SSL Certificaat: praktische tips voor een veilige HTTPS website

De afkorting SSL betekent ‘Secure Sockets Layer’. Een SSL verbinding is een versleutelde verbinding tussen een server (website) en de bezoeker. De meeste browsers tonen een slotje of een groene balk in het adresvenster, wanneer je een beveiligde website bezoekt.

Wat is SSL en hoe werkt het?

Encryptie (versleuteling) is een wiskundig proces van informatie coderen en decoderen. Ieder SSL Certificaat bevat een set sleutels met code. Een privé sleutel met code en een publieke sleutel met code, die gebruikt wordt om de privé sleutel te decoderen.

De privé sleutel is geïnstalleerd op de server en wordt nooit met iemand gedeeld. De publieke sleutel zit in het SSL Certificaat verwerkt en wordt gedeeld met browsers.

Wanneer je een met SSL beveiligde website bezoekt, gebeurt er het volgende:

1. Jouw browser klopt aan bij de server en vraagt om een beveiligde sessie.
2. De server antwoord en stuurt de browser het SSL Certificaat toe. Er wordt gecontroleerd of het geldig en digitaal gesigneerd is door een partij die de gebruiker (browser) vertrouwt.
3. De browser stuurt een publieke sleutel met code naar de server die éénmalig voor deze sessie gebruikt kan worden.
4. De server ontcijfert deze publieke sleutel door zijn privé sleutel te gebruiken.
5. De verbinding is beveiligd en de gebruiker ziet een slotje in de adresbalk verschijnen.

Verschillende soorten SSL Certificaten

Er bestaan verschillende soorten SSL Certificaten. Het verschil zit hem voor het grootste deel in de prijzen. Het is niet zo dat het ene type certificaat betere beveiliging biedt dan een ander type SSL Certificaat.

Domein Validatie (DV) SSL Certificaat

Met dit type certificaat wordt alleen de domeinnaam gevalideerd en of de eigenaar van de domeinnaam de juiste eigenaar is. Bij de aanvraag van een DV SSL Certificaat wordt door de uitgever gecontroleerd of de aanvrager de domeinnaam beheert.

De aanvrager wordt in dit geval meestal verzocht een bevestiging per e-mail (link) te geven. Het bericht wordt verzonden naar het e-mailadres dat in de registratiegegevens van de domeinnaam staat vermeld.

Wij ontzorgen jou door het Domain Validation (DV) SSL Certificaat te installeren. Dit gaat geheel geautomatiseerd, je hoeft geen documenten op te sturen. SSL is bij dit type certificaat erg snel beschikbaar!

Organisatie Validatie (OV) SSL Certificaat

Bij een OV SSL Certificaat worden naast validatie van de domeinnaam ook de gegevens van het bedrijf gecontroleerd.

Uitgebreide Validatie (EV) SSL Certificaat

Je kunt een EV SSL Certificaat zien als een nog uitgebreider OV SSL certificaat. Naast validatie van de domeinnaam en de bedrijfsgegevens wordt er bekeken of het bedrijf correct geregistreerd staat bij de Kamer van Koophandel.

Dit type certificaat zorgt ervoor dat er in de browser een groene balk wordt getoond, en is ook meteen het meest prijzige type certificaat.

Waarom SSL?

Je ziet steeds vaker dat websites met behulp van een SSL worden beveiligd. Eerst werden voornamelijk webshops en websites van SSL voorzien, omdat daar vertrouwelijke informatie wordt verwerkt. Vandaag de dag zijn steeds meer websites van bijvoorbeeld particulieren, hobbyisten en zzp’ers beveiligd.

In 2014 heeft Google aangekondigd dat het websites met een SSL Certificaat voorrang gaat geven in de zoekresultaten. Jouw website met een SSL verbinding scoort dus mogelijk hoger in de zoekresultaten dan jouw website zonder certificaat!

Wist je dat…

• Google in haar eigen browser Google Chrome een melding weergeeft bij iedere website die niet beveiligd is?
• De Algemene verordening gegevensbescherming (AVG) je verplicht om persoonlijke gegevens van bezoekers (op je website) te beveiligen?

Hoe kom ik aan een SSL Certificaat?

SSL kun je aanvragen bij je hostingpakket. Bij Premium Webhosting is een SSL-certificaat inbegrepen. Wil je jouw basis hostingpakket upgraden met SSL, dan kun je SSL bijbestellen.

SSL configureren

Log in op jouw Hosting2GO Control Panel om SSL in te stellen. Ga hiervoor naar Webhosting en kies SSL. Je kan hier een SSL certificaat aanvragen en de status controleren van de aanvraag.

Handleiding CMS-systemen

Oké, ik heb een SSL Certificaat. Hoe stel ik dan nu een beveiligde verbinding in? Voor de meest gebruikte CMS’en hebben we handige artikelen op onze website staan.

• Handleiding SSL voor WordPress
• Handleiding SSL voor Joomla
• Handleiding SSL voor Drupal
• Handleiding SSL voor Sitebuilder

Via htaccess

Voor alle andere gevallen kun je onderstaande wijziging in een .htaccess bestand toepassen. Dit bestand kun je met een FTP-programma of via ‘Bestandsbeheer’ in het Hosting2GO Control Panel opzoeken in de map ‘httpdocs’.

Het bestand is standaard niet aanwezig op je hostingpakket. Zie je het niet staan, dan kun je het zelf aanmaken.

Let op!
Wanneer je een FTP-programma zoals FileZilla gebruikt, dien je in de instellingen van het programma aan te geven dat je verborgen bestanden wilt weergeven. Het .htaccess bestand is van zichzelf standaard een verborgen bestand. Dit doe je in FileZilla door bovenin de werkbalk op ‘Server’ en vervolgens op ‘Weergeven van verborgen bestanden’ te klikken.

Open het .htaccess bestand en plaats onderstaande code bovenin het bestand. Zorg ervoor dat er aan het einde van de code een lege regel (enter) staat tussen dit stuk code en de rest van de code in het bestand.

RewriteEngine On
RewriteCond %{HTTP_HOST} ^(www\.domeinnaam\.nl|domeinnaam\.nl)$ [NC]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domeinnaam.nl/$1 [R,L]


Vervang in de code ‘domeinnaam’ door jouw domeinnaam (3 keer). Bezoek vervolgens jouw website om de beveiligde verbinding te testen. Ververs de website met de toets-combinatie Cltr + F5 (Appeltje + R of command + R op iMac) om de onbeveiligde versie uit het geheugen van je browser te verwijderen.

Werken met een FTP-programma doe je: zo!

Help, het SSL Certificaat installeren lijkt niet gelukt!

Ik heb de beveiligde verbinding ingesteld, maar ik zie geen slotje of ik krijg een melding dat de website niet beveiligd is. Dit houdt waarschijnlijk in dat er onderdelen op jouw website weergegeven worden, die niet via HTTPS worden geladen.

Dit kunnen bijvoorbeeld onderdelen van een externe website zijn. Denk hierbij aan social media buttons of afbeeldingen van een andere website. Hoe kom je er nu achter welke onderdelen dat zijn?

Why No Padlock

Gebruik Why No Padlock om op te sporen welke onderdelen niet beveiligd zijn. Vul bij ‘Secure URL’ jouw domeinnaam in en klik vervolgens op ‘Check’. De test wordt uitgevoerd.

SSL Insecure Content Fixer

Is jouw website gemaakt met WordPress? Dan kun je met de plug-in SSL Insecure Content Fixer heel snel achterhalen welke onderdelen onveilig zijn, en de meeste problemen direct oplossen. Een alternatief voor deze plug-in is het Nederlandse Really Simple SSL.

Handmatige aanpassingen

Gebruik je geen Content Management Systeem (CMS)? Dan kun je in de betreffende websitebestanden alle URL’s handmatig aanpassen, zodat ze starten met HTTPS in plaats van HTTP.

Het kan voorkomen dat een onderdeel dat je vanaf een externe website op jouw site gebruikt, niet met een SSL Certificaat wordt beveiligd. Is het dan mogelijk om het onderdeel vanaf jouw eigen hostingpakket in de website te verwerken? Is dat niet mogelijk, dan kun je contact proberen te leggen met de eigenaar van de domeinnaam. Het kan zijn dat de eigenaar bereid is om een SSL Certificaat op zijn website te installeren.

Noodzaak SSL

Maakt jouw Webhosting-pakket nog geen gebruik van een geldig SSL Certificaat, dan krijgen jouw websitebezoekers vanaf januari 2017 een opvallende beveiligingswaarschuwing in de diverse browsers. Jouw website kan zonder SSL beveiliging ook lager gaan scoren in de Google-zoekresultaten.

Zie de noodzaak van een SSL Certificaat en maak jouw website direct betrouwbaarder!