Een SSL certificaat voor een veilige verbinding: is dat echt nodig?

Door E-sites, E-sites
14 november 2016 - 3601 x bekeken - Categorie├źn: Kennis

Zeker. Dat is mijn advies. Het is vandaag de dag steeds belangrijker om je te wapenen online. Bij gebruik van een HTTPS verbinding worden gegevens versleuteld, waardoor het voor een buitenstaander moeilijker wordt om erachter te komen welke gegevens verstuurd zijn. Bovendien zitten er veel extra voordelen aan een HTTPS, en niet alleen vanwege de veiligheid. Maar hoe zit dit dan precies? Moet je hele website hierop draaien? Wanneer is het zelfs wettelijk verplicht? En wat is de juiste aanpak? In dit artikel meer informatie die je kan helpen bij een eigen afweging.

Van HTTP naar HTTPS - hoe werkt dat? 

HTTPS (HyperText Transfer Protocol Secure) is een uitbreiding op het HTTP protocol met een veilige uitwisseling van gegevens als doel. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd zijn. Zeer belangrijk dus bij bijvoorbeeld betalingstransacties of privacygevoelige informatie. Beveiliging wordt steeds belangrijker om privacy van gevoelige gegevens te waarborgen en hackers geen vrij spel te geven.

Even als voorbeeld, bij het invullen van een contactformulier, ziet het er dan als volgt uit:

  1. Een webpagina met een contactformulier wordt bezocht. Deze webpagina wordt door de server versleuteld. Een browser download deze webpagina en krijgt daarbij de sleutel, zodat de webpagina kan worden weergegeven. 
  2. Als de gegevens op het contactformulier worden ingevuld, gebeurt dit in de browser en dus op het eigen apparaat van de bezoeker. Als laatste stap klikt de bezoeker op de knop om het formulier te verzenden.
  3. De browser verzamelt de ingevulde gegevens, gebruikt de van de server ontvangen sleutel om deze te versleutelen en verstuurt deze vervolgens naar de server. Dit gebeurt nu versleuteld. In plaats van leesbare inhoud is dit nu versleutelde inhoud geworden, dus bijvoorbeeld: acce17c7608e09d14a5485ca13378bba of 30c438d80deaf84549fe0b8c01ebe07y.
  4. De server neemt de gegevens in ontvangst, ontsleutelt en verwerkt ze. Een eventuele webpagina (bijvoorbeeld een succespagina) wordt terug naar de browser van de bezoeker gestuurd (ook versleuteld), welke weer op het gebruikte apparaat wordt weergegeven. 

Een HTTPS verbinding is dus eigenlijk een normale HTTP verbinding, maar dan met een extra beveiligingslaag. De SSL verbinding versleutelt het HTTP verkeer waardoor dit, als het onderschept wordt, niet te lezen valt zonder het encryptie-algoritme te kraken.

Maar er is meer... extra voordelen van een HTTPS verbinding

Het hebben van een beveiligde verbinding biedt nog meer voordelen die doorslaggevend kunnen zijn bij de overweging of je wel of geen SSL certificaat wil gebruiken voor jouw website. Hieronder de belangrijkste:

- Een HTTPS verbinding heeft een positieve invloed op de organische vindbaarheid van je site

HTTPS is namelijk als ranking factor opgenomen in het algoritme van Google. Sinds augustus 2014 worden websites die beveiligd zijn met een SSL certificaat hoger geplaatst in de Google zoekresultaten, dan websites die nog geen SSL certificaat hebben geïnstalleerd. De redenering hierachter is dat Google alle websites graag zo veilig mogelijk ziet. En vindt dat dit beloond mag worden. Hierdoor wordt er een bonus gegeven bij de ranking op het moment dat Google merkt dat jouw website gebruik maakt van een beveiligde verbinding via SSL.

In 2017 volgt een belangrijk kantelpunt, want heb je dan nog geen HTTPS verbinding, dan bestempeld Google je als onveilig. Vanaf de nieuwe Chrome versie 56 gaat Google namelijk websites die wachtwoorden en betalingsgegevens doorsturen als onveilig aanduiden wanneer HTTPS ontbreekt. De verwachting is dat deze vernieuwde versie van Chrome in januari 2017 uitkomt. Bij websites zonder HTTPS verbinding toont de browser dan een rood waarschuwingskruis naast het URL van de website. De functionaliteit is wel al meer dan een half jaar handmatig te activeren in Chrome, door via chrome://flags ´Niet-beveiligde beginpunten markeren als niet-veilig´ te selecteren.

- Een HTTPS verbinding wekt meer vertrouwen bij je bezoekers

Bezoekers voelen zich veiliger bij een HTTPS verbinding en dit leidt mogelijk tot een hoger conversiepercentage. Een SSL certificaat is dus erg belangrijk voor de identiteit van je website. Het geeft vertrouwen. Bezoekers van de website weten dat er veilig met persoonsgegevens wordt omgegaan en kwaadwillenden er niet bij kunnen. Een gerenommeerd keurmerk dus, dat bekend staat om een gedegen validatie en door grote bedrijven wordt gebruikt, dat geeft vertrouwen.

- Je bent ook wettelijk gezien goed voorbereid

Je bent wettelijk verplicht naar je gebruikers toe, om hun persoonlijke gegevens goed te beschermen. Wanneer jouw website persoonlijke gegevens van jouw bezoekers vraagt en/of opslaat, doe je aan het verwerken van persoonsgegevens. Dit lijkt in eerste instantie misschien alleen het geval als je een webwinkel beheert, maar dat is niet waar. Denk bijvoorbeeld eens aan het contactformulier op jouw website. Je vraagt hierom bijvoorbeeld naam, e-mailadres en telefoonnummer van de bezoeker. Dat zijn persoonsgegevens. Die verwerk je, want jouw website neemt deze gegevens in ontvangst en stuurt ze vervolgens naar jou toe of slaat ze op in een database. Bijna iedere website verwerkt dus persoonsgegevens. En in dat geval treedt de Wet Bescherming Persoonsgegevens, hoofdstuk 2, artikel 13, in werking:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

De vraag is dan; ´Wat zijn ‘passende technische en organisatorische maatregelen?´ In ieder geval een SSL certificaat! Want stel dat de persoonlijke gegevens worden onderschept. Die gegevens kunnen worden misbruikt voor mail-zendingen. Dit gebeurt op regelmatige basis en vaak ook ongewenst. Een SSL beveiliging is voor bescherming hiertegen feitelijk verplicht, maar een gebrek ervan levert je als beheerder nog niet direct problemen op.

Nog crucialer wordt het als een burgerservicenummer, een DigiD of andere persoonlijke gegevens gevraagd worden. Deze gegevens kunnen ook misbruikt worden als ze in verkeerde handen vallen en moeten te allen tijde heel goed beveiligd worden. In dergelijke gevallen is een SSL certificaat zelfs verplicht en ben je strafbaar als persoonsgegevens van jouw website onderschept zijn, een datalek. Autoriteiten Persoonsgegevens (AP) is belast met het toezicht en de controle op ‘hoe’ organisaties persoonsgegevens verwerken. Bij overtredingen hebben zij de bevoegdheid om boetes uit te delen tot een maximum van € 900.000,- (zie Beleidsregels 8 juli 2016).

Investeer in een SSL certificaat!

Mijn advies mag duidelijk zijn: investeer in een SSL certificaat. Je investeert in veiligheid, die steeds belangrijker wordt. Want technieken ontwikkelen zich snel, maar dus ook de mogelijkheden die kwaadwillenden hebben om gegevens te onderscheppen. De investering is het zeker ook waard om te profiteren van de hogere pagerank die Google je geeft en om je gebruiker optimaal vertrouwen te geven. E-sites kan ervoor zorgen dat een SSL certificaat aan jouw website gekoppeld wordt. De kosten zijn geheel afhankelijk van het soort certificaat. Het toepassen van een SSL certificaat is altijd maatwerk. In de basis heb je een SSL certificaat vanaf € 309,- per jaar.

Wil je graag een advies over welk SSL certificaat het beste bij jouw website past en welke kosten hierbij komen kijken? Neem contact met me op!

Lancering BEAT Cycling Club - wielerrevolutie

Door E-sites

Weer iets om heel trots op te zijn! Vandaag is tijdens het Wielerpassie festival in Rosmalen #RoadToBEAT gestart, de wielerrevolutie! - Lees meer

Lees verder