragen – Frequently Asked Questions

SSL verzorgt de “S” in HTTPS, en het is niet zomaar dat HTTPS de nieuwe standaard voor websites wordt.

Een SSL-certificaat:

  • Beschermt de gegevens van uw bezoekers.
  • Voorkomt foutmeldingen van browsers (bijvoorbeeld de “niet veilig” melding).
  • Zorgt ervoor dat u aan de wetgeving voldoet.
  • Zorgt voor een hogere positie in de Google zoekresultaten.
De benamingen zijn:

  • Domain Validation – DV
  • Organisation Validation – OV
  • Extended Validation – EV
ProducteigenschappenLEDVEV
Veilige verbindingjajaja
Bedrijfsgegevens in certificaatneeneeja
Groene adresbalkneeneeja
Verzekerde waardegeenlaaghoog
Check identiteit aanvragerneeneeja
Check domeinjajaja
CommercieelLEDVEV
Voldoen aan GDPR/AVGjajaja
Browser waarschuwingen voorkomenjajaja
Geschikt voor niet zakelijke sitesjajaja
Geschikt voor publieke sitesneeneeja
Geschikt voor zakelijke sitesneeneeja
Conversieverhogendneeneeja
Voor alle zakelijke en/of commerciële websites (bijvoorbeeld webshops) is een EV-certificaat eigenlijk onmisbaar.

De betrouwbare uitstraling die de groene adresbalk met bedrijfsnaam (groen in de meeste browsers) die in de browser wordt getoond, wordt gezien als één van de grote voordelen.

Door het strenge uitgifteproces en de herkenbare visuele kenmerken geven EV-certificaten, de websitebezoekers meer zekerheid. Heel belangrijk dus, indien u een zakelijke website runt.

Uit meerdere onderzoeken blijkt dat door de toenemende internetcriminaliteit, de angst voor gegevensmisbruik toe neemt. Indien u er met een EV-certificaat voor kunt zorgen én kunt tonen dat bezoekers veilig hun gegevens op uw website kunnen achterlaten, geeft u hiermee uw bezoekers een extra gevoel van veiligheid.

Deze EV-certificaten zijn vooral van belang bij:

  • Webshops
  • Overheid
  • Financiële instellingen
  • Verzekeraars
  • Websites waar gevoelige persoonsgegevens ingevuld moeten worden zoals bij juridische organisaties en in de gezondheidszorg.
Dit komt vooral door de strenge, arbeidsintensieve, handmatige controles die bij een EV-validatie worden uitgevoerd. Volledig geautomatiseerde initiatieven zoals bij de gratis certificaten van Let’s Encrypt worden gebruikt, kunnen geen certificaten met bedrijfsgegevens verzorgen, dit is dan ook gelijk één van de belangrijkste verschillen.
Phishing is erg populair onder internetcriminelen en certificaten zonder bedrijfsgegevens worden dan ook steeds vaker gebruikt voor de zogenaamde phishing domeinen. Dit heeft als doel phishing websites een betrouwbare uitstraling te geven. Sinds de introductie van gratis certificaten die op grote schaal beschikbaar zijn, neemt het misbruik erg toe. Dus naast encryptie via het SSL-certificaat, heeft de identiteitscheck een nog belangrijkere functie van een EV SSL certificaat.

Op zich kan het gebruik van een EV-certificaat geen phishing voorkomen, echter het helpt wel om bezoekers legitieme websites te kunnen laten onderscheiden van phishing websites.

Alleen het EV SSL certificaat zal op termijn namelijk nog het groene slotje (in de meeste browsers) en de bedrijfsnaam weergeven, wat veiligheid en betrouwbaarheid uitstraalt. Bezoekers van uw website(s) zien zo direct dat de gegevens die ze invullen, versleuteld worden én dat men ook echt op de website van uw organisatie beland zijn en niet op een phishing website van internetcriminelen.

Mocht u er aan de hand van de informatie op deze pagina nog niet achter zijn gekomen, wees gerust, we staan u altijd graag te woord om u passend advies te geven voor uw specifieke situatie.

Neem vrijblijvend contact met ons op!

Door de invoering van de GDPR is op Europees niveau het gebruik van SSL voor het beschermen van ingevulde bezoekersgegevens praktisch verplicht. Google is al geruime tijd bezig met het aanpassen van de SSL weergave in Chrome. HTTP krijgt tegenwoordig een ‘Not secure’ waarschuwing.

Door onder andere deze ontwikkelingen, gebruiken ondertussen wereldwijd meer websites HTTPS dan HTTP. Websites met HTTPS worden door de browser Chrome (Google) binnenkort als ‘neutraal’ weergegeven, uitsluitend websites met een EV-SSL-certificaat krijgen dan nog een positieve indicatie. De andere grote browsers (Firefox, Edge, Safari, Opera etc.) zullen ongetwijfeld volgen. Men verwacht door deze ontwikkelingen dan ook een verdere verschuiving in het SSL gebruik waardoor HTTPS de standaard wordt in plaats van HTTP, en EV-certificaten de nieuwe standaard worden voor zakelijke websites.

Meer betrouwbaarheid met Extended Validation SSL
De website die u nu bezoekt, is bijvoorbeeld voorzien van het meest uitgebreide SSL-certificaat, het Extended Validation (EV) certificaat. In de meeste browsers* wordt hierdoor in de adresbalk van de browser een groen slotje getoond, met naast het slotje, de naam van de organisatie die eigenaar is van de website, deze naam is ook in het groen gekleurd. Dit komt door het EV SSL-certificaat dat geïnstalleerd is op de server waarop deze website gehost wordt.

Website beveiligen met een SSL Certificaat

Hoewel de kostprijs van een EV-SSL-certificaat hoger ligt dan een bij DV SSL-certificaat en het aanvragen hiervan iets meer voeten in de aarde heeft, zijn er wel degelijk een aantal belangrijke voordelen verbonden aan de eerste optie:

  • Een Extended Validation SSL-certificaat zorgt voor een hogere mate van klantvertrouwen. Juist omdat de toepassing het veiligheidsgehalte van een website gelijk zichtbaar maakt, wint een bedrijf aan geloofwaardigheid. Extra vertrouwen en een veilige online-winkelomgeving zullen potentiële klanten eerder aansporen om daadwerkelijk een aankoop te doen. Uiteindelijk vertaalt het gebruiken van een EV SSL-certificaat zich in meer conversies en een hogere klantentrouw.
  • Het EV SSL-certificaat toont de bedrijfsnaam in de adresbalk en geeft summiere informatie over de domeineigenaar. Het visuele signaal (de karakteristieke groene adresbalk met bedrijfsinfo) dat een EV SSL-certificaat afgeeft is een universeel teken van geloofwaardigheid. Zelfs minder ervaren internetgebruikers weten meestal dat de groene balk gelijkstaat aan een hoog beveiligingsniveau.
  • EV SSL-certificaat helpt bezoekers legitieme websites te kunnen onderscheiden van phishing websites. Door gebruik van een EV kan men zien dat de gegevens die ze invullen, versleuteld worden én dat men ook echt op de website van de organisatie zijn beland van wie er wordt beweerd dat de website is.
  • EV SSL-certificaat zorgt voor compliance met vele standaarden zoals ISO en GDPR.

“Wij kunnen een EV-SSL-certificaat over het algemeen binnen 24 uur opleveren.”

Wilt u een meer betrouwbare uitstraling van uw website? Neem dan een SSL-certificaat, wij helpen u graag in het voorzien van advies en het daadwerkelijk aanvragen en installeren van het certificaat. Twijfelt u nog over welk certificaat het beste is voor uw website of wilt u meer advies over SSL? Neem dan ook gerust contact met ons op.

* Op datum van schrijven (februari 2019) is vooralsnog uitsluitend de Google Chrome browser, de enige browser die het slotje in de adresbalk niet meer groen kleurt, waarschijnlijk volgen de andere grote browsers.