Moet ik ook een SSL certificaat nemen voor mijn website?

Moet ik ook een SSL certificaat nemen voor mijn website?

On maart 11, 2016, Posted by , In Algemeen, By ,,,,,,, , With Reacties uitgeschakeld voor Moet ik ook een SSL certificaat nemen voor mijn website?

Beveiligde SSL verbinding is dat nodig voor mijn site?Regelmatig krijgen wij de vraag voorgelegd “moet ik ook een SSL certificaat nemen voor mijn website?”. En, uiteraard, de volgende vraag: “Wat kost dat?”..

SSL Certificaten gebruiken

Er zijn verschillende soorten SSL-certificaten en ze dienen ook allemaal verschillende doeleinden. De enige reden dat de meeste mensen een SSL certificaat willen hebben is omdat ze hebben gehoord dat het beter is of “omdat het moet”. Zo eisen sommige webshop-keurmerken bijvoorbeeld een SSL-certificaat voor een validatie.

Er zijn natuurlijk wel een paar betere redenen te bedenken om wel (of geen) SSL certificaat te nemen voor je website!

Hoe controleer ik of een website veilig is?Typen SSL Certificaten

Het meest eenvoudige type SSL certificaat is welke wij bijvoorbeeld ook op deze website gebruiken. Een certificaat, een “SSL-verbinding” die er voor zorgt dat de data die u uitwisselt via uw computer naar onze website beveiligd is met een 256-bit sterke “encryptie” (versleuteling).

Daarbij geeft het ‘slotje’ in de browser aan u aan dat er sprake is van een beveiligde verbinding. U kunt daar als bezoeker van site op klikken en zo zien of de website inderdaad gebruik maakt van een beveiligde verbinding.

Dit ‘certificaat’ doet dus niet veel meer dan aangeven dat de verbinding beveiligd is en dat de domeinnaam/site technisch gecontroleerd is. Ook is er sprake van een email validatie tussen de uitgever van het certificaat en de gebruiker er van (onze website). De verbinding is veilig. Dat is, voor een website als de onze, meer dan voldoende. De privacy tijdens de transactie is meer dan voldoende geborgd. Daarnaast is de transactie verzekerd tot $10.000.

Daarna komen uitgebreidere SSL certificaten (EV-certificaten). Deze certificaten geven geen veiliger verbinding, over z’n algemeenheid, maar garanderen meer over de eigenaren er van – er heeft een uitgebreidere controle plaatsgevonden, onder andere een telefonische controle en een controle bij de Kamer van Koophandel. Deze certificaten zijn te herkennen aan de (volledig) groene ‘adresbalk’ in een browser (internet explorer) of een groene indicator (Google Chrome).

Veiligheid gegevens?

Het is een misvatting te denken dat wanneer er sprake is van een SSL-verbinding uw gegevens, of de gegevens van uw klanten, automatisch “veilig” zijn. Het gaat hier om de verbinding. Als de gegevens vervolgens worden opgeslagen (weggeschreven) via de website in een onveilige database of, erger nog, in een publiek benaderbaar tekstbestand dan helpt een beveiligde verbinding voor de gegevensoverdracht natuurlijk helemaal niet. Het is dus zaak niet alleen een certificaat te hebben maar ook echt veilig gegevens op te slaan.

Moet ik een SSL Certificaat voor mijn website?

Of u een SSL-certificaat voor uw website nodig hebt is van een aantal vragen afhankelijk:

  • is er tijdens een bezoek aan de website sprake van gegevens uitwisseling tussen de bezoeker en uw website welke privacy gevoelig zijn? Bijvoorbeeld adresgegevens, medische of financiële gegevens, …?
  • vindt er een transactie plaats op uw website?
  • slaat u gegevens op, op de website?

Zoja, dan is het wellicht verstandig een SSL-certificaat af te nemen. Daarbij is het niveau van de beveiliging (dat wil zeggen: de validatie van uw website) afhankelijk van uw wensen en het vertrouwen dat u wilt geven aan de bezoeker van de site.

Wanneer er sprake is van een website die medische gegevens uitvraagt, of gerelateerd is aan medische diensten, volstaat een “gewone” SSL-verbinding ons inziens niet. De bezoeker moet zeker weten dat de ontvangen van de gegevens de betreffende medische website is die het pretendeert te zijn. Dit specifieke voorbeeld noem ik, omdat we bij een klein rondje langs websites van ziekenhuizen hebben gezien dat veel ziekenhuizen niet eens SSL gebruiken. Als u de website bezoekt, weet de bezoeker dus niet eens zeker of het wel de website van het betreffende ziekenhuis is!

Vraagt u financiële gegevens uit of persoonsgebonden gegevens (BSN, KvK, BTW-nummer, IBAN nummer) dan is op zijn minst een SSL-certificaat van het laagste niveau een vereiste. Wilt u dat mensen zaken aanschaffen en contracten aangaan via uw site, dan is een EV-SSL ons inziens vereist.

Kom ik dan ook hoger in Google?

Een SSL-certificaat installeren betekent dat uw website ‘gevalideerd’ is. Onze ervaring is dat websites met een SSL-validatie, in welke vorm ook, inderdaad hoger in Google kunnen staan. Maar, dat is niet een automatisme. Als de website verder niet goed is geoptimaliseerd of redenen bevat voor Google om de ranking te verlagen dan zal het weinig uitmaken. Dáárvoor hoeft u het dán dus niet te doen.

Wat kost zo’n certificaat?

De kosten van een SSL-certificaat variëren per aanbieder en per type. U moet rekenen op een minimum bedrag van ca. 15 à 20 euro per jaar tot wel meer dan duizend euro, afhankelijk van het type certificaat én exclusief de volgende zaken:

  • een eigen, extra, ip-adres **;
  • installatie van het certificaat op een server/uw site.

U kunt dus niet zomaar een SSL-certificaat installeren op uw website. Daarvoor moet worden voldaan aan een aantal randvoorwaarden. Daarnaast is de aanvraag van een certificaat (bijvoorbeeld aanmaken van het “Certificaat verzoek”) een actie die erg nauwkeurig uitgevoerd moet worden.

Een fout maken in het aanvragen of installeren kan er toe leiden dat u honderden euro’s hebt uitgegeven voor een certificaat dat niet (goed) werkt.

**) wegens schaarste in Ip4-adressen is dit niet altijd zomaar mogelijk!

Mobiele devices en SSL

Tot slot nog iets over mobiele telefoons en tablets. Een SSL certificaat werkt soms in een browser uitstekend maar wordt dan toch in (met name) Firefox en Android-browsers soms afgekeurd. De vraag wordt dan vaak gesteld: “Hoe kan het dat de mobiele telefoon het SSL certificaat van mijn website niet herkend?”. Of “het certificaat is niet goed, mijn mobiele telefoon herkent de beveiligde verbinding niet”. De reden is vaak de installatie. Het certificaat is wel goed, maar niet juist geïnstalleerd.

Controleren SSL Certificaten website telefoon

Wij testen certificaten die wij installeren daarom ook altijd uit met een (fysieke) Android telefoon en, zo mogelijk, Firefox browser. En uiteraard ook met de nodige online checks. Zodat u zeker weet dat uw website een correct werkende verbinding aanbiedt.

SSL Certificaat, doen of niet? 

Onze ervaring is dat een SSL-certificaat vooral nuttig is voor de grotere websites, meestal gehost op een VPS of dedicated server, die privacy gevoelige data verwerken. Voor de gemiddelde “reguliere” website is het, mede gezien de kosten, vaak weinig tot niet zinvol. Hebt u echter een (grote) webwinkel of gegevensverwerkende website waar privacy gevoelige gegevens worden uitgewisseld met uw klanten, dan is het zeker aan te raden de kosten en moeite (voor lief) te nemen en een goed SSL-certificaat aan te schaffen en te laten installeren.

Comments are closed.