Waarom je een veiligheidscertificaat nodig hebt voor je website

Een veiligheidscertificaat is steeds belangrijker. Logisch, want veiligheid op internet komt niet vanzelf. Gelukkig groeit het besef om een veilige site te hebben. Vooral bij webwinkels en andere websites waar bezoekers persoonlijke informatie achterlaten, en waar deze informatie in een online database wordt opgeslagen is het heel belangrijk een veiligheidscertificaat te gebruiken.

Veiligheidscertificaat?

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Laat je als organisatie data lekken of verwerk je persoonsgegevens zonder je aan de wet te houden dan loop je als organisatie kans op een boete. Deze boetes kunnen oplopen tot € 820.000, afhankelijk van de ernst van het lek.

Eén van de mogelijkheden om je te beschermen als organisatie is het gebruik van een veiligheidscertificaat. Je herkent een veilige site aan het protocol voor het domein: https.

Wat is https?

Https staat voor HyperText Transfer Protocol Secure. Het doel van https is het veilig uitwisseling van gegevens. Als je gebruik maakt van een https verbinding worden de gegevens die worden verstuurd, versleuteld en daarmee beveiligd. Voor een buitenstaander zou het daardoor onmogelijk moeten zijn om gegevens te onderscheppen.

In augustus 2014 kondigde Google aan dat het gebruik van https voordeel zou gaan opleveren op de posities in Google. Dat is naast de veiligheid nog een extra reden een veiligheidscertificaat voor je website te regelen. De eerste tekenen zijn er dat het inderdaad uitmaakt of je http of https voor je domein hebt staan.

Waarom https?

De belangrijkste reden om je gehele site over te zetten op https is ter beveiliging van de gegevens die van en naar je website worden verzonden. Voorbeelden zijn:

  • Contactformulieren
  • Registratievelden voor een nieuwsbrief
  • Aanvraagformulieren voor een intakegesprek
  • Offerte-aanvragen via een formulier
  • De afwikkeling van een bestelling in een webwinkel
  • Login informatie
  • Ledenadministraties

Webwinkels zijn volgens de Wet Bescherming Persoonsgegevens inmiddels verplicht je site met SSL te beveiligen.

Soorten veiligheidscertificaten (SSL)

Een veiligheidscertificaat wordt in technische termen een SSL-certificaat genoemd. Zo’n SSL certificaat zorgt voor een versleutelde verbinding tussen de bezoeker en je website, op deze manier worden alle gegevens veilig verstuurd.

Er zijn drie soorten veiligheidscertificaten:

  • Standaard SSL (gewoon)
  • Standaard SSL (wildcard)
  • Extended Validation SSL (EV/SSL)

Bij een standaard SSL veiligheidscertificaat wordt het certificaat verbonden aan een specifieke (sub)domeinnnaam, bijvoorbeeld www.jouwwebsite.nl (vervang ‘jouwwebsite’ door jouw gekozen domein, uiteraard). Bij een wildcard SSL-veiligheidscertificaat wordt het certificaat aangevraagd op *.jouwwebsite.nl. Hiermee kun je met één certificaat onbeperkte aantallen subdomeinen beveiligen. Dit geldt voor één niveau.

Groot verschil tussen het standaard SSL-protocol en het EV/SSL-protocol is dat de gebruiker direct ziet wat de kwaliteit van de beveiliging is. Bij het standaardprotocol zal je bezoeker een aantal stappen moet zetten alvorens er naar voren komt door wie en op welke manier de website beveiligd wordt en of er sprake is van een betrouwbaar certificaat. Het EV/SSL zorgt ervoor dat in één oogopslag kan worden gezien of er sprake is van een betrouwbare website.

Ik zet op een rijtje waar het EV/SSL-veiligheidscertificaat zich onderscheidt van het standaardprotocol:

  • De identiteit van de eigenaar van de website wordt duidelijk getoond, want deze wordt getoond in je browser
  • De registratie voor het EV/SSL duurt langer en is ook duurder
  • Bij registratie voor het EV/SSL zijn meer gegevens nodig, en wordt je door de verifiërende instantie benaderd
  • Dankzij EV/SSL is het voor bezoekers bij het groen worden van de browserbalk meteen duidelijk dat:
    • Het inderdaad om de website van de verwachte organisatie gaat
    • Er geen sprake is van een gekopieerde website, met mogelijk verkeerde bedoelingen
    • Er vertrouwelijk met gegevens om wordt gegaan
    • Er met gerust hart een bestelling of betaling op de website gedaan kan worden

Voorbeelden

Ik laat enkele voorbeelden van websites zien met SSL of EV/SSL-veiligheidscertificaten.

Veiligheidscertificaat bij Rabobank

Op de sites van de Rabobank en Bol.com zie je het EV/SSL-protocol. De afzender wordt getoond, en het certificaat staat op groen. Plus je ziet het veiligheidsslotje.

Veiligheidscertificaat bij Bol.com

 

 

Op de website van NRC/Handelsblad is alleen het groene veiligheidsslotje te zien. Deze website heeft dus alleen het standaard SSL-protocol. Door op het slotje door te klikken, kun je meer zien over de veiligheid. Je ziet om welke website het gaat, je ziet dat de eigenaar niet is opgegeven en je ziet door wie het certificaat is geverifieerd.

Veiligheidscertificaat NRCPagina info NRC.nl

Garantieverschillen

Bij het uitgeven van een EV/SSL-certificaat garandeert de uitgever van het certificaat de identiteit van de server en eigenaar. Mocht het zo zijn dat je certificaat wordt uitgegeven aan een onbevoegde organisatie dan kun je de aantoonbare schade claimen bij de uitgever van het certificaat. Het verzekerde bedrag bij een SSL EV is over het algemeen twee tot drie keer zo hoog als bij een standaard SSL.

Welk certificaat kies je?

Het grote verschil zit hem in de garantie dat de eigenaar van de website is gecontroleerd. Wil je dat je bezoekers 100% zeker en direct weten met wie ze te maken hebben, dan kies je voor EV/SSL. In andere gevallen volstaat de standaard SSL.

Hoe kom je aan een certificaat?

Verzamel eerst de volgende informatie:

  • Organisatiegegevens (uit KvK-uittreksel handelsregister)*
  • NAW-gegevens en E-mail adres van de contactpersoon of aanvrager
  • Gegevens van de Certificaatbeheerder(s)
  • Kopieën van geldige legitimatiebewijzen van de bevoegde aanvrager(s) en certificaatbeheerder(s)*
  • De domeinna(a)m(en) (URL’s) van de server(s) die je wilt gaat beveiligen
  • Bewijs van registratie van het domein op naam van je organisatie of een Akkoordverklaring Domein Gebruik
  • Document(en) waaruit de bevoegdheid van de aanvrager(s) blijkt
  • Origineel getekend aanvraagformulier* Alleen voor EV SSL

Let op:

Het toevoegen van een veiligheidscertificaat is geen heilige graal bij het voorkomen van datalekken of beveiliging. Het is een onderdeel van je gehele online veiligheidsbeleid. Je dient als organisatie preventief de juiste maatregelen nemen om datalekken te voorkomen. Een provider kan je daarbij ondersteunen, maar je bent altijd zelf verantwoordelijk hiervoor.

Let’s Encrypt

Voor klanten van ISI Media bieden we beide certificaten (standaard en EV/SSL). Bij de standaardcertificaten (geen wildcard) kiezen we voor Let’s Encrypt-certificaten. Dit zijn gratis veiligheidscertificaten.

Doel van het initiatief is om zoveel mogelijk sites https-ondersteuning te geven door gratis ssl-certificaten te verstrekken en het invoeren ervan makkelijk te maken. Niet de minste bedrijven ondersteunen Let’s Encrypt. Bijvoorbeeld Google, Facebook, EFF, Mozilla, Cisco, Akamai, IdenTrust en de universiteit van Michigan werken aan het Encrypt the Web-project.

SSL-certificaat bestellen?

Heb je een website bij ons ondergebracht, dan installeren we graag een SSL-certificaat voor je. Voor Let’s Encrypt-certificaten betaal je eenmalig een installatievergoeding. Voor EV/SSL-veiligheidscertificaten komen daar de kosten voor het certificaat zelf bij.

Het veiligheidscertificaat is om meerdere redenen zinvol. Voor webwinkels is het verplicht. Voor andere websites bied het veel voordelen:

  • het geeft je bezoekers het vertrouwen dat je site veilig is
  • als mensen reacties geven of via je website mailtjes versturen is dat beveiligd en versleuteld
  • je bent beter vindbaar in Google (Google gaat onbeveiligde sites bestraffen, in de V.S. gebeurt dit al).

Wil je een gratis Let’s Encrypt-certificaat, dan kunnen we dat voor je verzorgen. Ook voor de (niet-gratis) EV/SSL-certificaten kun je bij ons terecht. Je betaalt voor beide certificaten eenmalig een installatiebedrag. Bij de niet-gratis certificaten komt daar een jaarlijks licentiebedrag bij.

Meer weten? Neem dan nu contact met ons op.

Bestelling

2 + 15 =

Eric van den Berg

Meer weten?

Wij helpen graag jouw zinnige organisatie verder. Maak snel een vrijblijvende afspraak.

 

Neem contact op

Nieuw op ISI Media: