Iedereen die wel eens op het internet zit is het vast al eens tegen gekomen, een groen slotje in de adresbalk al dan niet met de tekst ‘veilig’ erbij.
Misschien ben je het tegen over gestelde ook al eens tegen gekomen, een ‘open slotje’ en de tekst ‘onveilig’ er bij. Hoe onveilig is dit nou écht?
Melding ‘niet veilig’, is mijn site gehacked?
Wanneer je de melding in Google Chrome of Firefox ziet die aangeeft dat je website ‘niet veilig’ is betekend dat meestal niet dat de website gehacked is. Deze melding geeft enkel aan dat er is vast gesteld dat je pagina een invul formulier bevat en dat de verbinding niet versleuteld is met een SSL-certificaat.
Wat is een versleutelde verbinding
Wanneer de verbinding beveiligd is met een SSL certificaat dan kan de informatie die jij verzend met een formulier op de website enkel door jou en de ontvangende webserver gelezen worden. Als iemand anders jouw internet verkeer probeert af te luisteren zal die enkel een wirwar van rare codes zien de niet bruikbaar zijn.
Wanneer de verbinding echter niet beveiligd zou zijn, dan zou in het geval van een login scherm zowel je gebruikersnaam als wachtwoord open en bloot leesbaar zijn. Omdat steeds meer gevoelige informatie over het internet verzonden en uitgewisseld wordt is een beveiligde verbinding over HTTPS door middel van een SSL-certificaat in steeds meer gevallen sterk aan te raden.
Is SSL verplicht?
Volgens de Wet Bescherming Persoonsgegevens(WBP)1 (Artikel 13) wordt er genoemd dat organisaties en bedrijven “passende technische en organisatorische maatregelen moeten nemen”. Dit is een breed begrip en kan op veel manieren geïnterpreteerd worden. SSL zou je in deze context als één van de technische maatregelen kunnen zien.
Wanneer moet je een SSL certificaat hebben?
Het Nationaal Cyber Security Centrum (NCSC) heeft een whitepaper ICT-Beveiligingsrichtlijnen (2015) beschikbaar op hun website. Hierin staat onder andere:
De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. 2
Versleutel communicatie. 2
Wat in deze twee punten omschreven staat is het geen wat SSL/HTTPS doet, met het groene slotje in de adresbalk wordt aangegeven dat de verbinding tussen de browser van de gebruiker (jij) en de webserver, waar je website staat versleuteld is.
Wanneer er naast het groene slotje ook nog de naam van het bedrijf vermeld staat betekend dat niet alleen de verbinding tussen jou en de webserver is versleuteld maar dat ook de identiteit van het bedrijf dat het domeinnaam geregistreerd heeft gecontroleerd is door de uitgever van het SSL-certificaat.
Sinds januari 2017 geeft Google Chrome op alle pagina’s die een wachtwoord veld hebben of Credit Card gegevens verzamelen een melding in de adres balk als een SSL-certificaat ontbreekt. Op termijn is Google van plan dit te doen voor alle websites die geen https/ssl gebruiken.
Vanaf Chrome versie 62 (oktober 2017) gaat dit al gelden voor alle websites met invoer velden, dus ook ‘normale’ contact formulieren. Daarnaast is de melding niet veilig standaard voor alle websites zonder SSL wanneer je ‘incognito modus’ gebruikt.
Na de wijziging van Chrome volgde Firefox binnen zeer korte tijd, daarnaast heeft Mozilla Firefox dezelfde ambitie uitgesproken om voor alle pagina’s die niet over SSL geladen worden een waarschuwing weer te geven.
Daarnaast wordt per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht, dit is de Europese wet waarmee een en het zelfde WBP voor alle landen binnen de Europese unie gaat gelden. Met deze wet worden de regels voor organisaties die persoonsgegevens verwerken nog verder aangescherpt.
Zelf wanneer je geen persoonsgegevens verwerkt en enkel een formulier op je website hebt staan is een SSL-certificaat zeer sterk aan te raden, de Chrome en Firefox browsers hebben samen een marktaandeel van bijna 50% met een waarschuwing als ‘niet veilig’ kan je een hoop potentiële klanten afschrikken.
Voor webshops is het al langere tijd verplicht om een SSL-certificaat te gebruiken tijdens het afreken proces3 4.
Vergis je echter niet; Het installeren van een SSL certificaat zal niet al je problemen met hackers oplossen, het zorgt er alleen voor dat deze gegevens niet meer onderschept kunnen worden op het moment dat deze verstuurd worden. Mocht een hacker toch in je database komen en deze gegevens alsnog op straat komen moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Ook moet je daarnaast kunnen aantonen dat je dan zoveel mogelijk eraan gedaan hebt om dit kunnen voorkomen, een SSL certificaat is hier een (klein) onderdeel van.
Wil je meer weten over de beveiliging van je website en het overzetten naar SSL? Stuur ons dan een bericht via het formulier onderaan deze pagina of email ons op [email protected]
Voordelen van een SSL certificaat
Naast dat een SSL certificaat zorgt voor een veilige verbinding heeft het ook een aantal andere voordelen. Zo heeft het ook een positieve invloed voor je SEO, Google rankt websites met SSL hoger dan een vergelijkbare website zonder SSL.
Door het groene slotje en het woord ‘veilig’ geeft het SSL certificaat een extra indicatie van betrouwbaarheid aan de bezoekers van je website.
Daarnaast wordt met SSL, HTTP/2 ondersteund door meer browsers5. Als ook je webhost HTTP/2 ondersteund dan kan je website een verbetering in laadtijd zien (mits juist geoptimaliseerd6).
Voor sommige functionaliteiten in de browser is een SSL-certificaat ook vereist, zo kan je wanneer je gebruik maakt van HTTPS ook (mits de gebruiker dit toestaat) toegang krijgen tot de ‘locatie’ van de gebruiker7 8 en zou je ze ‘push’-meldingen in de browser kunnen sturen9.
Wat zijn de verschillen tussen SSL-Certificaten?
Er zijn een drietal verschillende certificaten, deze worden vaak afgekort als DV, OV, EV.
DV – Domain Validation
DV staat voor Domain Validation, in het Nederlands Domein Validatie. Dit zijn de meest veelvoorkomende en goedkoopste certificaten, deze zijn tegenwoordig dankzij Let’s Encrypt vaak ook gratis beschikbaar.
De gratis DV certificaten bieden meestal echter geen verzekering, de betaalde DV certificaten wisselen qua verzekeringswaarde tussen de €0 en €500.000,- dit verschilt per uitgever.
Naast de lage kosten van DV certificaten worden deze vaak ook geautomatiseerd geleverd, hierdoor kan je na de aanvraag het certificaat vrijwel direct instellen.
OV – Organization Validation
OV staat voor Organization Validation, in het Nederland Organisatie Validatie. Bij dit certificaat wordt door de uitgever van het certificaat ook het bedrijf achter de website die het certificaat aanvraagt gekeken. Hierbij worden de Kamer van Koophandel inschrijving gecontroleerd en wordt er vaak met het bedrijf gebeld ter verificatie.
De kosten voor deze certificaten zijn een stukje hoger en lopen behoorlijk uit een, de verzekeringswaarde van deze certificaten doet dat overigens ook. Sommige staan garant tot een bedrag van €1,5 miljoen.
Door de controle kan de levering van deze certificaten soms tot wel een week duren.
EV – Extended Validation
EV staat voor Extended Validation, in het Nederlands Uitgebreide Validatie. Bij dit certificaat wordt naast het groene slotje ook de bedrijfsnaam in de adresbalk weergegeven zoals bij grote organisaties vaak te zien is. Bij de uitgebreide validatie wordt naast de controle van het bedrijf ook vaak nog een analoge controle gedaan en dient er in sommige gevallen een contract ondertekend te worden.
Kosten voor EV certificaten beginnen vaak bij de €100+ en de garantie bedragen lopen op tot 1,75 miljoen bij sommige uitgevers.
Door de uitgebreide controle duurt de levering van deze certificaten vaak wat langer, dit kan soms wel 10 (werk)dagen duren.
Aandachtspunten, over naar HTTPS
Wanneer je van plan bent de overstap te gaan maken is het tijd om hier de voorbereidingen voor te gaan treffen. Hou er rekening mee dat dit behoorlijk wat tijd in beslag kan nemen wanneer je dit gaat doen. Hou er ook rekening mee dat er altijd wat fout kan gaan.
Doe dit ook niet op een vrijdag eind van de middag, als er op dat moment iets fout gaat is de kans groot dat je webhoster of andere professionele ondersteuning niet meer beschikbaar is tot maandag morgen.
Voor
Zorg altijd voor een recente backup van de website, test deze backup ook! Probeer je website eens terug te zetten met enkel deze backup.
Informeer bij je webhosting over de mogelijkheden met betrekking tot een SSL-certificaat. Vraag of ze ook certificaten van Let’s Encrypt aanbieden. Doen ze dit niet, vraag dan welk certificaat ze wel ondersteunen en wat de kosten daarvoor zijn.
Sommige webhosting partijen brengen hier extra (installatie) kosten voor in rekening.
Test of het certificaat goed is ingesteld. Dit kan je zelf eenvoudig testen door https://voorbeeld.nl
in te typen, vervang ‘voorbeeld.nl’ door je eigen website adres. Je kan dit ook testen door het adres op deze website van SSLLabs in te voeren.
- Wanneer de tekst van je website nu zichtbaar is maar de opmaak heel vreemd, dan is het certificaat goed ingesteld.
- Als je een blanco scherm krijgt met een engelse tekst regel die meld dat (in het Engels) dat je een index bestand moet uploaden, dan is het certificaat ook goed ingesteld.
- Als je een grote foutmelding krijgt met de melding dat je verbinding niet privé is, dan is het certificaat niet goed ingesteld.
Tijdens
Wanneer het certificaat goed is ingesteld kan je de website gaan ‘overzetten’. Als eerste moet je in de instellingen > algemeen
je “WordPress-adres (URL)” en “Siteadres (URL)” moeten wijzigen naar de https:// variant.
Als je dat gedaan hebt zal je waarschijnlijk opnieuw moeten inloggen.
Wanneer je eerder de melding kreeg dat je een index bestand moest uploaden zal je nu de bestanden van je website moeten verplaatsen naar de ‘private directory’.
Als het goed is zou je website nu moeten laden over SSL.
LET OP! Ondanks dat je website nu over SSL geladen wordt zal je nog wel ALLE verwijzingen in je berichten en pagina’s aan moeten passen. Afbeeldingen, links en bestanden in berichten verwijzen nog altijd naar het oude http:// adres.
Als je dit niet doet zullen afbeeldingen niet goed geladen worden. Ook is het soms nodig om aanpassingen te doen in je thema wanneer die nog naar code verwijzen die over http:// wordt ingeladen.
Na
Wanneer je website helemaal functioneert via SSL moeten de bezoekers nog doorverwezen worden en moet je aan de zoekmachine’s laten weten dat alle pagina’s verplaatst zijn naar de https:// variant. Hiervoor kan je een 301-redirect gebruiken, zelf gebruiken we daarvoor de volgende code die we in het .htaccess
bestand plaatsen.
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Deze code verwijst al het verkeer dat op http:// binnenkomt door naar https://
Hulp nodig?
Het overzetten van een WordPress website naar https is behoorlijk complex zijn. Zeker wanneer je dit nog niet vaker gedaan hebt. Als ‘ouwe rotten’ in dit vak hebben we hier veel ervaring mee, we kunnen dit zonder problemen voor je uitvoeren. Vul onderstaand formulier in en wij nemen vandaag nog contact met je op, je kan ons ook bellen op 0900-0279
- Autoriteit Persoonsgegevens. (z.j.). Beveiliging van persoonsgegevens. Geraadpleegd van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens ↩
- Nationaal Cyber Security Centrum (NCSC). (2015). ICT-Beveiligingsrichtlijnen voor Webapplicaties (p.18, U/WA.05). Geraadpleegd van https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties/2/ICT%2BBeveiligingsrichtlijnen%2Bvoor%2BWebapplicaties%2B%2B%2BRichtlijnen%2B%2B%2BPrintversie.pdf ↩ ↩
- Landeweerd, M. (2012, 12 januari). SSL voor webwinkels verplicht? Geraadpleegd van https://www.webwinkelkeur.nl/ssl-voor-webwinkels-verplicht/ ↩
- College Bescherming Persoonsgegevens. (2013). CBP Richtsnoeren BEVEILIGING van persoonsgegevens. Geraadpleegd van https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf ↩
- IETF HTTP Working Group. (z.j.). HTTP/2 Frequently Asked Questions. Geraadpleegd van https://http2.github.io/faq/#does-http2-require-encryption ↩
- Valk, J. de. (2016, 22 december). Performance optimization in an HTTP/2 world. Geraadpleegd van https://yoast.com/performance-optimization-http2/ ↩
- W3schools. (z.j.). HTML5 Geolocation. Geraadpleegd op 8 augustus 2017, van https://www.w3schools.com/html/html5_geolocation.asp ↩
- Kinlan, P. (2017, 16 mei). Geolocation API Removed from Unsecured Origins in Chrome 50. Geraadpleegd op 8 augustus 2017, van https://developers.google.com/web/updates/2016/04/geolocation-on-secure-contexts-only ↩
- Medley, J. (2017, 14 juni). Web Push Notifications: Timely, Relevant, and Precise. Geraadpleegd op 8 augustus 2017, van https://developers.google.com/web/fundamentals/engage-and-retain/push-notifications/ ↩