Of het moeite waard is om te betalen voor een premium SSL certificaat, ligt aan de reden voor de inzet van een SSL certificaat.
Versleutelen dataverkeer
De meest voor de hand liggende reden om een SSL certificaat te installeren, is de encryptie van het dataverkeer. Met een SSL certificaat wordt het dataverkeer versleuteld, waardoor het bij onderschepping niet kan worden gelezen. Het beveiligt dus het dataverkeer. Alle SSL certificaten doen dit.
Authenticatie
Naast encryptie zorgt een SSL certificatie ook voor authenticatie: er wordt gecontroleerd of er verbinding wordt gemaakt met de juiste server. Dus of een bezoeker niet stiekem wordt omgeleid naar een andere locatie. Alle SSL certificaten doen dit.
Let’s Encrypt, een gratis SSL certificaat voor iedereen
Sinds enige tijd worden er gratis SSL certificaten aangeboden, die worden geleverd door Internet Security Research Group (ISRG), een initiatief van oa. Google, Mozilla en Cisco. Let’s Encrypt biedt een eenvoudig SSL certificaat met domeinvalidatie. Wat bijzonder is aan het certificaat, is dat zowel de installatie als de updates automatisch worden uitgevoerd.
En gratis, dat klink natuurlijk goed. En dat is het ook, want door het SSL certificaat laagdrempelig te maken, komt het doel – 100% encryptie van het dataverkeer – een stuk dichterbij. Er is feitelijk geen geldige reden meer om geen SSL certificaat te gebruiken.
Waarom zou je toch betalen voor een SSL certificaat?
Als het gratis kan, waarom zou je dan betalen? Omdat SSL certificaten nóg een doel hebben. En dat is betrouwbaarheid van de partij achter een website. Het Let’s Encrypt certificaat is anoniem. Iedereen kan het zomaar installeren. En hier zit een belangrijk misverstand:
Een SSL certificaat maakt een website niet veilig. Het certificaat zorgt er alleen voor dat je
- de juiste site bezoekt,
- met een beveiligde verbinding
Een malafide partij kan dus zonder problemen een schimmige webwinkel online zetten mét een geldig SSL certificaat, maar zonder ooit iets te leveren. Daar verandert dat certificaat niets aan.
En daaruit vloeit de meerwaarde van premium (betaalde) SSL certificaten. Want daarvoor vindt altijd een validatieprocedure plaats. De aanvrager van het certificaat moet zich bekendmaken. De aanvraagprocedure is dus anders.
Premium SSL certificaten bestaan in 3 varianten:
Domeinvalidatie
Bij de eerste variant is de beveiliging die het certificaat biedt gelijk aan die van een gratis Let’s Encrypt certificaat. Het verschil zit in de aanvraagprocedure. Er wordt daarbij gekeken of de aanvrager controle heeft over de domeinnaam. Er worden geen organisatiegegevens opgenomen in het certificaat.
Organisatievalidatie
Bij een SSL certificaat met organisatievalidatie vindt een uitgebreidere verificatie plaats. De gegevens die worden opgegeven bij het aanvraag van het certificaat worden gecontroleerd in een openbaar register, zoals bijvoorbeeld de Kamer van Koophandel. En er wordt een telefonische controle uitgevoerd, via een openbaar telefoonnummer. De organisatiegegevens worden opgenomen in het certificaat, zodat ze kunnen worden gecontroleerd.
Extended Validation
Het meest uitgebreide SSL certificaat is het “EV” certificaat, dat staat voor Extend Validation. Daarbij vindt domeinvalidatie plaats, dus de aanvrager moeten laten zien controle te hebben over het domein waarvoor het certificaat wordt aangevraagd. En de aanvrager wordt uitvoerig nagetrokken aan de hand van externe bronnen.
Daarnaast dienen de gegevens van de aanvrager exact overeen te komen met de gegevens die zijn gebruikt voor de registratie van de domeinnaam.
Bovendien dienen er zowel een aanvraagformulier als een contract te worden getekend door een vertegenwoordiger van de organisatie. Die vertegenwoordiger wordt daarna ter verificatie gebeld op een openbaar geregistreerd telefoonnummer.
De organisatiegegevens worden uiteindelijk opgenomen in het certificaat én ze worden in de meeste browser direct in de adresbalk getoond. Een bezoeker kan dus in één oogopslag zien wie de partij achter de website is.
Waarde premium certificaten
De ontwikkelingen rond SSL certificaten gaan snel. Dat is één van de redenen dat de maximale geldigheid van een SSL certificaat begin in maart 2015 is verkort van 4 of 5 jaar tot 39 maanden en begin 2018 zelfs tot maximaal 2 jaar (27 maanden). Door SSL certificaten sneller te vervangen, wordt gezorgd dat de in het certificaat gebruikte techniek niet te sterk verouderd.
En ook browsers gaan steeds anders om met SSL certificaten. Sinds een paar jaar kun je in browsers direct zien of een website een beveiligde verbinding (te herkennen aan een adres dat begint met https, in plaats van het oude http) gebruikt. Doorgaans door een groen “slotje” in de adresbalk en bij een EV certificaat extra opvallend door een groene adresbalk met de organisatiegegevens.
En op dit moment vindt de volgende stap plaats: browsers draaien de benadering om. Websites zonder certificaat worden voortaan aangemerkt als onveilig. Bij websites met alleen domein- of organisatievalidatie zie je die foutmelding niet, die mate van beveiliging wordt gezien als “normaal”. Alleen bij websites met een EV certificaat wordt nog expliciet gemeld dat de beveiliging veilig is.
Conclusie
Feitelijk kan een website zonder SSL certificaat niet meer. Dat is gewoon onveilig en dus ongewenst. Als je het minimale wil doen om te voorkomen dat je bezoekers een waarschuwingsmelding krijgen, is een gratis Let’s Encrypt het antwoord.
Doe je het niet alleen om te voldoen aan de eisen, maar wil je je bezoekers meer zekerheid bieden, dan is een premium certificaat logisch.
En wil je je als website onderscheiden van je concurrentie en laten zien dat betrouwbaarheid bij jou hoog in het vaandel staat, dan is het SSL EV certificaat de perfecte optie.
Lees meer over de kosten van de diverse SSL certificaten bij Mooiesite.nl op www.mooiesite.nl/ssl/