Wat is een SSL-certificaat? Uitleg en Handleiding

In de begintijd van het internet werden alle webverzoeken en -antwoorden in "platte tekst" overgedragen. Dit betekende dat ze potentieel zichtbaar waren voor digitale afluisteraars, waardoor het riskant was om zaken als inloggegevens, creditcardnummers en andere gevoelige persoonlijke informatie te versturen. 

In het midden van de jaren '90 ontwikkelde Netscape een beveiligingsprotocol voor het versleutelen van vertrouwelijke informatie bij het leveren en overdragen van webinhoud. Dit protocol werd SSL (Secure Sockets Layer) genoemd en zou later evolueren tot een ander protocol genaamd TLS (Transport Layer Security). 

Hoewel SSL en TLS verschillen in termen van hun mogelijkheden en architectuur, bieden ze beide beveiliging door middel van een digitale technologie genaamd een SSL-certificaat. 

Wat is een SSL-certificaat?

Een SSL-certificaat is een digitaal certificaat dat de identiteit van een website verifieert en een versleutelde verbinding tussen een website en een browser creëert. Een SSL-certificaat wordt soms een "SSL/TLS-certificaat" of gewoon een "cert" genoemd.

SSL-certificaten beschermen de identiteit van de externe verbinding en maken online interacties privé, waardoor alleen de afzender en ontvanger de inhoud die over de veilige verbinding wordt gedeeld, kunnen lezen of wijzigen. Een SSL-certificaat werkt als een paspoort om de identiteit van de website-eigenaar te verifiëren en als een sleutel om de gebruikersgegevens te beveiligen door middel van sterke versleuteling.

Wat is een SSL-certificaatautoriteit (CA)?

SSL-certificaten worden uitgegeven door organisaties die certificaatautoriteiten (CA's) worden genoemd. Een CA is een vertrouwde derde organisatie die de identiteit van een website garandeert. Ze zijn vertrouwd omdat ze weinig in aantal, goed bekend en hoge instapdrempels moeten halen. Er zijn wereldwijd net iets meer dan 100 certificaatautoriteiten, en ze worden gecontroleerd om te worden opgenomen als een vertrouwde root door de leveranciers van webbrowsers en besturingssystemen.

Voordat een certificaat wordt uitgegeven, verifieert de CA de informatie van de certificaataanvrager, zoals site-eigendom, naam, locatie en meer, volgens vastgestelde industrienormen. De CA ondertekent het certificaat ook digitaal met hun eigen privésleutel, zodat klanten het kunnen verifiëren. Voor het leveren van deze dienst rekenen de meeste CA's een kleine jaarlijkse vergoeding (hoewel gratis SSL-certificaten beschikbaar zijn bij sommige webhosts en non-profit CA's).

Het daadwerkelijke SSL-certificaat is een klein digitaal bestand, meestal enkele kilobytes, dat op de server wordt geïnstalleerd die TLS ondersteunt en met anderen wordt gedeeld. Dit bestand bevat:

• De domeinnaam van de site waarvoor het certificaat is uitgegeven
• De organisatie waaraan het is uitgegeven (de certificaathouder)
• De naam van de uitgevende certificaatautoriteit 
• De digitale handtekening van de certificaatautoriteit
• Eventuele bijbehorende subdomeinen
• De uitgiftedatum van het certificaat en de vervaldatum 
• De publieke sleutel (opmerking: de privésleutel wordt niet gedeeld)

Telkens wanneer u een browser gebruikt om verbinding te maken met een URL die begint met "https," of een groen hangslotpictogram in de adresbalk van de browser ziet, weet u dat u een veilige TLS-verbinding heeft die is geverifieerd door een SSL-certificaat dat is uitgegeven door een CA. Door op het hangslotpictogram te klikken, wordt aanvullende informatie weergegeven over het SSL-certificaat, de domeineigenaar en de verbinding.

Hoewel dit hangslot betekent dat uw verbinding met de site veilig is, betekent dit niet noodzakelijk dat de site veilig is om te gebruiken. Dat wil zeggen, alleen omdat u veilig verbinding kunt maken met een site, betekent niet dat deze niet wordt gecontroleerd door kwaadwillende actoren.

Hoe werkt een SSL-certificaat?

Een SSL-certificaat gebruikt encryptie-algoritmen om gegevens tijdens de overdracht te versleutelen. Dit zorgt ervoor dat alle gegevens die tussen een browser en een website worden overgedragen, voor een derde partij onmogelijk te lezen zijn.

Veilige communicatie via TLS vertrouwt op twee certificaten—een openbaar en een privé—om de veilige verbinding tot stand te brengen. 

Wanneer een browser probeert verbinding te maken met een website die is beveiligd met TLS, wordt die communicatie tot stand gebracht door een "handshake," of heen-en-weer communicatie die slechts enkele milliseconden duurt. De stappen in deze handshake zijn:

1. De client (browser) maakt verbinding met de SSL-beveiligde website (server).
2. De client vraagt de server om zichzelf te identificeren.
3. De server stuurt een kopie van zijn SSL-certificaat.
4. De client onderzoekt het SSL-certificaat op betrouwbaarheid en signaleert dit aan de server als dit doorstaat.
5. De server start een digitaal ondertekende overeenkomst om een SSL-versleutelde sessie te starten.
6. Versleutelde gegevens stromen nu vrij en veilig tussen de browser en de server.

De initiële handshake gebeurt met asymmetrische versleuteling, gebaseerd op openbare en privé sleutels. Na validatie wisselen de client en server tijdelijke privésleutels uit, die alleen voor de sessie worden gebruikt. Dit zorgt voor efficiëntere versleuteling en ontsleuteling.

Typen SSL-certificaten

Om het meeste uit SSL te halen, moet je het juiste SSL-certificaat kiezen. Er zijn drie soorten standaard SSL-certificaten:

1. Domein gevalideerd (DV) certificaat
2. Organisatie gevalideerd (OV) certificaat
3. Uitgebreide validatie (EV) certificaat

Verschillende SSL-certificaten dienen verschillende doelen en hebben verschillende kosten.

Domein gevalideerd (DV) certificaat

Kosten: €0–€99 per jaar

Een DV SSL-certificaat omvat een minimale, geautomatiseerde identiteitsverificatie, waarmee alleen wordt vastgesteld dat de eigenaar controle heeft over de domeinnaam of subdomein. Dit gebeurt meestal via e-mail.

Een DV SSL-certificaat is de minst dure manier om een certificaat te verkrijgen, en de meeste gratis SSL-certificaten zijn van dit type. Het vertegenwoordigt echter de laagste standaard van websitebeveiliging. DV-certificaten zijn nuttig voor blogs, persoonlijke websites, kleine bedrijven of elke site met de meest basale beveiligingsbehoeften. 

Organisatie gevalideerd (OV) certificaat

Kosten: €100–€999 per jaar

Een OV SSL-certificaat biedt een sterkere garantie van de identiteit van de houder. Om een OV-certificaat te verkrijgen, moet de koper negen validatiecontroles doorstaan.

Dit is een middensegment bedrijfs certificaat, en de uitgevende CA garandeert dat de organisatie die aan het certificaat is gekoppeld geldig is en goede reputatie heeft. Dit is een goede aanpak voor bedrijven die geen financiële of e-commerce transacties via hun site uitvoeren.

Uitgebreide validatie (EV) certificaat

Kosten: €1.000+ per jaar

Een EV SSL-certificaat vertegenwoordigt het hoogste niveau van identiteitsverificatie, het meest geschikt voor bedrijven, financiële instellingen en e-commerce websites. Daarbij komt zestiendertig validatiecontroles, waaronder zowel juridische identiteit als fysieke locatie.

De eindgebruiker ziet een groene browserbalk, wat het hoogste niveau van verificatie aangeeft, evenals aanvullende bedrijfsinformatie achter het hangslot.

Wat als je meerdere domeinen moet beveiligen?

Een enkel SSL-certificaat beveiligt een enkele domeinnaam. Veel bedrijven hebben echter een oplossing nodig die meerdere domeinnamen of subdomeinen beveiligt. Voor deze bedrijven biedt het SSL-protocol twee verschillende oplossingen: een wildcard SSL-certificaat of een multi-domein SSL-certificaat.

Wildcard SSL-certificaat

Kosten: variëren

Sommige bedrijven gebruiken meerdere subdomeinen (bijv. mail.example.com, shop.example.com) voor verschillende functies op dezelfde website. Voor deze organisaties is de beste SSL-oplossing doorgaans een wildcard SSL-certificaat. Een wildcard SSL-certificaat beveiligt het hoofdgezin van een website, evenals eventuele gekoppelde subdomeinen, waardoor kosten worden verlaagd en beheer wordt vereenvoudigd.

Multi-domein SSL-certificaat

Kosten: variëren

Hoewel wildcard SSL-certificaten een website-eigenaar helpen om subdomeinen binnen een enkel domein te beveiligen, kunnen multi-domein SSL-certificaten (MDC) worden gebruikt om meerdere domeinnamen tegelijk te beveiligen. Aanvullende domeinen kunnen worden toegevoegd aan een multi-domein certificaat via "subject alternative names" (SAN's) zonder de noodzaak om een extra enkel-domein SSL-certificaat aan te schaffen. Multi-domein SSL-certificaten worden soms ook wel unified communications certificaten (UCC) genoemd.

Hoe verkrijg je een SSL-certificaat

Het proces van het verkrijgen van enkel- of multi-domein SSL-certificaten en het beveiligen van gebruikersgegevens op je website kan complex zijn. Hier is hoe je dat doet.

1. Bepaal het beveiligingsniveau dat je nodig hebt. Kies tussen DV, OV of EV SSL. (Als je meerdere domeinen of subdomeinen hebt, moet je mogelijk een wildcard of MDC-certificaat toevoegen of vervangen.) Beoordeel je organisatiebehoeften en budget en kies het niveau van identiteitsverificatie dat geschikt is.
2. Bepaal de te ondersteunen domeinen en subdomeinen. Als je er slechts één hebt, hoef je mogelijk geen wildcard-certificaat te verkrijgen.
3. Kies een certificaatautoriteit/aanbieder. Voor lagere behoeften moet je misschien alleen met je webhostingprovider werken en een gratis certificaat verkrijgen. Multi-domein en EV certificaten vereisen een betaalde verhouding met een certificaatautoriteit. Kijk eens rond.
4. Vraag een certificaat aan bij je gekozen SSL-aanbieder. Dit houdt over het algemeen het invullen van webformulieren en het doen van betalingen in.
5. Verifieer eigendom en andere gegevens. De CA volgt op om de informatie die je hebt ingediend in je aanvraag te verifiëren, als minimum waarbij e-mailverificatie van domeineigendom vereist is.
6. Verkrijg en installeer het certificaat. Deze stap hangt af van de CA die je kiest en je webplatform. Over het algemeen download je een ZIP-bestand met drie sleutels: de openbare sleutel, de privésleutel en een certificaatautoriteit bundle. Als je werkt met een commerciële webhost, bevat het administratieconsole van je site meestal hulpmiddelen voor certificaatinstallatie. Als je werkt op je eigen hardware, dichter bij het besturingssysteem en de webserver, volg dan de documentatie voor die omgeving.
7. Configureer andere apps om het certificaat te gebruiken. Als je SSL-verbindingen naar andere toepassingen op je servers wilt ondersteunen (bijv. WordPress, e-mail, enz.), moet je ze configureren om je certificaat en het TLS-protocol te gebruiken.
8. Bevestig dat je veilige verbinding werkt. Maak verbinding met je website en/of andere apps en zorg ervoor dat je een veilige verbinding hebt. Klik op het slot en bekijk de weergegeven informatie in je browser.
9. Dien je site(s) in bij zoekmachines. Je nieuwe "https" websites zijn verschillend van je oude "http" sites. Als je gebruikers op zoekmachines vertrouwen om je te vinden, moet je je nieuwe https-webadres opnieuw indienen voor indexering.