SSL inmiddels “verplicht”

Belangrijke informatie voor (bijna) iedereen met een website!

ssl-adresbalk

Wat is SSL eigenlijk?

SSL is een acroniem voor het Secure Socket Layer. Dat protocol zorgt ervoor dat de gegevens die verstuurd worden vanuit een webserver naar je browser en andersom versleuteld worden en dus niet (zomaar) door buitenstaanders kunnen worden gelezen, gestolen en eventueel misbruikt.
Een met SSL beveiligde website herken je doordat in je webbrowser de URL (het adres van de website) voorafgegaan wordt door https:// (i.p.v. http:// dus zonder s) en een groen slotje. Dat is niet alleen veiliger, maar schept ook vertrouwen bij de bezoeker.
Kan een website tegenwoordig eigenlijk nog wel zonder?

Is SSL verplicht?

‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’

Hoé de persoonsgegevens te beveiligen wordt hier dus niet aangegeven. In die zin is het toepassen van SSL dan ook niet verplicht, maar het is wel logische maatregel, want zonder zijn gegevens in elk geval niét beveiligd tegen afluisteren en misbruik tijdens invoeren en downloaden.

Wát persoonsgegevens zijn wordt wel duidelijk gesteld:

Artikel 1
In deze wet en de daarop berustende bepalingen wordt verstaan onder: a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Aangezien vrijwel elk op een website achtergelaten gegeven de indiener identificeerbaar maakt, is dat dus eigenlijk bij álle gegevens het geval.
Niet alleen bij het achterlaten van je naam en adres gegevens bij zoiets als het doen van online aankopen, maar ook al bij het bij het invullen van je e-mail adres in een simpel contactformuliertje, inschrijving voor een nieuwsbrief of zelfs maar door te reageren op een bericht!

Wíe van deze verplichting is uitgezonderd wordt vrij duidelijk in de wet toegelicht:

Artikel 2
….

Deze wet is niet van toepassing op verwerking van persoonsgegevens:

Artikel 3
1. Deze wet is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de artikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.

Kortom, je bent alléén ontheven van de plicht om gegevens te versleutelen als je website:

  • geen enkele mogelijkheid biedt om (niet anoniem) gegevens achter te laten
  • uitsluitend bedoeld is voor persoonlijk-, huishoudelijk-, journalistiek-, artistiek- of literair gebruik
  • eigendom is van een inlichtingen- of veiligheidsdienst, de politie, de krijgsnacht, de gemeentelijke basisadministratie persoonsgegevens, justitie, of een orgaan ter uitvoering van de kieswet (eigenlijk nogal bedenkelijk dat die zich er niet aan hoeven te houden, maar ja…)

Dikke kans dus dat die verplichting ook voor jou geldt!

Wil je het zekere voor het onzekere nemen, zorg er dan dus in ieder geval voor dat je website met een SSL ecertificaat beveiligd is.
Niet beveiligde websites kunnen een boete van het College Bescherming Persoonsgegevens (cbp) verwachten…

Andere verplichtingen

De Wet bescherming persoonsgegevens bevat trouwens nog veel meer verplichtingen. Alleen het versleutelen van gegevens tijdens de invoer is namelijk niet voldoende. Je dient ook zorgvuldig om te gaan met de verkregen gegevens.
En mocht je erachter zijn gekomen dat er op je website achtergelaten gegevens onverhoeds in hande zijn gekomen van anderen, dan heb je je sinds 1 januari 2016 ook nog eens te houden aan de z.g.n. Meldplicht datalekken.
Zorg dus dat je je goed op de hoogte stelt van de wet via de online publicatie van de overheid of de bijgesloten pdf.

Tot zover dan het wettelijke gedeelte. Maar er is meer….

Google’s maatregelen

Google vindt het (terecht) ook belangrijk dat websites veilig zijn.
Zij geven daarom o.a. “voorrang” aan websites die met SSL zijn beveiligd. Deze komen dan hoger in de zoekresultaten terecht.
Niet geheel onbelangrijk als je wilt dat je website daar nog gevonden wordt. Zeker niet gezien het feit dat steeds méér websites overgaan op SSL/HTTPS en jouw onbeveiligde website daar dus steeds verder onder komt te staan.
Maar zelfs als je daar niet veel waarde aan hecht, dwingt Google je al om SSL toe te passen.
Na januari 2017 zal Google’s populaire browser Chrome namelijk iedere website die niet met SSL beveiligd is in de adresbalk expliciet als onveilig weergeven!

chrome-http-warning

Adresbalk in Chrome 56 (v.a. januari 2017) van http pagina’s met inlog of creditcard formulieren

chrome-http-not-secure-warning

Adresbalk van ALLE http pagina’s in toekomstige versies van Chrome

Kortom: wil je dat jouw site betrouwbaar overkomt én snel gevonden wordt, dan is het – ook als je niets te versleutelen hebt – aan te raden om deze met SSL te beveiligen.

SSL Certificaten

Voor het beveiligen van je website met SSL heb je allereerst een SSL Certificaat nodig.
Mocht je (terecht) besluiten om er een aan te schaffen dan zal je worden je geconfronteerd met een een aantal keuzes.
Daarom volgt hieronder een korte uitleg van de mogelijkheden.

Trusted of Self Signed Cetificate

Allereerst dient het certificaat uitgegeven te zijn door een “vertrouwde instantie”.
Je webbrowser herkent in dat geval de uitgever van het certificaat en toont dan (mits alles goed is ingesteld) het groene slotje in de adresbalk.
Je kan er ook voor kiezen om je website te beveiligen met een z.g.n. “self signed” certificate. Die zal echter niet door browsers worden herkend en als onveilig worden weergegeven. Geen groen slotje in de adresbalk, maar een dik rood kruis! Dat is misschien wel acceptabel voor websites die uitsluitend privé worden gebruikt, maar dat wil je je bezoekers natuurlijk niet aandoen.

Domain Certificate

Een standaard domein certificaat is te gebruiken op één domein.
Meer heb je in principe niet nodig voor bijvoorbeeld een particuliere website, tenzij deze gedeelten bevat die vanaf een ander domein komen.
In de praktijk zie je dat laatste bijvoorbeeld weleens bij webwinkels; hun domein huisvest de “etalage”, maar voor het daadwerkelijk bestellen en afrekenen wordt je doorgestuurd naar een ander domein (met een heel ander adres), of een subdomein (hetzelfde domein, maar met een ander voorvoegsel).
Ik zeg expres voor een particuliere website, want een domein certificaat zegt alleen dat je inderdaad bij dat domein terecht gekomen bent.
Het certificaat vermeldt niet wie de eigenaar van het certificaat en het domein is. Je ziet daaraan dan ook níet of de website daadwerkelijk van de daarop genoemde organisatie is.
Zo’n website zou bijvoorbeeld best weleens nagebouwd kunnen zijn; een populaire “Phishing” truuk om illegaal aan gegevens te komen…
Een domein certificaat zonder validatie wordt dus weliswaar vertrouwd door webbrowsers, maar niet zonder meer door de oplettende bezoeker.

Organization Validation (OV) Certificate

Organisaties gebruiken liever een zogenaamd OV certificaat, waarop zij zelf ook als eigenaar staan vermeldt.
Dat is iets duurder, maar het schept wel meer vertouwen bij de klant.
De uitgevende instantie neemt, voorafgaand aan de uitgifte, contact op met de aanvrager om te verifiëren of deze daadwerkelijk het certificaat hebben aangevraagd én om na te gaan of ze wel het bedrijf zijn wie ze zeggen te zijn.
Dat heb ik in mijn geval ook zo geregeld en dat is dan (ook voor de bezoeker) te zien aan het certificaat.

certificaat-pgit

Extended Validation (EV) Certificate

Je kan nog een stap verder gaan, door de uitgevende instantie van het certificaat bij de Kamer van Koophandel je gegevens te laten controleren en bevestigen.
De bedrijfsnaam zal dan niet alleen op het achterliggende EV certificaat worden getoond, maar ook al direct bij het slotje in de adresbalk.
Ook extra gegevens, zoals het adres en het KvK nummer van het bedrijf, worden dan op het certificaat vermeld.
Een EV certificaat is onmisbaar voor websites van bedrijven waar vertrouwen extra belangrijk is en waar gevoelige informatieoverdracht plaats vindt, zoals bijvoorbeeld bij financiële-, zorg- en overheidsinstaties.
Vanwege de uitgebreide verificatieprocedure duurt het na de aanvraag dan wel wat langer voor het certificaat daadwerkelijk in je bezit is en geïnstalleerd kan worden.

Wildcard Certificate

Op alle hierboven genoemde varianten is een “Wildcard” variant te verkrijgen. Die is niet alleen geldig op het hoofdomein, zoals in mijn eigen geval “pgit.nl”, maar ook voor alle subdomeinen, in mijn geval bijvoorbeeld “peter.pgit.nl”, waar ik een (inmiddels verouderd) persoonlijke blogsite toon.
Gebruik je maar één of twee subdomeinen, dan is een apart certificaat voor elk domein wellicht nog steeds goedkoper dan een duur Wildcard certificaat.
Strict genomen wordt “www.” trouwens ook als een subdomein gezien, maar met een handige truuk kan je dat weer omleiden naar het hoofddomein, zodat je voor beide gangbare URLs (mét en zonder “www.” dus) toch maar één certificaat nodig hebt.

Gratis SSL certificaten

Gratis en toch vertrouwd klinkt natuurlijk fijn, maar helaas “there ain’t no such thing as a free lunch“.
Allereerst zijn de meeste gratis certicaten, zoals die van het populaire let’s encrypt, maar 3 maanden geldig.
Als ze aflopen worden ze niet meer als veilig gezien en moeten ze worden verlengd. Een omslachtige procedure, tenzij je zelf iets kan bouwen en installeren om dat voor je te doen…
Bovendien worden veel van de in eerste instantie vertrouwde uitgevers vaak later alsnog niet meer door de gangbare browsers vertrouwd. Dat geldt sinds oktober 2016 bijvoorbeeld voor Google’s Chrome en Mozilla’s Firefox in het geval van de eveneens populaire uitgever van gratis certificaten Start SSL.

Zelf doen of uitbesteden?

Er zijn een heleboel instanties waar je zelf een SSL certificaat kan bestellen.
Rechtstreeks bij alle door je browser vertrouwde uitgevers bijvoorbeeld.
Soms ook bij je hoster.

In het eerste geval zal je – naast uitzoeken, aanvragen en betalen – nog veel meer zelf moeten regelen:
het certificaat downloaden, installeren op je domein, omleiden en aanpassen van je website voor gebruik van het certificaat enz.
Niet onbelangrijk hierin is het oplossen van het probleem met “mixed content” bepaalde inhoud die wel op je website te zien is, maar niet via https wordt aangeroepen. Of zelfs helemaal niet vanaf jouw (met jouw certificaat beveiligde) domein komt. Denk aan o.a. Youtube filmpjes etc.
En dan is er nog het activeren van het certificaat en omleiden van http (en www) naar https, zodat men ook altijd daadwerkelijk op de beveiligde versie uitkomt.

In het tweede geval zal je hoster zorgen voor de aanvraag en meestal ook voor de installatie van het certificaat op je domein.
Echter meestal niet voor de activatie, het omleiden en het aanpassen van je website.
Je website blijft zolang nog steeds alleen bereikbaar via http en is dan dus nog steeds onbeveiligd en niet vertrouwd.

Als je niet zelf aan de slag wil en/of je niet verder in de materie wil verdiepen, raad ik je aan om het hele SSL beveiligingsverhaal uit te besteden.
Uiteraard wil ik je daarbij graag van dienst zijn.

Als je website bij mij gehost is vraag ik op je verzoek tegen kostprijs een SSL certificaat voor je aan en zorg ik dat die op je domein geïnstalleerd wordt.
Certificaten worden voor minimaal 12 maanden afgenomen en zijn er met een geldigheidsduur van 1 jaar of 3 jaar.
De prijzen verschillen uiteraard per type certificaat en variëren van 2,- euro voor een standaard-, 4,- euro voor een OV- en 13,- euro voor een EV certificaat per maand.
De Wildcard varianten kosten respectievelijk 7,- en 23,- euro per maand voor een standaard of een OV certificaat.
EV Wildcard certificaten zijn helaas niet beschikbaar.

Host je elders, dan help ik je graag bij de aanvraag en installatie tegen mijn geldende uurtarieven (met korting voor ideële organisaties en particulieren).
Ook het activeren, omleiden en alle benodigde aanpassingen binnen je website doe ik op uurbasis.
N.B. klanten met een WordPress onderhoudscontract betalen hier natuurlijk niks extra voor!

Ik wens jullie een veilige en succesvolle website toe!

Peter.

Leave a Reply

  

  

  

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.