SSL-certificaten: de sleutel tot klantvertrouwen

SSL-certificaten: de sleutel tot klantvertrouwen

Een SSL-certificaat is een technische term waar je als webwinkelier niet onderuit komt. In deze les leer je wat het is, waarom het waardevol kan zijn en welke keuzes je dient te maken bij de aanschaf ervan.

Een SSL-certificaat, wat is dat?

Een SSL-certificaat versleutelt al het verkeer tussen jouw website en de browser van je bezoeker. Dit betekent dus dat de transactie- en/of persoonsgegevens die jouw klant invult in zijn browser, versleuteld verstuurd worden naar je server. Hierdoor kan dit soort verkeer niet ontcijferd worden door kwaadwillenden en kunnen ze er niet mee aan de haal gaan.

Als bezoeker kun je in de URL-balk van je browser zien of een website beveiligd is met een SSL-certificaat. Wanneer dit het geval is herken je dat aan het groene slotje en aan het feit dat er https staat in plaats van http. De s staat hierbij voor Secure. Je kunt ook zeggen ‘het verkeer verloopt via https’.

Verschillende soorten certificaten

Er zijn verschillende soorten certificaten. Deze verschillen van elkaar in validatieproces en het aantal domeinen dat je met een certificaat kan beveiligen. Bij de aanschaf van een certificaat moet je jezelf twee vragen stellen: Welke validatie heb ik nodig en hoeveel domeinen wil ik beveiligen?

Welke validatie heb ik nodig? Validatieproces heeft invloed op de zichtbaarheid in je browser!
Hoeveel domeinen wil ik beveiligen?Domain ValidationOrganization ValidationExtended Validation
Single SSLVVV
MultidomeinVVV
WildcardVVX

1. SSL Single

Geldt voor één domein, bijvoorbeeld www.byte.nl en is inclusief alle url’s die erachter komen (zoals byte.nl/blog en byte.nl/kennisbank etc.) Het certificaat is dus verbonden aan één specifieke domeinnaam.

2. Multidomein

Met een multidomein certificaat kun je meerdere domeinnamen en subdomeinen beveiligen in één certificaat. Multidomein certificaten zijn verkrijgbaar op alle validatieniveaus. Wildcard certificaten zijn er niet met uitgebreide validatie, multidomein certificaten wél: een uitkomst als je meerdere subdomeinen wilt beveiligen met een groene adresbalk.

Let op: Alle domeinnamen in het certificaat moeten dezelfde houder hebben; er kan maar een organisatienaam in het certificaat opgenomen worden.

3. Wildcard

Een wildcard certificaat beveiligt alle subdomeinen van één domein. Bij een standaard SSL certificaat wordt het certificaat verbonden aan een specifieke (sub)domeinnnaam, bijvoorbeeld www.jouwdomeinnaam.nl. Bij een wildcard certificaat wordt het certificaat aangevraagd op *.jouwdomeinnaam.nl. Hierdoor kun je met één certificaat een onbeperkt aantal subdomeinen voor deze domeinnaam beveiligen. Dit geldt voor één niveau, dus niet voor *.*.jouwdomeinnaam.nl. (meerdere subdomeinen onder één domeinnaam dus blog.byte.nl en kb.byte.nl)

Let op: Een wildcard kan nooit worden afgesloten in combinatie met een EV certificaat.

Verschillende validatieniveaus

Hoe uitgebreider, hoe betrouwbaarder?

Domain Validation (alleen slotje)

Alleen de houder van de domeinnaam wordt gecontroleerd. Vaak door middel van een e-mail. Je hebt wél een slotje in de adresbalk maar men ziet geen informatie over de houder van de domeinnaam. De kleur van het slotje kan verschillen per browser. Meestal is dit blauw of groen.

Organization Validation (achter slotje zie je bedrijfsnaam/meer info)

Je bedrijfsnaam wordt nu ook gevalideerd d.m.v. een telefoontje. Hierna kunnen bezoekers van jouw site de bedrijfsnaam terugzien als ze op het slotje klikken.

Extended Validation (EV certificaat) (naast slotje ook bedrijfsnaam en meer info)

Zoals je ziet is de naam van het bedrijf verwerkt in het slotje. Dit heet een EV-SSL certificaat. EV staat voor Extended Validation. Qua techniek verandert een EV-SSL certificaat niet van de ‘gewone’ SSL certificaten, maar het verschil zit ‘m in het identiteitsonderzoek. Bij een EV-SSL certificaat wordt namelijk eerst uitgebreid onderzoek gedaan naar je identiteit. Hier kunnen zo’n 2 a 3 weken overheen gaan. Een EV-SSL certificaat is in die zin dus meer ‘waard’ of betrouwbaarder.

De voordelen van een SSL certificaat

1. Veilig

Wanneer het verkeer tussen de browser van je bezoeker en jouw server beveiligd via https verstuurd wordt, dan maak je het kwaadwillenden wel erg moeilijk om het verkeer af te tappen. Je zorgt er dus voor dat mensen veilig een aankoop kunnen doen, of hun contactgegevens achter kunnen laten.

2. Vertrouwd

Het is aan de buitenkant te zien of jij je website beveiligt met een SSL certificaat. Mensen die ermee bekend zijn, zullen voor een aankoop of een contactaanvraag eerst controleren, of het via een beveiligde verbinding gaat. Zo niet, dan kiezen ze misschien wel voor je concurrent. Een SSL certificaat draagt dus bij aan het consumentenvertrouwen in je site.

3. Pluspunten voor je Google ranking

Veiligheid en vertrouwen zijn belangrijk voor de ervaring van een bezoeker. Maar ze hebben ook een belangrijk neveneffect. De belangrijkste taak van een zoekmachine is om hun gebruikers de beste opties voor te schotelen. Hiervoor hanteren ze verschillende eisen: de website moet bijvoorbeeld een antwoord bieden op wat de gebruiker zoekt (relevantie), de website moet gebruiksvriendelijk zijn (logisch opgebouwd en snel) EN de website moet veilig zijn. Dit soort eisen vertalen ze in algoritmes en op basis daarvan geven ze de zoekresultaten een volgorde: de beste opties komen bovenaan te staan.

Sinds 1 januari 2017 gaat Google zelfs nog verder: Google laat in Chrome met waarschuwingen zien wanneer een website niet versleuteld is met een SSL Certificaat. Je ziet nu al ‘veilig’. Chrome wil uiteindelijk elke http-website als ‘niet veilig’ labelen. Deze melding zal veel bezoekers afschrikken en dus een negatief heeft op de conversie van je website.

Google wil in de nieuwste versies van Google Chrome de gebruiker waarschuwen, om extra nadruk te leggen op de onveiligheid van http-websites.

Fabel

SSL vertraagt de verbinding. Voor veel mensen was snelheid een reden om een webshop niet (volledig) via SSL te laten lopen. Een SSL certificaat kon een vertraging van milliseconden opleveren. Met de ontwikkeling van de nieuwe techniek HTTP/2 is dit echter officieel niet meer aan de orde. Sterker nog, je shop is in de meeste gevallen zelfs sneller mét een SSL verbinding (via HTTPS dus) dan zonder.

Een certificaat aanschaffen

Er zijn verschillende certificaataanbieders, waaronder Comodo en Symantec, met beide jarenlange ervaring. Ook zijn er nieuwere aanbieders actief zoals Let’s Encrypt. Zij bieden gratis certificaten, maar dit vereist vaak wat meer technische kennis. Daarbij komt dat het nog in ontwikkelingsfase is.

Let op: Let’s Encrypt certificaten zijn altijd Domain Validation certificaten. Wil je dus een uitgebreider validatieniveau, dan moet je voor een andere aanbieder kiezen.

Hoe kom ik aan een certificaat/waar kan je een certificaat kopen?

Je kunt het certificaat afnemen bij de certificaatuitgever (vaak duurder), of via een reseller zoals Xolphin, Open Provider of Networking 4all. In veel gevallen verzorgt je webhoster dit voor je.

De meeste certificaten neem je per jaar af. Kosten zijn altijd afhankelijk van hostingpartij/aanbieder van certificaten.

Wat moet je doen om een SSL certificaat te installeren?

Wat je precies moet doen is afhankelijk van waar je het certificaat afneemt. We geven een handig overzichtje.

Via de hoster (verschil tussen managed en andere oplossing)

VoordeelManaged: verlenging wordt in de gaten gehouden en hij wordt verlengd (Let op sommige hosters waarschuwen alleen, je moet dan nog wel zelf actie ondernemen)
Aanschaf wordt geregeld
Installatie op de server wordt geregeld
Zorgen uit handen
NadeelJe betaalt meer

Rechtstreeks bij de SSL- leverancier aanschaffen

VoordeelGoedkoper
NadeelJe moet alles zelf doen
Opletten wanneer je certificaat vervalt
Let op: Let’s ENcrypt certificaten vervallen elke 3 maanden en leveren je dus meer werk op.

Heb je jouw shop voorzien van een SSL-certificaat?

Controleer of alles goed staat via https://www.ssllabs.com/ssltest/