De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

Je website beveiligen met een SSL-certificaat

Oplossing

Alles over het waarom, wat en hoe

Eerst over het waarom...

  1. een https-website herken je aan het groene slotje

    De belangrijkste reden om een SSL-certificaat op je site te installeren, is denk ik omdat je daarmee aan je bezoekers en klanten duidelijk maakt dat je de veiligheid en betrouwbaarheid van je website serieus neemt. Een website met SSL-beveiliging herken je aan het groene slotje in de adresbalk en de letters https in plaats van http vooraan de url. De extra ‘s’ staat voor secure.

  2. Een tweede, even belangrijke reden eigenlijk, kan zijn omdat zo’n certificaat voor jou gewoon verplicht is. Want als je webpagina’s hebt waarop je bezoekers persoonlijke gegevens kunnen invullen, dan ben je in het kader van de Wet Bescherming Persoonsgegevens verplicht het dataverkeer tussen die pagina’s en je bezoekers te beschermen via SSL.

  3. Een derde reden die vaak wordt aangevoerd, is dat de Chrome-browser (van Google) tegenwoordig een site die geen SSL-certificaat heeft, aanmerkt als onveilig. Sommigen beweren dat die check in feite niets om het lijf heeft, omdat er nog helemaal niet wordt gecontroleerd of een certificaat wel of niet geldig is (zie dit interview). Er wordt alleen gecontroleerd of er wel vijf karakters voor de dubbele punt in de domeinnaam staan (dus https:// in plaats van http://). Maar goed, je bezoekers haken misschien wel af als ze zien dat Chrome je site aanmerkt als niet-veilig, en dat wil je natuurlijk niet!

  4. Een laatste argument voor een SSL-beveiliging ten slotte, zou zijn dat je hierdoor hoger zou scoren in de Google-zoekresultaten. Nu is dat op dit moment (november 2017) nog niet direct het geval, maar het ziet er wel naar uit dat Google deze factor hoe langer hoe meer laat meewegen bij de beoordeling van je site.

Kortom, ook al is een websitebeveiliging met https strict genomen niet direct nodig, toch denk ik dat je er beter aan doet om een SSL-certificaat op je website te (laten) installeren.

Nu over het wat...

Wat is een SSL-certificaat eigenlijk?

Een SSL-certificaat is een bewijs van een derde partij dat een paar gegevens die betrekking hebben op je domeinnaam zijn geverifieerd. Welke gegevens dat precies zijn hangt van het type certificaat af, maar je moet denken aan wie de eigenaar is van die domeinnaam, en – als de website-eigenaar een bedrijf is – onder welke naam en rechtsvorm dat bedrijf is geregistreerd. Ook zorgt deze partij ervoor – als het certificaat eenmaal op een website is geïnstalleerd – dat alle gegevens die heen en weer worden gestuurd tussen de site en de bezoekers ervan versleuteld worden.

In de praktijk betekent dat dus dat als een van jouw bezoekers in een contactformulier op een van je webpagina’s een paar persoonlijke gegevens invult en daarna op de verzendknop klikt, die gegevens niet zomaar door anderen onderschept kunnen worden. En dat is wel zo’n prettig gevoel voor de invullers. Het is misschien niet heel erg als een e-mailadres zou worden onderschept, maar als het om bankrekeningnummers, telefoonnummers, geboortedata of gebruikersnaam/wachtwoord-combinaties gaat, dan ligt dat zeker anders!

Certificaten in soorten en maten

Er zijn een heleboel verschillende SSL-certificaten. De meest gangbare daarvan is de zogenaamde domeinvalidatie. Dat is ook het certificaat dat ik op deze website heb laten installeren. Bij dit certificaat wordt gecheckt of ik wel echt de eigenaar ben van deze domeinnaam. Bij uitgebreidere certificaten wordt er ook nog gekeken naar het bedrijf dat achter een domeinnaam schuilgaat en de rechtsvorm van dat bedrijf. Maar welk certificaat je ook hebt, de verbinding tussen de bezoeker en de site is in ieder geval volledig versleuteld.

En ten slotte over het hoe

Hoe kom je nu aan zo’n SSL-certificaat?

Een SSL-certificaat moet worden afgegeven door een instantie die daartoe bevoegd is. Als je dit overzicht van certificatie-instanties bekijkt, dan zie je dat dat er niet zo heel veel zijn. Het certificaat op mijn website is afgegeven door Comodo. Ik heb hen daarvoor niet zelf hoeven te benaderen, maar via mijn hosting provider een certificaat aangevraagd.

Aan een SSL-certificaat zijn vaak wel kosten verbonden: ik betaal een kleine 50 euro per jaar voor de SSL-beveiliging van mijn site. Wil je een uitgebreider certificaat, dan kan dit bedrag oplopen tot meer dan 200 euro per jaar.

Er zijn ook certificatie-instanties die gratis certificaten afgeven (zoals Let’s Encrypt), maar eerlijk gezegd gaan hun handleidingen mijn kennis en geduld te boven. Ik zou iedereen dan ook aanraden de aanvraag en installatie van een SSL-certificaat via zijn eigen webhosting provider te regelen.

Het is natuurlijk wel altijd een goed idee om nog even te controleren of het SSL-certificaat wel goed is geïmplementeerd. Daarvoor kun je de validatietool van Qualsys gebruiken.

Wat je zelf moet doen

Als je je website gaat beveiligen met SSL, verhuis je je website in feite van het ene adres naar het andere. Want het ‘adres’ van al je bestanden (je pagina’s, je stylesheet(s), je script-bestanden, je foto’s, je sitemap, enz.) verandert namelijk: de eerste letters zijn niet meer http, maar https. Dat betekent in mijn geval dat ik overal waar https://de-help-desk.nl stond, dit heb moeten veranderen in https://de-help-desk.nl. Aan de relatieve links hoef je natuurlijk niets te doen. (Relatieve links zijn links waarin niet je volledige domeinnaam uitgeschreven stond, maar alleen het relatieve pad, zoals: images/mew-logo.png.)

Mocht je nog iets over het hoofd hebben gezien (wat heel waarschijnlijk is als je een grote site hebt), dan kun je dat ondervangen door middel van een zogenaamde 301-redirect. Dat zijn een paar regels die je in een .htaccess-bestand in de hoofdmap (de root) van je site zet. Een .htaccess-bestand is een gewoon websitebestand, maar in plaats van de extensie .html, .php of .css heeft het de extensie .htaccess (vóór de punt komt er niks te staan). In dit bestand geef je aan dat alle bezoekers die nog op oude http-pagina’s op je website binnenkomen, automatisch moeten worden doorgestuurd naar de https-versies van diezelfde pagina’s. Dat doe je met deze regels:

RewriteEngine On
RewriteCond %{HTTPS} off 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Het kan zijn dat er in de hoofdmap van je website al een bestand met de naam .htaccess stond. Zo’n bestand wordt namelijk voor nog wel meer dingen gebruikt, bijvoorbeeld om door te geven welke foutpagina je wilt laten vertonen als iemand een pagina op je site probeert op te vragen die niet (meer) bestaat. Staat er dus al een .htaccess-bestand op je server, download het dan eerst en voeg daarna pas bovenstaande regels toe aan dit bestand. Let op: het is een verborgen bestand, je zie het pas staan als je (in FileZilla) de optie Server - Tonen van verborgen bestanden forceren aanklikt.

Heb je dit alles gedaan, dan roep je in Google Chrome je pagina’s een voor een op en kijk je of het groene slotje verschijnt. Is dat niet het geval, dan staat er op die pagina een link die nog niet is omgezet van http naar https. Soms kan het lastig zijn de boosdoener te vinden. De SSL-checkers WhyNoPadlock.com of JitBit.com kunnen je in dat geval helpen.

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen Letsencypt of Comodo
SSL sertificaat installeren in ISPconfig
Je website beveiligen – daar kun je niet omheen!
Een website beginnen, vijf zaken waar je niet buiten kunt
Hoe je een eigen error-pagina maakt voor je website
SSL / HTTPS forceren voor domein
Tips en tools voor website-beheer
Wil je een deel van je website beveiligen met een wachtwoord?
Een domeinnaam aan het zoeken? Wat je niet moet doen!
Waarom ik geen links-pagina heb
Artikel details
Artikel ID: 648
Categorie: Een eigen website maken - Beveiliging
Zoekwoorden ssl, certificaat, beveiligen, installeren, lets, encrypt, lets-encrypt, https, SSL-certificaat, bewijs, veilig, veiligheid, website, beveiliging
Datum toegevoegd: 4-Dec-2017 19:45:29
Aantal bekeken: 3700
Beoordeling (Stemmen): Artikel beoordeeld 5.0/5.0 (1006)

 
« Ga terug