Een SSL handleiding voor beginners. Wat het is en waarom het je website veiliger maakt

Tegenwoordig beginnen de meeste URLs met https://, maar soms zal je ook landen op sites die een URL hebben die begint met http://.

De “s” betekent dat je je op een site bevindt met een SSL-certificaat, een stuk technologie wat de verbinding met websites versleuteld en veilig laat verlopen. SSL staat voor “secure sockets layer.” Het is iets wat je idealiter op iedere site die je bezoekt aantreft, maar zeker op sites waarmee je gevoelige data deelt (zoals financiële gegevens).

URL met SSL-certificaat

Tegelijkertijd, als je zelf een website hebt, dan wil je dat deze altijd een SSL-certificaat heeft.

In dit artikel leg ik je precies uit wat een SSL-certificaat is, welke soorten er zijn en hoe je er één kunt krijgen voor jouw website.

Wat is SSL?

Een SSL-certificaat is een klein gegevensbestand wat je op je website installeert. Via cryptografie zet het een versleutelde verbinding op tussen een browser en een webserver. Deze koppeling zorgt ervoor dat alle gegevens die tussen de browser en de server worden uitgewisseld privé blijven.

Hoe werkt SSL?

Wanneer je op een pagina komt waar je je gegevens invoert (bijvoorbeeld een contact formulier), kunnen deze gegevens worden onderschept door een hacker wanneer deze site geen SSL-certificaat heeft. In hacker-taal wordt dit ook wel een “man-in-the-middle” aanval genoemd.

Misschien vraag je je af hoe dit soort aanvallen kunnen gebeuren. Een simpel voorbeeld is dit: een hacker weet toegang te krijgen tot de webserver van de site en installeert een programmaatje wat het getyp van bezoekers opvangt. Wanneer je informatie invoert in de website, slaat dit programmaatje dit ongemerkt op.

Voer hierom nooit gevoelige gegevens in op een website zonder SSL-certificaat.

Echter, wanneer de site beveiligd is via SSL (en de meeste sites zijn dit tegenwoordig gelukkig) vormt je browser een verbinding met de webserver, kijkt naar het SSL-certificaat, en koppelt vervolgens de browser aan de server. Deze koppeling is veilig genoeg om ervoor te zorgen dat niemand naast jezelf en de website kan zien wat je typt.

Deze verbinding vindt per direct en automatisch plaats, en leidt dus tot geen enkele vertraging in je browse ervaring. Zodra je een site met SSL-certificaat bezoekt ben je direct beveiligd – je hoeft hier verder niets voor te doen.

SSL is encryptie technologie. Het is een protocol voor browsers en webservers dat ervoor zorgt dat de data tussen de twee veilig loopt. Het bevat 256 bits encryptie – het zwaarste type encryptie dat er bestaat (en onder anderen wordt gebruikt door de Amerikaanse overheid). Dit maakt het in de praktijk onmogelijk voor hackers om te kraken.    

Soorten SSL-certificaten

Als je een SSL-certificaat op je website wilt installeren, word je gebombardeerd met opties. Sommige certificaten zijn gratis, terwijl aan anderen een flinke prijskaart hangt. Hieronder bespreek ik de verschillende soorten SSL-certificaten.  

Extended Validation (EV) SSL-certificaat

Een Extended Validation (EV) SSL-certificaat is het duurste en meest ingewikkelde SSL-certificaat om te verkrijgen. Deze certificaten kunnen alleen worden verstrekt door een beperkt aantal certificate authorities (CA’s). Deze vereisen verificatie van de juridische identiteit van de partij die het certificaat aanvraagt, voordat het wordt uitgegeven. Het aanvragen van dit certificaat kan tot 7 dagen duren.

Een aantal jaar geleden hadden deze certificaten nog toegevoegde waarde. Browsers lieten toen nog de bedrijfsnaam in de URL-balk zien van sites die dit certificaat hadden. Dit voegde (mogelijk) legitimiteit toe in de ogen van bezoekers. Echter, tegenwoordig laat geen enkele populaire browser meer de bedrijfsnaam in de adresbalk zien. Verder laat een snelle check van de 10 grootste sites ter wereld zien dat geen enkele onder hen over een EV SSL-certificaat beschikt.

De enigen die op dit moment nog een Extended Validation SSL-certificaat aanbevelen, zijn bedrijven die deze certificaten verkopen. Dat vertelt je alles wat je moet weten over het hedendaagse nut ervan.

De conclusie: het EV SSL-certificaat is zo goed als dood en een verspilling van je geld.   

Organization Validation (OV) SSL-certificaat

Een Organization Validation (OV) SSL-certificaat lijkt veel op een EV in dat je het ook moet aanvragen bij een externe partij. Echter gaat het aanvragen ervan veel eenvoudiger en kost het een stuk minder geld.

Als mensen op het slotje in hun browserbalk klikken, kunnen ze met een OV SSL-certificaat de naam en het land van je organisatie zien. De vraag is alleen hoeveel bezoekers dit werkelijk doen (het waarschijnlijke antwoord: geen).

Er zijn nog zeer veel bedrijven die dit type SSL-certificaat gebruiken, maar de vraag is in toenemende mate waarom. Voorheen was er nog een visueel verschil te bespeuren ten op zichten van gratis SSL-certificaten (via een groen slotje). Dit is echter niet meer het geval.

Dat maakt de toegevoegde waarde van dit certificaat twijfelachtig. Als je het mij vraagt zijn er randgevallen waarvoor dit type certificaat noodzakelijk is, maar als je dit leest is de kans klein dat je hieronder valt.  

Domain Validation (DV) SSL-certificaat

Een Domain Validation (DV) SSL-certificaat is een type SSL-certificaat waarvoor je alleen hoeft te bewijzen dat je de domeinnaam bezit. Tegenwoordig kun je dit binnen twee klikken doen via de meeste hosting providers. Het SSL-certificaat wat je op deze manier aanvraagt is gratis en per direct geldig.

De beveiliging van dit type certificaat is even sterk als dat van EV en OV certificaten (ze gebruiken allemaal precies dezelfde 256 bits encryptie). Bovendien is er tussen de 3 soorten SSL-certificaten geen enkel visueel verschil.

Vergelijk eens de URL’s van onze site, Start24, met die van bol.com (die een betaald certificaat gebruiken):

Start24, bol.com URL vergelijking

Zoals je ziet ogen de twee identiek: voor een bezoeker ziet de ULR van bol.com er niet professioneler uit dan die van Start24.

Wildcard SSL-certificaten en Single Domain SSL-certificaten

Het verschil tussen een Wildcard SSL-certificaat en een Single Domain SSL-certificaat is dat een Wildcard SSL-certificaat niet alleen voor de domeinnaam, maar ook voor alle subdomeinen geldig is. Bijvoorbeeld, shop.start24.nl, uk.start24.nl, etcetera.

Een Single Domain SSL-certificaat moet je voor ieder domein apart aanvragen.

Beide types heb je in betaalde en gratis varianten.

Is het nog de moeite waard te betalen voor een SSL-certificaat?

OV en EV SSL-certificaten zijn altijd betaald, terwijl DV SSL-certificaten in zowel gratis als betaalde varianten hebben.

Ik heb het al een beetje laten doorschemeren hierboven, maar EV en OV SSL-certificaten bieden voor het gros van de use cases praktisch geen voordelen over DV SSL-certificaten meer.

Dit maakt het aanbieden van betaalde SSL-certificaten vaak rieken naar oplichterij, vooral wanneer bedrijven achterhaalde voordelen oplepelen:

YourHosting SSL-certificaten

YourHosting, een van Nederland’s grootste hosting providers, claimt zoals je ziet zonder blikken of blozen dat een EV SSL-certificaat de bedrijfsnaam in de URL-balk laat zien. Dit is al jaren het geval niet meer.

Kies je dit SSL-certificaat bij hen, dan betaal je waarschijnlijk meer dan voor je webhosting zelf. Pure geldklopperij.

Ben je op zoek naar een hosting provider die zich niet met dit soort praktijken bezig houdt, kijk dan naar ons lijstje van de beste hosting providers van Nederland. Deze bieden allemaal een gratis SSL-certificaat aanbieden via de non-profit organisatie Let’s Encrypt.

De gratis SSL-certificaten van Let’s Encrypt worden door honderden miljoenen websites gebruikt, waaronder gigantische partijen als:

  • Quora
  • De webshop van de BBC (shop.bbc.com)
  • NYPost.com
  • StackExchange

Als het voor deze websites goed genoeg is, dan is dat waarschijnlijk voor jouw site ook het geval.

Geldigheid van betaalde SSL-certificaten vs. gratis SSL-certificaten

Eén punt wat betaalde SSL-certificaten voor hebben op gratis certificaten, is dat ze een jaar geldig kunnen zijn in plaats van 3 maanden. Wanneer de geldigheid van een certificaat verloopt moet je het opnieuw aanvragen. 

Echter, aangezien Let’s Encrypt tegenwoordig geïntegreerd zit in veel hosting providers, is dit geen probleem: je gratis SSL-certificaat zal automatisch iedere 3 maanden worden verlengd.

En de verzekering die betaalde SSL-certificaten aanbieden dan?

Voorstanders van betaalde SSL-certificaten zeggen dat een belangrijk voordeel ervan is de verzekering die het biedt. Als je data wordt gekraakt, en gevoelige gegevens op straat komen te liggen, zou de duizenden (of miljoenen) euro’s die je dit als bedrijf zou kunnen kosten vergoedt kunnen worden.

Ik ben gaan graven door blog artikelen en Reddit topics en m’n conclusie is dat deze verzekering naar alle waarschijnlijkheid flauwekul is. Ik heb geen enkel voorbeeld van een succesvolle verzekeringsclaim kunnen vinden, en de “kleine lettertjes” van de bedrijven die betaalde SSL-certificaten aanbieden zijn zo vaag dat me dit niks verbaasd.

Als je hier meer over wilt weten, raad ik je aan dit blog artikel te lezen.

Hoe kan ik een SSL-certificaat voor m’n website regelen?

Zoals ik al eerder aangaf bieden veel hosting providers een gratis SSL-certificaat aan. Meestal kun je het certificaat installeren binnen enkele klikken en hoef je er vervolgens niet meer naar om te kijken, omdat het zichzelf automatisch vernieuwd.

Hieronder laat ik je stap voor stap zien hoe dit werkt via SiteGround, de webhosting die wij zelf gebruiken voor Start24 (lees hier onze SiteGround review).

Stap-voor-stap een gratis SSL-certificaat installeren via SiteGround

Wanneer je op de SiteGround site bent ingelogd, ga je naar de Site Tools sectie van je website.

Je klikt dan op Security » SSL Manager en kiest voor Let’s Encrypt onder Select SSL. Druk dan op de Get knop. Nu moet je een paar minuten wachten.

SSL installeren via SiteGround


Hoewel het SSL-certificaat nu is geïnstalleerd, draait je site zelf nog niet op een beveiligde verbinding. Dit is iets wat wat je via het WordPress dashboard moet relegel.

Ga naar het WordPress dashboard via [je domeinnaam]/wp-admin/.

Vervolgens klik je op SG Optimizer in het linker menu, ga je naar Environment Optimization en druk je op de knop naast Enable HTTPS. Nu verschijnt een pop up die je moet bevestigen.

HTTPS aanzetten in WordPress dashboard via SG Optimizer

Hierna word je automatisch uitgelogd uit je WordPress admin. Log weer in via [je domeinnaam]/wp-admin/.

That’s it. Zo eenvoudig is het om een SSL-certificaat te installeren op je website. Ik gaf hier SiteGround als voorbeeld, maar de meeste webhosts volgen een soortgelijk proces.

Hoe weet ik dat m’n site een actief SSL-certificaat heeft?

Het is vrij eenvoudig om te zien of je site een werkend, geldig SSL-certificaat heeft of niet:

  1. De URL begint met https://
  2. Je ziet een slotje naast je webadres
  3. Wanneer je op dit slotje klikt zie je dat het certificaat geldig is:
Verbinding met SSL-certificaat

Conclusie

SSL is een enigszins verwarrend onderwerp. Er zijn aardig wat soorten certificaten en aanbieders van certificaten. Dat werpt de vraag op welke je moet kiezen voor jouw site. Daarnaast zijn er gratis en betaalde SSL-certificaten – is betalen voor zo’n certificaat nou de moeite?

Voor het grote gros van de websites is een betaald SSL-certificaat compleet overbodig. Ze zijn geen haar veiliger dan een gratis Let’s Encrypt certificaat. Bovendien merken je bezoekers er ook niets van of je een betaald certificaat hebt of niet. Tot slot is de zogenaamde verzekering die je bij een SSL-certificaat aangeboden krijgt – naar alle waarschijnlijkheid – een farce.

Dat je site een SSL-certificaat nodig hebt staat in elk geval buiten kuif. Het je site stukken veiliger en bovendien is het iets wat je bezoekers verwachten.

Heb je nog geen website en wil je er één maken (met gratis SSL-certificaat) via WordPress? Bekijk dan onze WordPress handleiding die je stap voor stap laat zien hoe je dit doet.   

Veel gestelde vragen

Is SSL goed voor SEO?

Google heeft aangegeven dat een SSL-certificaat een positief effect heeft op hoe hoog je site in hun zoekmachine komt. Google heeft een voorkeur voor veilige websites.


Moet je betalen voor een SSL-certificaat?

In de meeste gevallen niet. Veel hosting providers bieden een gratis SSL-certificaat aan wat even goed werkt als een betaald certificaat. Daar waar een betaald certificaat enkele jaren terug nog duidelijke voordelen had, zijn die voordelen langzaamaan allemaal verdampt. Als je dit leest, is de kans dat jouw website een betaald SSL-certificaat nodig heeft extreem klein.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *