Bij veilig internetten speelt versleuteling (encryptie) een grote rol. Als u een website bezoekt, ging dit voorheen altijd via het standaard http-protocol (gewoon een www-adres intypen). Tegenwoordig is het beter om https te gebruiken (https://www. enzovoorts). Het verschil zit hem in de ‘s’ van Secure, https staat voor HyperText Transfer Protocol Secure, de wijze waarop aanvragen van de browser (cliënt) naar de website (webserver) worden afgehandeld.
Alleen met een certificaat heb je https toegang
Wilt u via https een website benaderen, moet er op die website een SSL certificaat zijn geïnstalleerd. Ook op deze site maken we gebruik van een certificaat. De moderne browsers laten in de adresbalk zien of u op een veilige manier communiceert met een website: niet alleen meer het (al dan niet) groene slotje. Door te klikken op het slotje krijgt u een uitklap-menu waarin u meer informatie ziet over de site-instellingen en het soort certificaat. Als de website niet wordt vertrouwd is de aanduiding rood (of een rood kruis of rode streep erdoor). Als er sprake is van zogenaamde ‘mixed content’ (ook inhoud die via http wordt aangeroepen), wordt er een klein waarschuwingsdriehoekje getoond: er is dan sprake van ‘passieve’ inhoud via http (bijvoorbeeld afbeeldingen die ergens anders op het internet staan en via http worden aangeroepen). Als er ‘actieve’ inhoud (uitvoerbare code via javascript e.d.) wordt aangeroepen via http, wordt de website gewoon niet vertrouwd. Google Chrome laat overigens geen groen slotje meer zien, verkeer via http wordt gewoon als onveilig beschouwd en de rest krijgt een grijs slotje.
Het certificaat van de website geeft aan wat het niveau van de beveiliging is. Er zijn verschillende niveaus. Er zijn eigenlijk twee indelingen voor certificaten: wat wordt er precies gevalideerd en voor hoeveel sites geldt dit. De CA is de Certificate Authority, de instantie die de certificaten uitgeeft. Bij het aanvragen moet, afhankelijk van het type certificaat, een CRS ingediend worden: een Certificate Signing Request.
Soorten certificaten
Allereerst de indeling op niveau van validatie:
- Domein validation (DV): laagste niveau, de CA controleert alleen of de aanvrager ook de controle heeft over het domein. Alleen het slotje zal groen worden (behalve dus in Chrome).
- Organisatie validation (OV): gemiddeld niveau, de CA controleert iets meer over de aanvrager, in Nederland wordt bijvoorbeeld alleen een KvK uittreksel in het onderzoek bekeken.
- Extended validation (EV): hoogste niveau, de CA controleert van alles rondom het bedrijf, het bestaan ervan, of er een fysiek adres is (!), en of het bedrijf wel legaal bezig is. Adresbalk in de browser wordt groen, ook de naam van het bedrijf wordt weergegeven. Op dit niveau is er ook een verzekering aan de verstrekking van het certificaat verbonden: als je op website met een dergelijke certificaat toch wordt bedonderd kun je een claim indienen.
Vervolgens de indeling voor welke sites het geldt. De indeling is als volgt:
- Single domein (één domeinnaam voor één website)
- Wild card (*.domeinnaam.toplevel), certificaat geldt dan ook voor subdomeinen)
- Multi-domein (certificaat voor meer domeinnamen, meer websites), vooral voor grote bedrijven met meer domeinnamen in diverse landen.
Aanschaffen van een certificaat
Er zijn diverse bedrijven (CA) waar u een certificaat kunt aanschaffen, via indienen van een CRS. Afhankelijk van het niveau van het certificaat krijgt u het vrijwel direct online toegestuurd, of duurt het enkele dagen (OV) tot enkele weken (EV). En de prijskaartjes zijn navenant. EV certificaten met verzekering zijn prijzig.
Op het laagste niveau (DV) kunt u tegenwoordig bij de meeste hostingbedrijven zonder extra kosten een Let’s Encrypt certificaat implementeren. Daarmee krijgt u dus https-toegang en zult u in de zoekmachine van Google wat hoger in de ranking komen. Maar voor webwinkels of andere websites, waarbij u een verplichting aangaat waar een aanmerking financieel belang mee gemoeid is, is het zinvol om even ‘achter het slotje’ te kijken door te klikken op het slotje in de browser adresbalk. Maar ook dan is niets gegarandeerd, u weet alleen dat de verbinding correct versleuteld wordt. Ook criminelen kunnen een website zo inrichten, dat alles correct lijkt, maar waarbij u toch gewoon opgelicht wordt.
Andersoortige certificaten
Op servers die andere diensten leveren, (bijvoorbeeld mailservers) worden ook certificaten geïnstalleerd, om versleuteld verkeer mogelijk te maken en de serververbinding te valideren. Bepaalde beroepsgroepen en overheden kennen ook aparte certificaten. Het is ook mogelijk een zogenaamd ‘self-signed’ certificaat te implementeren, dat is dan niet uitgegeven door een trusted CA. Dat versleutelt niet alleen de verbinding, maar geeft ook de mogelijkheid om toegang tot een server te beschermen. Voor publiek toegankelijke websites is een dergelijk certificaat niet geschikt, omdat er altijd een waarschuwing wordt gegeven.
Certificaat controleren
Er zijn diverse sites waarop je het certificaat van een website kunt controleren. Je kunt op de volgende sites de domeinnaam ingeven:
- SSLCheck (van Xolphin, geeft ook certificaten uit)
- Digicert
- Qualys SSLLabs (geeft ook een rating: doorklikken op het ip-adres geeft de details van de rating)
- internet.nl (behalve de test voor e-mail kun je ook testen of de website voldoet aan moderne internetstandaarden)