Gelukkig zien we steeds vaker het groene of zwarte slotje in de browser als we een website bezoeken. Dat is maar goed ook, want dit slotje bevestigd dat je informatie veilig wordt uitgewisseld met de website die je bezoekt en waar je dus (onder water) mee communiceert. In een tijd waar phishing en hacking van websites aan de orde van de dag zijn, toch wel een lekker idee.

Veilig, maar wat is dat dan precies?
Veilig betekent bij een HTTPS-verbinding (‘SSL’, met dat slotje in de browser inderdaad) dat de informatie die je deelt met de website  dusdanig versleuteld is dat deze niet terug te lezen is door derden (bijv. hackers). Maar het gaat verder dan dat, de webserver aan wie je deze informatie geeft is ook daadwerkelijk de webserver bij wie het terecht hoort te komen. Kortom je deelt met zekerheid informatie met de partij/website die je op dat moment bezoekt. Dat is door het https protocol gevalideerd, dus veilig :-).

Certificaten, encryptie en identificatie, waar gaat het echt over?
Die veilige communicatie met de webserver werkt door middel van encryptie en identificatie. En die worden benoemd / gevalideerd in een ondertekend certificaat. Dat klinkt nog cryptisch, dat is het niet, daarom probeer ik het hieronder simpel uit te leggen hoe dit nu eigenlijk werkt.
Voor een veilige site moet je allereerst dus een certificaat hebben. Een certificaat kan je alleen krijgen van een speciale onafhankelijke autoriteit, een Certificate Authority (CA). Deze “CA” kan en mag alleen een certificaat uitgeven als alle gegevens kloppen die tijdens de aanvraag zijn ingediend door een partij/website. De CA controleert dus of alle gegevens kloppen, alvorens het certificaat uit te geven. Afhankelijk van het gewenste type certificaat vinden er uitgebreidere controles plaats.

Wil je nog meer vertrouwen naar je website bezoekers en klanten uitstralen?
Dan kan je er voor kiezen voor een EV (extended validation) certificaat, dit certificaat kent extra veiligheid door strengere controles. Waarbij het resultaat is dat je niet alleen een groen slotje te zien krijgt, maar ook de naam van het bedrijf van de website die je bezoekt groen is. De CA controleert dan of het bedrijf die de aanvraag doet juridisch, fysiek en operationeel echt bestaat en of de ingediende gegevens matchen met de officiële gegevens. Maar bij EV gaat het nog een stap verder en controleert of het bedrijf daadwerkelijk toestemming heeft gegeven aan de CA om de uitgifte van het certificaat te doen. Zie onderstaande screenshots ter illustratie:

SSL 2
EV certificaat waar ook in de adresbalk de bedrijfsnaam verschijnt.
SSL3
Domain SSL certificaat. Je hebt een slotje en bent veilig.

Daarnaast kies je ook of het certificaat voor enkel de domeinnaam zélf is (bijv. dharmamedia.nl) of dat je ook wenst dat het certificaat geldig is op sub-domeinen (bijv. blog.dharmamedia.nl).

Wil je enkel de versleuteling, veiligheid en een groen slotje?
Dan zijn er verder geen uitgebreide controles door de CA en ben je wel versleuteld. Prima voor de meeste websites. Naast meer vertrouwen naar je website bezoekers en klanten uitstralen is er nog een groot voordeel namelijk het gebruik van HTTPs ook door Google wordtbeloondmet een hogere ranking sinds begin 2017. Zodra de CA groen licht geeft krijg je een certificaat, en die wordt door de CA ondertekend. Dat gaat natuurlijk digitaal die ondertekening. Digitaal ondertekenen betekent dat onder water de opgegeven gegevens met rariteiten en teken-toevoegingen in een keukenblender worden gegooid tot een smurrie. Een smurrie dat alleen bestaat uit getallen en daardoor niet meer te lezen is.

Je ontvangt het certificaat vervolgens (hoera!) en deze dien je dan te installeren op de webserver van de website, zodat er een controle op veiligheid kan plaatsvinden wanneer een bezoeker met een smartphone of laptop naar die leuke website gaat.

Versleutelen en identificatie
Hoe weet je browser dan zeker dat dit het echt veilig is als je die hippe website bezoekt? Op het moment dat je een https-website gaat bezoeken zal je browser eerst een groet brengen naar de webserver van de website. Samen met deze groet stuurt je browser een voorstel mee waarin staat hoe de informatie dient te worden versleuteld.

SSL4
Je browser stuurt een sleutel-uitwisselingsmethode (RSA), een type sleutel (AES) en de validatiemethode (HMAC-MD5) als voorstel.


Zodra de webserver het hier mee eens is stuurt de website je het certificaat toe. Je browser controleert dan vervolgens of het certificaat daadwerkelijk is uitgegeven door de CA. Je browser verifieert dit door de eerder genoemde “keukenblendersmurrie” neer te leggen bij de CA (Certificate Authority). De CA krijgt dan de vraag of deze smurrie bij haar vandaan komt. Als de CA dit kan bevestigen kunnen de browser en website vanaf dit moment hun data versleuteld uitwisselen. En wordt dus het groene slotje getoond, dit proces gaat razend snel, tijdens het laden van de website.
Wie als hacker de lijn aftapt zal nu niets anders zien dan versleutelde (smurrie) berichten, die niet meer leesbaar te maken zijn. De hacker weet niet wat de benodigde code is om de versleutelde gegevens om te zetten in leesbare tekst. Dat weten alleen je browser en de website onderling.

Wat nu wanneer de Certificaat Authoriteit niet te vertrouwen blijkt?
Het is wel eens voorgekomen dat een CA niet 100% te vertrouwen bleek. De grote browsers (Chrome, IE, Safari) kunnen in een dergelijke situatie heel snel zorgen dat op het moment dat je browser een controle doet bij de CA je browser dit niet meer mag. Een voorbeeld is de hack die plaatsvond bij het Nederlandse DigiNotar in 2011 waardoor meer dan 500 valse certificaten werden verspreid. Onder andere de Nederlandse overheid websites werden tijdelijk als onveilig verklaard. Met de valse certificaten zou een legitieme website nagemaakt kunnen worden en niet meer van echt te onderscheiden zijn. Indien bezoekers naar de valse site geleid worden, kon de informatie beschikbaar komen aan de maker van de valse site. Valse certificaten zijn in het verleden door hackers gemaakt voor bekende diensten zoals Gmail, Twitter, Facebook en de geheime diensten CIA, of MI6. Door de hack is het vertrouwen in alle door DigiNotar uitgegeven digitale certificaten ingetrokken en kwamen ook andere diensten, zoals DigiD en de RDW in de problemen omdat browsers (en applicaties) deze CA blokkeerde. Deze hack werd online opgeëist door een 21-jarige Iraanse man, die handelde uit sympathie voor Iran en kritiek leverde op Nederland. Als gevolg van de hack werd internetgebruikers geadviseerd enkele dagen geen online overheidsdiensten te gebruiken. Na het ongeldig verklaren van de certificaten en de verbanning van DigiNotar door PKIoverheid en de PTA, werd het bedrijf op 20 september failliet verklaard.
Een CA zal er dus alles aan doen om te borgen dat ze geen tweede DigiNotar worden.

SSL5
Gratis certificaat via LetsEncrypt.org
Een paar jaar geleden is een initiatief begonnen genaamd LetsEncrypt.org. Deze organisatie is een officiële CA en geeft certificaten uit om zo de wereld snel veiliger te maken. Er zijn zelfs Nederlandse hosting partijen die koppelingen hebben ontwikkeld om snel een eenvoudig sites via LetsEncrypt.org te voorzien van een basis certificaat. Omdat LetsEncrypt volledig geautomatiseerd werkt, kan je via hen binnen een paar minuten een (gratis) eigen certificaat voor je website scoren. Het enige wat zij doen is een certificaat leveren. Hoe je dit installeert, uitrolt en test op je server mag je zelf uitzoeken. Al is op de website van LetsEncrypt veel hierover te lezen.


Google, Facebook en ranking
Maar als ik geen belangrijke informatie uit wissel tussen bezoeker en mijn website, dan heb ik geen certificaat nodig, toch? Dat zou je  zeggen, maar omdat de behoefte naar veiligheid (en privacy) steeds groter wordt zijn bedrijven als Google al begonnen om website met een certificaat hoger in de zoekresultaten te plaatsen dan websites zonder certificaat. En als je bij Facebook een campagne wilt beginnen en hierbij een leuke applicatie wilt bouwen en lanceren, moet je ook rekening houden dat de server waar je alle gegevens voor de applicatie plaatst benaderbaar zijn over https. Apple stelt certificering  inmiddels ook als eis in de communicatie tussen apps in haar Appstore en hun back-end systeem.

Natuurlijk zijn wij ook veilig!
Ook www.dharmamedia.nl is veilig. Wil je ons certificaat checken?Ga met Google Chrome naar www.dharmamedia.nl en druk op F12. Klik op het Security tab en klik Certificaat weergeven. 


Wij zijn veilig, jij ook?
Heb je zelf een site die je wilt laten voorzien van een certificaat?
Bel ons gewoon even, of mail ons op Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. wij weten immer de weg naar een geschikte oplossing ;-).