HTTPS: Waarom jouw website dat groene slotje nodig heeft.
Communicatie tussen een webbrowser en een website over het Internet vindt plaats via het Hypertext Transfer protocol (HTTP). Versie 1.1 van dit protocol is vastgelegd in 1997 in een tijd dat online-privacy en afluisterpraktijken nog ongehoord waren. Alle gegevens die worden uitgewisseld tussen webbrowser en webserver worden als leesbare platte tekst over het Internet verzonden, waardoor een tussenliggende instantie de informatie zonder enig probleem kan lezen en in kwade gevallen ook kan aanpassen. Dat laatste heet een Man-In-The-Middle aanval en is een grote bedreiging voor het online verwerken van onder andere persoonsgegevens. Werken met het WordPress CMS vanuit je webbrowser betekent dat er veel gegevens uitgewisseld worden waaronder je logingegevens. En die hou je liever voor jezelf.
SSL/TLS
Om informatie tussen webbrowser en een website vertrouwelijk te houden is er een versleutelingsmethode ontwikkeld, die eerst Secure Sockets Layer (SSL) werd genoemd en later de naam Transport Layer Security (TLS) kreeg. HTTP met SSL/TLS (https:// deel van de url) houd in dat de verbinding tussen webbrowser en website eerst wordt opgezet met versleuteling (encryptie) alvorens er gegevens worden verstuurd.
HTTPS
Een beveiligde “https://” verbinding wordt opgezet tussen de webbrowser en de webserver (bijv. Nginx) die de website beschikbaar maakt. Hierdoor wordt het erg moeilijk (niet onmogelijk) om gegevens te onderscheppen en aan te passen. De Nederlandse overheid, de Europese Unie maar ook grote Internationale Internetbedrijven vinden persoonsgegevens en de privacy van burgers belangrijk en voeren daar al enige tijd ook campagne voor.
Google ranking
Google publiceerde in 2014 haar blog “HTTPS as a ranking signal”, hierin beschreef Google dat veiligheid erg belangrijk voor hen is en dat SSL/TLS daarin een basis ingrediënt is. Niet heel spectaculair en best logisch zover, totdat er wordt verteld dat Google https url’s extra laat scoren in haar ranking algoritme. Google is een groot voorstander van “https everywhere” zoals ze vertelden op Google I/O 2014.
Deze actie van Google maakt het zoekmachine technisch gezien, zeer aan te raden om de gehele website alleen beschikbaar te maken via HTTPS. Andere zoekmachines zoals Bing volgen de ontwikkelingen van de Google zoekmachine algoritme op de voet en nemen dit soort keuzes over.
Google Chrome en de Mozilla Firefox webbrowsers worden met elke upgrade steeds kritischer als het gaat om websites zonder SSL/TLS, waardoor bijvoorbeeld een website zonder SSL/TLS maar met een webformulier visueel als niet veilig wordt bestempeld. Google kijkt ook actief naar verouderde en daarmee minder veilige SSL/TLS instellingen deze geven een onterecht gevoel van veiligheid. SSL/TLS instellingen worden door ons regelmatig bijgewerkt naar de laatste richtlijnen.
HTTP2
In februari van 2015 is er een nieuwe versie 2.0 uitgebracht van het HTTP protocol die men als HTTP2 aanduidt. HTTP2 maakt het laden van pagina’s in moderne webbrowsers (van na 2014) merkbaar sneller en heeft dankzij Google en Mozilla (Firefox webbrowser) een opmerkelijke aanpassing, HTTP2 werkt alleen met een SSL/TLS beveiligde verbinding.
SSL Certificaat
Om SSL/TLS te kunnen aanbieden vanaf een webserver moet deze beschikken over een “SSL certificaat”. Dit certificaat is gesigneerd door een daartoe bevoegde instantie. Aan dat signeren gaat een verificatieproces vooraf dat kan variëren van redelijk simpel tot zeer uitgebreid. Het verificatieproces is bedoeld om vast te stellen of een bedrijf ook werkelijk eigenaar is van de domeinnaam waarvoor het certificaat wordt aangevraagd. Hoe uitgebreider dit proces, hoe meer men er vertrouwen in mag hebben dat het eigendom klopt maar ook hoe duurder een SSL certificaat is.
Technisch gezien biedt een duurder Extended Validation (EV) SSL certificaat geen veiligere oplossing (versleuteling) dan een goedkopere variant. Je betaalt extra voor de groene adresbalk in een webbrowser, die aangeeft dat er meer werk is gestopt in het verifiëren van het eigendom van het domein. Een EV certificaat is daarom geschikter voor een webwinkel of een website waar persoonsgegevens worden verwerkt. Andere websites hebben in principe genoeg aan een eenvoudiger exemplaar. Naast het technische aspect gaat SSL/TLS ook om vertrouwen.
SSLLABS
SSL Labs is een kennisplatform met betrekking tot SSL/TLS beveiliging en biedt daarnaast de nodige gereedschappen om websites en servers te analyseren. Onze standaard webserver instellingen, leveren altijd minimaal een A score bij een analyse via https://ssllabs.com. Onze instellingen ondersteunen alle moderne webbrowsers en ook de voorganger van Edge, Internet Explorer (IE) vanaf versie 8.
Naast SSL certificaten voor een enkele domeinnaam zijn er ook varianten die geldig zijn voor meerdere domeinen of een wildcard waarbij elk subdomein mogelijk is zoals bijvoorbeeld www.example.com en shop.example.com.
Let’s Encrypt
Er is een initiatief om SSL/TLS versleuteling wereldwijd te promoten onder de naam Let’s Encrypt. Dit initiatief heeft software uitgebracht (open source) waarmee het mogelijke is om zelf SSL/TLS certificaten te genereren zonder dat daarvoor betaald hoeft te worden aan een commerciële certificeringsinstantie. Dit klinkt heel interessant en dat is het ook, echter ook in dit geval gaat de zon niet helemaal voor niets op. Een certificaat is maximaal drie maanden geldig en moet minimaal vier keer per jaar vernieuwd worden, dit kan automatisch maar wil nog wel eens mislukken. Een Let’s Encrypt certificaat komt technisch overeen met een commercieel “Domein validatie” certificaat, maar ondersteund geen wildcard mogelijkheid.
Het Let’s Encrypt project is een gesponsord open source initiatief maar heeft door de grote populariteit behoefte aan meer financiering.
En wat ook voor een commercieel certificaat geld, is dat een Let’s Encrypt certificaat op een webserver moet worden geïnstalleerd. Wij gebruiken Let’s Encrypt certificaten voornamelijk voor test en acceptatie omgevingen.
Vertel ons meer over je plannen en ambities!
We zijn klaar om jullie online uitdaging op te pakken.