Als gebruiker herken je het waarschijnlijk wel als je een website bezoekt zonder SSL-certificaat of een certificaat aantreft dat niet geldig of onbetrouwbaar is, dan geeft de browser een foutmelding om de gebruiker te waarschuwen.
Als webshop eigenaar is het soms een terugkerend jaarlijks patroon van een certificaat wat opnieuw geregeld en geinstalleerd moet worden. Om je webshop goed te laten functioneren is een SSL certificaat een belangrijk onderdeel. In deze blog leg ik je uit wat een SSL certificaat is, waarom je het nodig hebt en hoe je eraan komt.
Wat is het doel van een SSL certificaat?
Een SSL-certificaat (Secure Sockets Layer) is een beveiligingsprotocol dat wordt gebruikt om een versleutelde verbinding tussen een webserver en een webbrowser tot stand te brengen. Het heeft verschillende belangrijke functies en voordelen voor websites:
- Beveiliging van gegevens: SSL-certificaten versleutelen de gegevens die worden verzonden tussen de server en de gebruiker. Dit betekent dat gevoelige informatie, zoals wachtwoorden, creditcardgegevens en persoonlijke gegevens, wordt beschermd tegen onderschepping door kwaadwillenden.
- Authenticatie: Het certificaat verifieert de identiteit van de website. Dit helpt gebruikers te controleren of ze communiceren met de legitieme website en niet met een imitatie of een frauduleuze site. Dit versterkt het vertrouwen van gebruikers.
- Vertrouwen en reputatie: Websites met een SSL-certificaat tonen meestal een hangslotpictogram in de adresbalk van de browser, en de URL begint met “https” in plaats van “http.” Dit signaleert aan gebruikers dat de verbinding veilig is. Sommige browsers geven waarschuwingen als een site geen SSL-certificaat heeft, wat gebruikers kan afschrikken.
- SEO-voordeel: Zoekmachines zoals Google geven de voorkeur aan beveiligde websites (https) en geven deze een hogere rangschikking in de zoekresultaten. Dit kan bijdragen aan een betere zichtbaarheid van je website.
Hoe kan je het certificaat van een webshop controleren?
In iedere browser kun je bij het bezoeken van een webshop controleren of er een certificaat aanwezig is, wat voor certificaat het is en wie het heeft uitgegeven. Voor het domein staat een slotje en daarnaast begint de URL met https://. In veel browsers als je op het slotje klikt, kun je zien of het certificaat geldig is.
In Chrome klik je op de link “certificaat is geldig”, daarna verschijnt er een pop-up venster. Zo kun je zien tot wanneer het certificaat geldig is, wat voor type certificaat het is en wie het uitgegeven heeft.
Moet je dit dan altijd zelf controleren? Het antwoord is, nee. Gebruik je een gangbare moderne browser zoals Chrome, Firefox etc dan wordt dit voor je gecontroleerd en zie je een (fout)melding.
Wanneer geeft een browser een foutmelding
Wanneer een browser een website zonder SSL-certificaat bezoekt of een certificaat aantreft dat niet geldig of onbetrouwbaar is, geeft de browser een foutmelding om de gebruiker te waarschuwen. Dit gebeurt om verschillende redenen:
1. Geen versleutelde verbinding (HTTP in plaats van HTTPS)
Een website zonder SSL-certificaat maakt gebruik van het standaard HTTP-protocol in plaats van HTTPS. Dit betekent dat de gegevens die tussen de gebruiker en de website worden verzonden, niet versleuteld zijn. Iedereen die de gegevens onderweg onderschept, kan ze inzien of manipuleren. Browsers geven daarom een waarschuwing om de gebruiker bewust te maken van dit risico, zoals:
- “Deze verbinding is niet privé” of “Not Secure” in Google Chrome.
- “Beveiligingsrisico gedetecteerd” in Mozilla Firefox.
2. Onbetrouwbare certificeringsinstantie (CA)
Als het SSL-certificaat is uitgegeven door een onbekende of niet-vertrouwde certificeringsinstantie (CA), zal de browser dit als onbetrouwbaar markeren. Browsers hebben lijsten met vertrouwde certificeringsinstanties. Als de uitgever van het certificaat niet op die lijst staat, kan de browser een foutmelding geven, zoals:
- “Uw verbinding is niet privé” met de toevoeging dat de uitgever van het certificaat niet wordt vertrouwd.
3. Verlopen certificaat
SSL-certificaten hebben een vervaldatum, en als een certificaat niet op tijd wordt vernieuwd, beschouwt de browser het als ongeldig. Dit kan een waarschuwing geven zoals:
- “Het SSL-certificaat van deze website is verlopen” of “Deze verbinding is niet veilig”. Dit kan gebeuren als de websitebeheerder vergeten is het certificaat te vernieuwen.
4. Mismatch tussen domeinnaam en certificaat
Als het certificaat is uitgegeven voor een ander domein dan het domein dat je bezoekt (bijvoorbeeld als het certificaat voor “www.domein.com” is uitgegeven, maar je “domein.com” zonder “www” bezoekt), geeft de browser een waarschuwing voor een domeinnaam mismatch. Dit kan lijken op:
- “Uw verbinding is niet privé” met uitleg dat het certificaat niet geldig is voor de bezochte domeinnaam.
5. Zelfondertekend certificaat
Een zelfondertekend certificaat is een certificaat dat niet door een externe certificeringsinstantie is uitgegeven, maar door de website-eigenaar zelf. Dit type certificaat wordt niet vertrouwd door browsers omdat er geen onafhankelijke verificatie van de identiteit van de website heeft plaatsgevonden. Dit leidt vaak tot een foutmelding:
- “Deze verbinding is niet beveiligd” of “Zelfondertekend certificaat”.
6. Beveiligingsproblemen en phishing risico’s
Browsers waarschuwen ook omdat een ontbrekend of ongeldig SSL-certificaat kan wijzen op een beveiligingsrisico. Kwaadwillenden kunnen onbeveiligde websites gebruiken om gegevens te onderscheppen of phishing-pogingen uit te voeren, waarbij ze gebruikers naar valse websites leiden om gevoelige gegevens te stelen.
Reden voor waarschuwingen in moderne browsers
Moderne browsers zoals Google Chrome, Firefox en Safari leggen steeds meer nadruk op beveiliging en privacy. Daarom geven ze duidelijk aan wanneer een website geen geldig SSL-certificaat heeft om gebruikers te beschermen tegen mogelijke datalekken en cyberaanvallen. Zonder die waarschuwingen zouden gebruikers onbewust risico lopen wanneer ze gevoelige gegevens versturen via een onbeveiligde verbinding.
Hoe kun je een SSL certificaat krijgen?
Het verkrijgen van een SSL-certificaat voor je website kan op verschillende manieren en via verschillende leveranciers. Hier zijn de belangrijkste stappen om een SSL-certificaat te krijgen:
1. Kies een type SSL-certificaat
Er zijn verschillende soorten SSL-certificaten, afhankelijk van het beveiligingsniveau en het doel van je website:
- Domein gevalideerd (DV) certificaat: Bevestigt alleen dat je het domein beheert. Dit is de eenvoudigste en goedkoopste optie.
- Organisatie gevalideerd (OV) certificaat: Bevestigt zowel je domein als de legitimiteit van je organisatie. Dit vereist meer verificatie.
- Uitgebreide validatie (EV) certificaat: Geeft het hoogste niveau van beveiliging en vertrouwen, met strikte controles op de organisatie en haar wettelijke status. Dit certificaat toont de bedrijfsnaam in de adresbalk.
2. Kies een SSL-certificaataanbieder
Je kunt SSL-certificaten krijgen van verschillende certificeringsinstanties (CA’s), zoals:
- Let’s Encrypt (gratis SSL-certificaten)
- Comodo
- DigiCert
- GlobalSign
- Symantec
Sommige webhostingproviders bieden ook SSL-certificaten aan als onderdeel van hun pakketten, soms gratis of tegen een kleine vergoeding.
3. Maak een Certificate Signing Request (CSR)
Dit is een bestand dat je aanmaakt op de server van je website. Het bevat informatie over je domeinnaam en organisatie, en wordt gebruikt door de CA om het SSL-certificaat te genereren. Je kunt een CSR aanmaken via je webhostingprovider of zelf op de server, afhankelijk van je setup.
4. Validatieproces
Afhankelijk van het type SSL-certificaat dat je kiest, zal de certificeringsinstantie (CA) je identiteit en/of eigendom van de website verifiëren:
- Domeinvalidatie (DV): Je moet doorgaans een e-mail bevestigen of een DNS-record aanmaken om te bewijzen dat je eigenaar bent van het domein.
- Organisatie- of Uitgebreide validatie (OV/EV): Voor deze certificaten moet je aanvullende informatie verstrekken over je bedrijf of organisatie en documenten overleggen ter verificatie.
5. Ontvang en installeer het SSL-certificaat
Na succesvolle validatie ontvang je het SSL-certificaat van de CA. Vervolgens moet je het certificaat op je webserver installeren. Dit kan meestal via je webhostingpaneel (zoals cPanel, Plesk, of DirectAdmin) of handmatig via de commandoregel als je een eigen server beheert.
6. SSL-certificaat vernieuwen
SSL-certificaten hebben een beperkte geldigheidsduur (meestal 1 tot 2 jaar), dus je moet ze periodiek vernieuwen. Voor Let’s Encrypt-certificaten is dit doorgaans om de 90 dagen, maar dit kan vaak automatisch worden ingesteld.
Optionele stap: Automatische installatie (bij sommige hostingproviders)
Veel webhostingbedrijven, vooral die gratis SSL via Let’s Encrypt aanbieden, verzorgen de hele installatie en verlenging automatisch zonder dat je handmatig hoeft in te grijpen.
Als je deze stappen volgt, zou je website beveiligd moeten zijn met een SSL-certificaat en kun je profiteren van de voordelen van een versleutelde verbinding.
Kortom, een SSL-certificaat is essentieel voor de beveiliging van een website, vooral als er gevoelige informatie wordt verwerkt, en het verbetert ook de reputatie en prestaties van de site op zoekmachines.
Browsers geven foutmeldingen wanneer er geen geldig SSL-certificaat is, omdat een onbeveiligde of onbetrouwbare verbinding de kans vergroot dat gegevens worden onderschept of gemanipuleerd. Het doel van deze meldingen is om gebruikers bewust te maken van mogelijke beveiligingsrisico’s en hen te beschermen tegen aanvallen of datalekken.
Is er geen SSL certificaat, dan kun je veel tijd en geld besteden aan marketing, traffic naar de site en veel geld besteden aan functioneren en de look-and feel, maar wil je een goed vindbare, functionerende webshop/ website dan is een SSL certificaat dus van essentieel belang!
