Als webshop eigenaar moet je er voor zorgen dat je klanten en gebruikers hun gegevens veilig via je webshop of website kunnen versturen. Om dit mogelijk te maken, kan je het beste alle gegevens via een beveiligde website verbinding (HTTPS) laten versturen. Voor het opbouwen van zo’n beveiligde website verbinding is het nodig om een SSL certificaat te installeren. In deze blogpost lees je wat SSL certificaten zijn en wat de voordelen zijn wanneer je er een voor je webshop gebruikt.
Wat doet een SSL certificaat eigenlijk en hoe werkt een beveiligde verbinding?
SSL staat voor “Secure Sockets Layer” wat gelijk komt op een (extra) veilige internet verbindingen laag. Wanneer je het het over SSL hebt dan kom je ook gelijk de afkorting HTTPS tegen. Voor een beveiligde website verbinding gebruik je het SSL certificaat als een soort “paspoort”.
Op het moment dat er een verbinding wordt gemaakt tussen de webbrowser en de website, dan wordt het SSL certificaat gebruikt om te controleren of het domein ook bij de website behoort. Is dat niet het geval dan krijg je een waarschuwing via je internet programma.
De versleutelde gegevensoverdracht
Bij een beveiligde website verbinding worden de gegevens via de client (web browser) versleuteld voordat deze worden verstuurd. Deze versleuteling gebeurt op basis van een public key. Aan de andere kant (de server) wordt een private key gebruikt om de gegevens weer te ontsleutelen. Zonder de private key kunnen de gegevens niet worden ontsleuteld.
Het SSL certificaat wordt dan ook aangevraagd met behulp van dezelfde sleutels en het SSL certificaat werkt alleen maar met de keys die tijdens het aanvragen van een certificaat zijn gebruikt.
Vind je dat allemaal erg technisch en wil je weten hoe je makkelijk een SSL certificaat voor je webshop kan regelen? Klik dan hier en lees onderaan van deze blogpost wat de stappen zijn.
Waarom moet je voor je website of webshop een SSL certificaat kopen?
Volgens de privacywetgeving ben je als webshop eigenaar verplicht om er voor te zorgen dat persoonsgegevens van je klanten en bezoekers versleuteld naar je webserver worden gestuurd. Wanneer is dat het geval? Denk aan een bestelling via je webshop of een eenvoudig contactformulier.
Naast deze wettelijke verplichting, worden door steeds meer systemen (o.a. ook Google) een waarschuwing getoond wanneer een gebruiker gegevens via een niet beveiligde verbinding verstuurd. Deze waarschuwing houd bezoekers tegen om je webshop te bezoeken.
Zijn er ook voordelen?
- Een voordeel is dat je beveiligde website in sommige situaties beter in Google rankt dan een vergelijkbare website die niet beveiligd is. Steeds meer websites gebruiken een SSL certificaat, maar misschien kan je hier nog steeds van profiteren.
- Omdat intussen een groot deel van het internet via het beveiligde HTTP protocol functioneert, zie je ook meer gegevens in je web analytics software en kan je website bezoeken beter analyseren.
- Door het aanbod van een beveiligde website is er meer vertrouwen bij de bezoeker. Met het juiste SSL certificaat kan de bezoeker namelijk controleren of het SSL certificaat aan het bedrijf achter de webshop is uitgegeven.
Welke soorten SSL certificaten zijn er voor webshops
Door de verschillen SSL certificaat uitgevers worden er verschillende soorten certificaten aangeboden. In de basis werken deze op dezelfde manier, maar het validatie verschilt en daardoor ook de prijzen voor de certificaten.
SSL certificaat met domeinvalidatie
Een SSL certificaat met domeinvalidatie is het meest eenvoudige SSL certificaat dat je kan kiezen. Elk certificaat is geldig voor één domeinnaam en het www sub-domein. Wil je een ander subdomein (bijvoorbeeld mail.domeinnaam.nl) gebruiken, dan moet je hiervoor een extra certificaat aanschaffen. Wie de eigenaar van de website of webshop is, wordt binnen dit type certificaat niet vermeld.
SSL certificaat met uitgebreide validatie
Een SSL certificaat met uitgebreide validatie wordt ook wel EV (Extended Validation) certificaat genoemd. Een belangrijk kenmerk van een EV certificaat is dat tijdens het aanvragen van het certificaat ook de bedrijfsgegevens worden vergeleken en gecontroleerd met de gegevens die vermeld staan bij de Kamer van koophandel (KvK). Tijdens het validatieproces wordt de beheerder van de website door de certificaat uitgever via de telefoon gecontacteerd. Op deze manier wordt vastgesteld of de website, de domeinnaam en ook het bedrijf één entiteit zijn.
De bezoeker krijgt hierdoor de bevestiging dat hij zich op de juiste website bevindt. Door het klikken op het slotje in de adresbalk van de webbrowser kan de bezoeker zo makkelijk de bedrijfsnaam en de gegevens van het certificaat controleren.
Andere soorten SSL certificaten
Naast deze twee meest voorkomende soorten SSL certificaten, zijn er ook nog enkele andere certificaten beschikbaar:
- Certificaat met bedrijfsvalidatie
Dit certificaat lijkt erg op het EV certificaat, maar de verificatie stappen tijdens het aanvragen zijn eenvoudiger en worden niet door een persoon gecontroleerd. - Multidomein certificaat
Een Multidomein certificaat is bijzonder geschikt (en voordelig) voor Exchange servers of websites die over meerdere domeinnamen beschikken. - Wildcard certificaten
Dit certificaat kan je gebruiken voor één domeinnaam en een onbeperkt aantal sub-domeinnamen.
Hoe werkt het aanvragen en de installatie van een SSL Certificaat?
Voor het aanvragen van een SSL certificaat is een Certificate Signing Request (CSR) noodzakelijk. De CSR is een soort code die de volgende gegevens bevat:
- De domeinnamen waarvoor het SSL certificaat wordt aangevraagd.
- Bedrijfs- en locatiegegevens
- De publieke sleutel die op je server wordt aangemaakt.
De CSR wordt gebruikt voor het aanvragen of verlengen van je SSL certificaat.
Hoe zit het met de publieke sleutel?
Om een SSL certificaat op je server te installeren worden twee sleutel bestanden aangemaakt. Deze worden gebruikt bij het aanvragen en elke keer bij het verifiëren of je SSL certificaat geldig is.
Verandert de publieke sleutel (of de privé sleutel) op je server dan werkt je certificaat niet meer en moet je een nieuwe CSR aanmaken en hiermee het SSL certificaat aanvragen
SSL certificaten zijn maar “beperkt houdbaar”
Een SSL certificaat moet elk jaar worden verlengd, omdat certificaten voor maximaal 13 maanden worden uitgegeven. Je kan wel een certificaat voor een langere tijd kopen, maar ook dan is moet je tussendoor een heruitgifte doen. Deze stap is nodig om regelmatig te kijken dat het uitgegeven certificaat nog juist is.
Dat is allemaal erg technisch, is er ook een eenvoudige (gratis) oplossing?
Voor de meeste website eigenaars is het aanvragen van een SSL certificaat best wel een uitdaging en wordt deze stap meestal overgelaten aan de webbouwer of het webhostingbedrijf. Wil je het iets makkelijker regelen, ga dan voor 1 van deze 3 opties.
SSL certificaat bij finalwebsites
Voor onze webhosting klanten regelen wij natuurlijk ook de SSL certificaten. Hierbij heeft de klant geen omkijken ernaar en verlengen wij de certificaten op tijd. De kosten voor een SSL certificaat met domeinvalidatie zijn € 39,00.
Let’s encrypt
Deze optie kost niets en wordt in de meeste gevallen geregeld via het web hosting panel. Een certificaat uitgegeven door Let’s encrypt is maar 90 dagen geldig en wordt automatisch verlengd. Ons advies: gebruik Let’s encrypt niet voor je zakelijke website. Vaak gaat het goed maar soms ook niet (is onze ervaring).
Cloudflare
Cloudflare is een dienst waarmee je o.a. de DNS van je domeinnaam kan hosten en je website kan optimaliseren en beveiligen. Maak je volledig gebruik van Cloudflare dan kan je ook de SSL certificaten (ook gratis) van Cloudflare gebruiken. Het nadeel bij Cloudflare is dat je ook hun proxy service moet aanzetten. Wanneer dit niet goed werkt voor je webshop, dan is deze optie niet geschikt.
Gepubliceerd in: E-commerce tips