Je website beveiligen met een SSL certificaat

Je website beveiligen met een SSL certificaat

Door nieuwe Europese richtlijnen gaat er een nieuwe wet in 2018 in werking die consequenties heeft voor website eigenaren (dus ook voor jou als je een website hebt!).
Door de Wet Bescherming Persoonsgegevens ben je verplicht om je website(s) te beveiligen.
Dat is eigenlijk alleen nodig als je persoonsgegevens verzameld.

Is deze wet altijd van toepassing ?

De WBP is niet op elke verwerking van persoonsgegevens van toepassing.
Zo is de WBP niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden.
Voorbeelden hiervan zijn persoonlijke aantekeningen, of een lijst met adressen en telefoonnummers van vrienden en familieleden (dus veelal NIET de bezoekers van jouw website!!).
Daarnaast is toepasselijkheid van de WBP uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.

Meer hierover kan je lezen op de website https://www.justitia.nl/privacy/

Zoals je ziet is dit bericht ook niet helemaal veilig omdat de link hierboven verwijst naar een niet beveiligde website.
Omdat in de pagina van deze website geen ‘rare’ dingen gebeuren is dit niet zo erg.

Wat voor gegevens verzamel jij op je website?

Eigenlijk ben je al bezig met het verzamelen van gegevens als je een contactformulier op je website hebt staan, waarin een bezoeker een naam en e-mail adres moet invullen.
Klinkt dat raar? Nee hoor, want anders zou je helemaal nooit kunnen reageren op een ingevuld contactformulier!
Ook aanmeldingen voor een nieuwsbrief zijn al voldoende om in aanmerking te komen voor een beveiligde website. Je moet dan immers in ieder geval een e-mail adres invullen.
Als je ook nog een webshop hebt, wordt het helemaal interessant, omdat je bij bestellingen een adres moet opgeven, vaak ook een telefoonnummer en soms ook zelfs gegevens in verband met de betaling, zoals creditcard nummer of IBAN nummer.
Zodra een gegeven direct gekoppeld kan worden aan een persoon, treedt de WBP in werking.
De invoer van deze gegevens moeten worden beveiligd op het moment dat ze door een bezoeker worden ingevuld en naar jou worden verzonden of als deze gegevens in een database worden opgeslagen.
Om deze reden moeten websites worden voorzien van een SSL certificaat.

Wat is SSL?

SSL staat letterlijk voor Secure Sockets Layer wat betekent dat er een beveiligde laag geplaatst wordt tussen een server en een internet browser waardoor de gegevens beveiligd worden door middel van een versleuteling van de gegevens.

SSL certificaten maken gebruik van het https-protocol van de browser (via poort 443) wat de beveiligde verbinding tot stand brengt. Daardoor is (een gedeelte van) de website ook alleen via https:// te bereiken op het internet.

SSL certificaten bestaan minimaal uit 3 sets van codes die bestaan uit een reeks cijfers, letters en leestekens zoals dit : /i6XIIAh1Ua33rLASTWgGx6n4T+Yp8O4w2RC7rV7r.
De totale reeks is langer dan in het voorbeeld.

Wat is een SSL certificaat?

Een SSL certificaat is een digitaal bestand dat zorgt voor een goede beveiliging van gegevens tussen de server (van jouw website) en een internet browser (zoals Chrome of Internet Explorer).

Doordat SSL certificaten een beveiligde sleutel koppelen op moment van de connectie tussen jouw computer en de server van een website kunnen gegevens live versleuteld worden waardoor deze veilig ingevoerd kunnen worden zonder dat deze door een hacker of andere externe systemen kunnen worden lezen. De gegevens zijn immers versleuteld.

Op die manier kunnen login- en betalingsgegevens zoals wachtwoorden, creditcardnummers en persoonsgegevens veilig gebruikt worden op websites die beveiligd zijn met een SSL certificaat.

Een SSL certificaat aanvragen moet altijd door de eigenaar van de website aangevraagd worden. Deze certificaten worden door verschillende certificaatautoriteiten uitgegeven en gecontroleerd. Als zo’n certificaat wordt aangevraagd, wordt dit gekoppeld aan de domein naam. Als je voor je website verschillende sub-domeinen gebruikt, moeten deze in het certificaat worden opgenomen.

Even als voorbeeld : Jan heeft een website met een domein naam : jewebsitenaam.nl (de TLD – Top Level Domain)
Jan wil bereikbaar zijn door alleen de domeinnaam in te geven(jewebsitenaam.nl) maar ook via de subdomein www (www.jewebsitenaam.nl)
Jan heeft ook een webshop die werkt op de subdomein ‘webshop’ (dus webshop.jewebsitenaam.nl)
Normaal wordt dit dan als webadres http://jewebsitenaam.nl of http://www.jewebsitenaam.nl of http://webshop.jewebsitenaam.nl

Er moet dan een certificaat worden aangevraagd waar de TLD én de subdomeinen www en webshop worden genoemd. Als bijvoorbeeld de webshop niet mee wordt genomen in het certificaat dan zal de webshop niet mee worden genomen in de beveiliging en zal ook niet meer werken.

Er zijn ook certificaten waarmee alle subdomeinen worden gedekt, zogenaamde wildcard certificaten. Hierbij is alles wat vóór de domeinnaam wordt genoemd ook gedekt. (*.jewebsitenaam.nl). Spreek dat goed af met de tussenpersoon die jouw certificaat gaat aanmaken of bestellen.

 

Wat nu verder als je een certificaat hebt?

Als je een geldig certificaat hebt, kan dit door de webhoster daarna worden geïnstalleerd en gekoppeld aan de website.
Zo’n certificaat is niet onbeperkt geldig. Het certificaat moet periodiek worden ververst en wordt dan opnieuw gekoppeld aan de website.
Meestal merk je daar niets van, behalve dat de kosten van het nieuwe certificaat aan jou worden gepresenteerd.

 

Wat houdt dit in voor jouw website?

Allereerst moet jouw website worden gehost op een veilige webserver.
Dat is meestal niet zo’n punt, omdat webhosters toch al moeten zorgen voor een veilige server en beveiligingen moeten aanbrengen in de server om te voorkomen dat de server wordt belaagd door hackers.
Ben je gehost bij ICT Approach, dan wordt je website verplaatst naar een server die speciaal is ingericht voor alleen SSL gecertificeerde websites en die bovendien moeten voldoen aan de beveiligingseisen van de laatste webhosting programma’s. Dit houdt in dat de websites ge-updated moeten zijn van de laatste CMS versie, die moet voldoen aan de PHP versie 7 eisen.

Daarnaast moet jouw website worden voorzien van het SSL certificaat en moet de inhoud van je website worden gecontroleerd.
Het kan voorkomen dat in de inhoud van de website links staan naar een niet beveiligde website, of dat er afbeeldingen in staan die niet juist zijn geplaatst. Dit wordt ‘gemengde inhoud’ genoemd.Deze moeten allemaal worden aangepast, zodat ze voldoen aan de beveiliging eisen.

Hoe zie je of je website veilig is?

Je kan het zowiezo zien in je eigen webbrowser.

 

  • Als de URL van de website begint met HTTPS:// dan is de website beveiligd met een SSL certificaat.
    Je kan dit controleren in de adresbalk van de internetbrowser die je gebruikt
  • Als er een SSL certificaat actief is wordt er een slotje getoond in de adresbalk van je internetbrowser
    Afhankelijk van je browser (Internet Explorer, Safari, Firefox, Chrome) staat dat voor of achter de URL, in sommige browsers wordt dit niet automatisch getoond.
  • Als er een SSL certificaat met Extended Validation (EV) actief is wordt de adresbalk groen en wordt de naam van het bedrijf in de adresbalk getoond.
    Dit zijn specifieke SSL certificaten die de bezoeker extra signalen geeft dat de website te vertrouwen is.
  • Als je op het slotje klikt in de adresbalk van je browser, wordt vaak gedetailleerde informatie getoond over het certificaat.
  • Als je website niet een groen slotje toont, maar een uitroepteken, of een combinatie van een slotje en een uitroepteken, dan is de website niet volledig veilig.
    Dit is vaak het gevolg van gemengde inhoud. Je kan in de webbrowser klikken op het uitroepteken waarbij een venstertje wordt geopend. In Firefox kan je dan kiezen voor ‘Meer info’ wat weer een venster opend waarin je kan zien welke elementen niet veilig zijn. Dat voorkomt dat je veel tijd verliest met het zoeken naar de inhoud die toch niet zo veilig is als je dacht!

Je kunt je eigen website en de subdomeinen controleren op de SSL beveiliging met de link:  https://www.sslcheck.nl/

 

Wat doet ICT Approach ?

Voor de klanten die bij ICT Approach hosten:

  • Er wordt een controle uitgevoerd of de website in de huidige staat kan worden voorzien van een SSL certificaat.
  • Indien de website NIET voldoet aan de eisen, wordt een offerte gemaakt voor een upgrade van de website.
  • Als de website voldoet aan de eisen, wordt deze gratis verplaatst* naar de ICT Approach SSL server.
  • Het certificaat wordt tegen een jaarlijks bedrag aangemaakt voor het betreffende domein.
  • Het certificaat wordt gratis gekoppeld aan de website en voorzien van een automatische update service.
  • Er wordt een gratis controle uitgevoerd op de content van de website of deze voldoet aan de SSL standaard.
  • In overleg wordt de content tegen het geldende uurtarief aangepast, zodat de website helemaal veilig is.

Ben je geen klant bij ICT Approach, dan kan je website worden verhuisd tegen een aantrekkelijk webhosting tarief.
Voor het verhuizen wordt , inclusief de SSL certificering en controles wordt een offerte aangeboden.

Neem voor meer informatie contact op via het (beveiligde 😉 contactformulier!

 

0 Comments