Een tijdje geleden postten we een artikel over de nieuwe mogelijkheden van SSL certifcaten. Hierbij is het niet langer vereist om een uniek IP adres te hebben om gebruik te kunnen maken van een SSL certificaat voor uw website. Dit scheelt natuurlijk kosten, maar ook in het gemak van het installeren hiervan.
Maar nu is de vraag, waarom zou u gebruik willen maken van een SSL certificaat? Uw website werkt toch ook gewoon, via http://? Waarom zou u via https:// bereikbaar willen zijn? Om deze vragen goed te kunnen beantwoorden, is een uitleg over SSL misschien handig.
Wat is SSL?
SSL staat voor ‘Secure Sockets Layer’. Vrij vertaald is het een extra veilige laag over het verstuurde webverkeer. Ter verduidelijking, denk hierbij aan het invullen van een contactformulier.
- U bezoekt een pagina met een contactformulier. Deze pagina wordt door uw browser van de server naar uw computer gedownload en aan u weergegeven.
- U vult de gegevens in. Dit gebeurt in uw browser en dus op uw eigen computer. Dan klikt u op verzenden.
- Uw browser verzamelt de door u ingevulde gegevens en verstuurt deze naar de server. Dit gebeurt gewoon zoals u de gegevens heeft ingevuld, dus bijvoorbeeld
* Naam: Jan
* Emailadres: maarten@voorbeeld.nl
* Telefoonnummer: 0123456789
- De server neemt de gegevens in ontvangst en verwerkt ze. Een eventuele succespagina wordt terug naar uw browser gestuurd, welke weer op uw computer wordt weergegeven.
Normaal gesproken gebeurt dit verzenden via het HTTP protocol. Mocht er iemand zijn die de verbinding tussen uw computer en de server afluistert, weet die dus nu wat uw naam, e-mailadres en telefoonnummer is.
Het HyperText Transfer Protocol Secure, afgekort HTTPS, is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij het gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Het invullen van een contactformulier ziet er dan zo uit:
- U bezoekt een pagina met een contactformulier. Deze pagina wordt door de server versleuteld. Uw browser download deze pagina en krijgt daarbij de sleutel, zodat de pagina kan worden weergegeven.
- U vult de gegevens in. Dit gebeurt in uw browser en dus op uw eigen computer. Dan klikt u op verzenden.
- Uw browser verzamelt de door u ingevulde gegevens, gebruikt de van de server ontvangen sleutel om deze te versleutelen en verstuurt deze vervolgens naar de server. Dit gebeurt nu versleuteld. In plaats van de leesbare inhoud van een paar regels hierboven, zou dit er bijvoorbeeld zo uit kunnen zien:
20c438d80deaf84549fe0b8c01ebe07f
d5a0669c41e1b943e2cb0754a08d933f
e866dbc703334a866659c90f22780454
- De server neemt de gegevens in ontvangst, ontsleutelt ze en verwerkt ze. Een eventuele succespagina wordt terug naar uw browser gestuurd (ook versleuteld), welke weer op uw computer wordt weergegeven.
Zoals u ziet is een HTTPS-verbinding dus eigenlijk een normale HTTP-verbinding, maar dan met een extra laagje beveiliging. De SSL-verbinding versleutelt het HTTP-verkeer waardoor dit, als het onderschept wordt, niet te lezen valt zonder het encryptie-algoritme te kraken.
Naast deze beveiliging zitten er verschillende voordelen aan het gebruik van een SSL certificaat. Twee hiervan zijn hier noemenswaardig, zo niet doorslaggevend bij de overweging of u wel of geen SSL certificaat wilt gebruiken voor uw website.
Wettelijk verplichting
Hier is enige uitleg bij nodig. Wanneer uw website persoonlijke gegevens van uw bezoekers vraagt en/of opslaat, doet u namelijk aan ‘het verwerken van persoonsgegevens’. Dat klinkt als een heel ver-van-uw-bed-verhaal, tenzij u bijvoorbeeld een webwinkel beheert. Maar, zo ver is het eigenlijk helemaal niet. Denk maar eens aan dat contactformulier op uw website. U vraagt hierbij bijvoorbeeld om mijn naam, e-mailadres en telefoonnummer. Dat zijn mijn persoonsgegevens. Die verwerkt u, want uw website neemt mijn gegevens in ontvangst en stuurt ze vervolgens naar u toe of slaat ze op in een database.
Met andere woorden, bijna iedere website verwerkt zo’n beetje persoonsgegevens, ook al is het maar alleen een naam en e-mail adres. En dus treedt de Wet Bescherming Persoonsgegevens, hoofdstuk 2, artikel 13, in werking:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
En hier ontstaat een discussiepunt. Wat zijn ‘passende technische en organisatorische maatregelen’? Wat is een ‘passend beveiligingsniveau’ en welke risico’s zijn er verbonden aan het vragen van mijn gegevens? Dit is natuurlijk helemaal afhankelijk van wat u van mij vraagt.
Bij het invullen van een contactformulier vraagt u me vermoedelijk alleen maar om mijn naam en e-mailadres. Misschien mijn telefoonnummer, maar dat zou een vrijwillig veld kunnen zijn. Wat is dan het risico, stel dat deze gegevens onderschept zouden worden? Iemand zou mij een mail kunnen sturen? Dat gebeurt dagelijks regelmatig, ook ongewenst, dus dat is niet echt risico. Van de andere kant, het zijn wel mijn gegevens, dus u moet daar zuinig mee om gaan. Een SSL beveiliging zou hier dus feitelijk wel verplicht zijn, maar hier zult u geen problemen mee krijgen als u het niet heeft.
Een ander verhaal wordt het als u me om mijn BSN, DigiD inlogcode of andere persoonlijke gegevens zou vragen. Deze gegevens kunnen namelijk wél misbruikt worden als ze in verkeerde handen vallen en moeten dus te allen tijde beveiligd worden. In zo’n geval is een SSL certificaat vereist en zult u behoorlijk in de problemen komen als hier op gecontroleerd wordt en u dit niet heeft.
Helemaal uit den boze is het natuurlijk als u mijn NAW- en betalingsgegevens zou hebben en deze onbeveiligd zou versturen of op zou slaan, maar dit zal voor zich spreken. Daarom maken veel webshops ook gebruik van een externe betalingsprovider, dat scheelt zelf weer een investering en het risico wordt verlegd naar een andere partij.
Google vindt u meer waard
Oké, dus u bent in sommige gevallen verplicht, in andere gevallen weer niet. U bent dus nog niet overtuigd. Het tweede argument kan u wellicht wel bekoren. Een website heeft u om gevonden te worden, toch? En aangezien dat een kleine 70% van de wereldbevolking gebruik maakt van Google om hun zoektermen in te tikken, is deze partij toch een grote factor bij het inrichten en zichtbaar maken van uw website. En laat Google nu net bekend gemaakt hebben, dat websites welke via https :// (dus mét SSL certificaat) benaderd worden een bonus krijgen!
De redenering hierachter is dat ze alle websites graag zo veilig mogelijk zien. En ze vinden dat dit beloond mag worden. Hierdoor wordt er een bonus gegeven bij de ranking op het moment dat Google merkt dat uw website gebruik maakt van een beveiligde verbinding via SSL. Op dit moment is het nog van beperkte invloed op uw ranking, maar naarmate er meer websites via SSL bereikbaar zullen worden, wil Google deze invloed uitbreiden.
Conclusie
Zoals u ziet, kan het dus zeker geen kwaad om een SSL certificaat aan uw website te koppelen. Dit is natuurlijk niet voor iedereen weggelegd, omdat het toch weer wat kosten met zich meebrengt. Heeft u een persoonlijke site met wat informatie over uw hobby of vrijwilligerswerk, dan is het dus niet echt een ideale situatie. Voor iedere serieuze website, of deze nu voor uw sportvereniging, werk of website is, doet u er het beste aan om toch deze stap te nemen en een SSL certificaat af te koppelen. Wij bieden deze aan in verschillende vormen, meer informatie hierover leest u terug op https://flexwebhosting.nl/ssl-certificaten (inclusief beveiliging!).
En om u nóg verder te overtuigen, zijn ze ook nog eens in de aanbieding: Bestelt u vóór 1 oktober 2014 een Rapid SSL certificaat, krijgt u het eerste jaar 20% korting
Bronnen:
http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_19-08-2014#Hoofdstuk2
http://googlewebmastercentral.blogspot.nl/
http://www.netmarketshare.com/search-engine-market-share.aspx?qprid=4&qpcustomd=0&qptimeframe=M
Dit artikel is geplaatst op 26 augustus 2014. Het kost je ongeveer 7 minuten om het te lezen.