Wat is een SSL-certificaat? - Definitie en uitleg

Wat is een SSL-certificaat?

Een SSL-certificaat is een digitaal certificaat waarmee de identiteit van een website wordt geverifieerd en waarmee een versleutelde verbinding tot stand kan worden gebracht. SSL staat voor Secure Socket Layer, een beveiligingsprotocol waarmee een versleutelde koppeling tussen een webserver en een webbrowser tot stand wordt gebracht.

Bedrijven en organisaties moeten SSL-certificaten aan hun websites toevoegen om online transacties te beveiligen en klantgegevens privé en veilig te houden.

In het kort: Met SSL blijven internetverbindingen veilig en voorkom je dat criminelen gegevens die tussen twee systemen worden overdragen, kunnen lezen of aanpassen. Wanneer je op de adresbalk naast de URL een hangslotpictogram ziet, betekent dit dat de website die je bezoekt met SSL wordt beveiligd.

Sinds het SSL-protocol zo'n 25 jaar geleden voor het eerst in gebruik is genomen, zijn er verschillende versies geweest, die op een gegeven moment allemaal tegen beveiligingsproblemen aanliepen. Er volgde een nieuwere versie met een nieuwe naam: TLS (Transport Layer Security), die tot op de dag van vandaag wordt gebruikt. De initialen SSL zijn echter gebleven, dus de nieuwe versie van dit protocol wordt nog steeds bij de oude naam genoemd.

Hoe werken SSL-certificaten?

SSL zorgt ervoor dat gegevens die tussen gebruikers en websites, of tussen twee systemen, worden overgedragen onleesbaar blijven. Er worden encryptiealgoritmen gebruikt om de gegevens tijdens de overdracht te coderen, waardoor hackers ze niet kunnen lezen terwijl ze via de verbinding worden overgedragen. Het gaat hierbij om gegevens zoals mogelijk gevoelige informatie, zoals namen, adressen, creditcardnummers of andere financiële gegevens.

Het proces werkt als volgt:

1. Een browser of server probeert verbinding te maken met een website (bijvoorbeeld een webserver) die met SSL is beveiligd.
2. De browser of server vraagt de webserver zichzelf te identificeren.
3. De webserver stuurt de browser of server als reactie een kopie van het SSL-certificaat.
4. De browser of server controleert of het SSL-certificaat kan worden vertrouwd. Als dit het geval is, wordt dit aan de webserver doorgegeven.
5. De webserver stuurt vervolgens een digitaal ondertekende bevestiging terug om een versleutelde SSL-sessie te starten.
6. Versleutelde gegevens worden tussen de browser of server en de webserver gedeeld.

Dit proces wordt ook wel een 'SSL-handshake’ genoemd. Dit klinkt weliswaar als een langdurig proces, maar in feite duurt het slechts enkele milliseconden.

Wanneer een website door een SSL-certificaat wordt beveiligd, wordt de afkorting 'HTTPS' (HyperText Transfer Protocol Secure) in de URL weergegeven. Zonder een SSL-certificaat zie je alleen de letters HTTP (zonder de S van Security dus). Ook wordt op de URL-adresbalk een hangslotpictogram weergegeven. Dit geeft aan dat de website betrouwbaar is en dat gebruikers de website met een gerust hart kunnen bezoeken.

Klik op het hangslotpictogram op de browserbalk om de details van het SSL-certificaat te zien. In SSL-certificaten staan doorgaans onder meer de volgende gegevens:

• De domeinnaam waarvoor het certificaat is uitgegeven
• De naam van de persoon, organisatie of het apparaat waaraan het certificaat is uitgegeven
• De certificeringsinstantie die het certificaat heeft uitgegeven
• De digitale handtekening van de certificeringsinstantie
• Bijbehorende subdomeinen
• Uitgiftedatum van het certificaat
• De verloopdatum van het certificaat
• De openbare sleutel (de privésleutel wordt niet bekendgemaakt)

Waarom heb je een SSL-certificaat nodig?

Websites hebben SSL-certificaten nodig om gebruikersgegevens te beveiligen, te controleren wie de eigenaar van de website is, te voorkomen dat aanvallers een nepversie van de site maken en om vertrouwen te wekken bij gebruikers.

Als gebruikers op een website wordt gevraagd om zich aan te melden, persoonlijke gegevens in te voeren zoals hun creditcardnummer of om vertrouwelijke informatie zoals zorguitkeringen of financiële informatie weer te geven, dan moeten die gegevens vertrouwelijk blijven. Met behulp van SSL-certificaten blijven online interacties privé en zijn gebruikers ervan verzekerd dat de website authentiek is en dat het veilig is om privégegevens met deze website te delen.

Voor bedrijven geldt dat een SSL-certificaat vereist is voor een HTTPS-webadres. HTTPS is de beveiligde variant van HTTP. Dit betekent dat het verkeer op HTTPS-websites met SSL wordt versleuteld. In de meeste browsers worden HTTP-sites (websites zonder SSL-certificaat) als 'niet veilig’ beschouwd. Dit geeft gebruikers een duidelijk teken dat de site mogelijk niet betrouwbaar is en het stimuleert bedrijven om naar HTTPS te migreren als ze dit nog niet hebben gedaan.

Met behulp van een SSL-certificaat wordt onder andere de volgende informatie beveiligd:

• Aanmeldingsgegevens
• Creditcardtransacties of bankrekeninggegevens
• Persoonlijke gegevens, zoals de volledige naam, het adres, de geboortedatum of het telefoonnummer
• Juridische documenten en contracten
• Medische dossiers
• Eigendomsgegevens

Soorten SSL-certificaten

Er zijn diverse SSL-certificaattypen met verschillende validatieniveaus. Dit zijn de zes belangrijkste typen:

1. Certificaten met verlengde validatie (EV SSL)
2. Door een organisatie gevalideerde certificaten (OV SSL)
3. Door een domein gevalideerde certificaten (DV SSL)
4. SSL-certificaten met een jokerteken
5. SSL-certificaten voor meerdere domeinen (MDC)
6. Certificaten voor uniforme communicatie (UCC)

Certificaten met verlengde validatie (EV SSL)

Dit is het hoogst geclassificeerde en duurste type SSL-certificaat. Vaak wordt dit type gebruikt voor prominente websites waarop gegevens worden verzameld en online betalingen worden gedaan. Wanneer dit SSL-certificaat is geïnstalleerd, worden op de adresbalk van de browser het hangslotpictogram, HTTPS, de naam van het bedrijf en het land weergegeven. Door informatie over de eigenaar op de adresbalk van de website weer te geven, onderscheiden deze websites zich van kwaadwillende sites. Voor het instellen van een EV SSL-certificaat moet de eigenaar van de website een gestandaardiseerd identiteitsverificatieproces doorlopen om te bevestigen dat die wettelijk bevoegd is de exclusieve rechten van het domein uit te oefenen.

Door een organisatie gevalideerde certificaten (OV SSL)

Deze SSL-certificaatversie biedt ongeveer hetzelfde garantieniveau als het EV SSL-certificaat. Om een dergelijk certificaat te verkrijgen moet de eigenaar van de website een aanzienlijk validatieproces doorlopen. Dit certificaattype toont ook informatie over de website-eigenaar op de adresbalk, om de website te onderscheiden van kwaadwillende sites. OV SSL-certificaten zijn vaak het op een na duurste certificaat (na EV SSL-certificaten) en hun primaire doel is het versleutelen van de gevoelige informatie van de gebruiker tijdens transacties. Voor commerciële of op het algemene publiek gerichte websites moet een OV SSL-certificaat worden geïnstalleerd om ervoor te zorgen dat gegevens van klanten die worden gedeeld, vertrouwelijk blijven.

Door een domein gevalideerde certificaten (DV SSL)

Het validatieproces voor het verkrijgen van dit type SSL-certificaat is slechts minimaal. Als gevolg daarvan bieden door een domein gevalideerde SSL-certificaten minder garantie en slechts een minimale encryptie. Vaak wordt dit type gebruikt voor blogs of informatieve websites, oftewel websites waarop geen gegevens worden verzameld of online betalingen worden verricht. Dit SSL-certificaattype is een van de goedkoopste en snelst te verkrijgen typen. Voor het validatieproces hoeven eigenaren van websites alleen maar te bewijzen dat ze inderdaad de eigenaar van het domein zijn. Dit kan al door een e-mail of telefoontje te beantwoorden. Op de adresbalk van de browser wordt alleen HTTPS plus een hangslotpictogram weergegeven, niet de bedrijfsnaam.

SSL-certificaten met een jokerteken

Met SSL-certificaten met een jokerteken kun je met één certificaat een basisdomein en een onbeperkt aantal subdomeinen beveiligen. Als je meerdere subdomeinen wilt beveiligen, is de aanschaf van een SSL-certificaat met een jokerteken veel goedkoper dan de aanschaf van een afzonderlijk SSL-certificaat voor elk subdomein. SSL-certificaten met een jokerteken bevatten een * als onderdeel van de gewone naam, waarbij het sterretje voor alle geldige subdomeinen staat die hetzelfde basisdomein hebben. Een certificaat met één jokerteken voor *website kan bijvoorbeeld worden gebruikt voor het beveiligen van:

• jouwdomein.com
• jouwdomein.com
• jouwdomein.com
• jouwdomein.com
• van-alles.jouwdomein.com

SSL-certificaten voor meerdere domeinen (MDC)

Je kunt een certificaat voor meerdere domeinen gebruiken om een groot aantal domeinen en/of subdomeinnamen te beveiligen. Dit is met inbegrip van de combinatie van totaal unieke domeinen en subdomeinen met verschillende TLD's (domeinen op het hoogste niveau), met uitzondering van lokale/internationale domeinen.

Bijvoorbeeld:

• voorbeeld.com
• org
• dit-domein.net
• van-alles.com.au
• voorbeeld.com
• voorbeeld.org

Certificaten voor meerdere domeinen bieden standaard geen ondersteuning voor subdomeinen. Als je zowel www.voorbeeld.com als voorbeeld.com wilt beveiligen met één certificaat voor meerdere domeinen, moet je beide hostnamen opgegeven wanneer je het certificaat aanvraagt.

Certificaten voor uniforme communicatie (UCC)

Certificaten voor uniforme communicatie (UCC) worden ook wel als SSL-certificaten voor meerdere domeinen beschouwd. UCC-certificaten zijn oorspronkelijk ontworpen om Microsoft Exchange- en Live Communications-servers te beveiligen. Tegenwoordig kan elke website-eigenaar deze certificaten gebruiken om meerdere domeinnamen met één certificaat te beveiligen. UCC-certificaten worden per organisatie gevalideerd en tonen een hangslotpictogram in de browser. Je kunt UCC-certificaten als EV SSL-certificaten gebruiken om bezoekers van je website met de groene adresbalk de hoogste garantie te geven.

Het is essentieel dat je bekend bent met de verschillende typen SSL-certificaten, zodat je het juiste type voor jouw website aanvraagt.

Een SSL-certificaat aanvragen

SSL-certificaten kunnen rechtstreeks bij een certificeringsinstantie (CA) worden aangevraagd. Certificeringsinstanties geven per jaar miljoenen SSL-certificaten uit. Ze spelen een essentiële rol bij de manier waarop internet werkt en hoe transparante, vertrouwde interacties online kunnen worden uitgevoerd.

De kosten van een SSL-certificaat variëren van gratis tot enkele honderden dollars, afhankelijk van het vereiste beveiligingsniveau. Zodra je hebt bepaald welk type certificaat je nodig hebt, kun je naar certificaatuitgevers kijken, die SSL-certificaten op het gewenste niveau aanbieden.

Voer de volgende stappen uit om een SSL-certificaat aan te vragen:

• Bereid je voor door je server in te stellen en ervoor te zorgen dat je WHOIS-record is bijgewerkt en overeenkomt met de informatie die je bij de certificeringsinstantie indient (zorg ervoor dat hierop de juiste bedrijfsnaam en adresgegevens, etc. worden getoond).
• Genereer een CSR (aanvraag voor ondertekening van het certificaat) op je server. Dit is een actie waarbij je hostbedrijf je kan helpen.
• Dien deze informatie in bij de certificeringsinstantie om je domein en bedrijfsgegevens te valideren.
• Installeer het certificaat dat je hebt gekregen zodra het proces is voltooid.

Zodra je het certificaat hebt gekregen, moet je dit op je webhost of op je eigen servers (als je de website zelf host) configureren.

Hoe snel je het certificaat ontvangt, hangt af van het type certificaat dat je hebt aangevraagd en bij welke certificaatuitgever je dit hebt aangevraagd. Voor elk validatieniveau geldt een eigen voltooiingsduur. Een eenvoudig door het domein gevalideerd SSL-certificaat kan al na enkele minuten na je bestelling worden uitgegeven, terwijl uitgebreide validatie tot wel een week kan duren.

Kan een SSL-certificaat op meerdere servers worden gebruikt?

Het is mogelijk om één SSL-certificaat voor meerdere domeinen op dezelfde server te gebruiken. Afhankelijk van de leverancier kun je ook één SSL-certificaat op meerdere servers gebruiken. Dit komt vanwege 'SSL-certificaten voor meerdere domeinen', die we eerder hebben besproken.

Zoals de naam al zegt werken 'SSL-certificaten voor meerdere domeinen' met meerdere domeinen. Het aantal hangt af van de specifieke certificeringsinstantie die het certificaat uitgeeft. Een SSL-certificaat voor meerdere domeinen is anders dan een SSL-certificaat voor één domein, dat, zoals de naam al aangeeft, ontworpen is om één domein te beveiligen.

En om het nog iets ingewikkelder te maken: SSL-certificaten voor meerdere domeinen worden ook wel SAN-certificaten genoemd. SAN staat voor Subject Alternative Name, oftewel de alternatieve naam van een onderwerp. Elk certificaat voor meerdere domeinen beschikt over extra velden (d.w.z. SAN's), die je kunt gebruiken om extra domeinen te vermelden die je onder één certificaat wilt onderbrengen.

Met UCC-certificaten voor uniforme communicatie en SSL-certificaten met een jokerteken zijn ook meerdere domeinen en, in het tweede geval, een onbeperkt aantal subdomeinen mogelijk.

Wat gebeurt er als een SSL-certificaat verloopt?

Voor SSL-certificaten geldt inderdaad een vervaldatum; ze gaan niet eeuwig mee. De certificeringsinstantie/het browserforum, dat de facto als de regelgevingsinstantie voor de SSL-branche fungeert, bepaalt dat SSL-certificaten niet langer dan 27 maanden mogen meegaan. Dit betekent in feite twee jaar plus maximaal drie maanden als je het vorige SSL-certificaat verlengt met nog resterende tijd.

SSL-certificaten verlopen omdat informatie, net als bij andere vormen van authenticatie, periodiek opnieuw moet worden gevalideerd om te controleren of de informatie nog steeds actueel is. Omdat bedrijven en websites worden gekocht en verkocht, veranderen zaken op internet voortdurend. Wanneer SSL-certificaten van eigenaar wisselen, verandert ook de informatie die relevant is voor die certificaten. Het doel van de vervalperiode is om ervoor te zorgen dat de informatie die wordt gebruikt voor de authenticatie van servers en organisaties zo actueel en nauwkeurig mogelijk is.

Voorheen konden SSL-certificaten voor tot wel vijf jaar worden uitgegeven. Dit is ingekort tot drie en onlangs tot twee jaar plus mogelijk drie maanden extra. In 2020 kondigden Google, Apple en Mozilla aan dat ze SSL-certificaten voor maximaal één jaar willen invoeren, ondanks het feit dat dit voorstel door het browserforum van de certificeringsinstanties is afgewezen. Met ingang van september 2020 is dit van kracht geworden. Het is mogelijk dat de geldigheidsduur in de toekomst nog verder wordt ingekort.

Wanneer een SSL-certificaat verloopt, kan de desbetreffende website niet meer worden bereikt. Wanneer in de browser van een gebruiker een website wordt geopend, wordt binnen enkele milliseconden de geldigheid van dat SSL-certificaat gecontroleerd (als onderdeel van de ‘SSL-handshake’). Als het SSL-certificaat is verlopen, ontvangen bezoekers een waarschuwing zoals: ‘Deze website is niet beveiligd. Mogelijk loopt u risico'.

Gebruikers hebben weliswaar de mogelijkheid om verder te gaan, maar het is beter om dit niet te doen in verband met cyberveiligheidsrisico's, zoals het risico om met malware te worden geïnjecteerd. De waarschuwing zal een aanzienlijke invloed hebben op het aantal misgelopen bezoekers van websites, omdat gebruikers snel wegklikken en naar een andere website gaan.

Het is voor grotere ondernemingen een ware uitdaging om op de hoogte te blijven van de vervaldatums van alle SSL-certificaten. Hoewel kleinere bedrijven en het mkb vaak maar een of misschien een paar certificaten hoeven te beheren, zullen dat er voor grote zakelijke organisaties die mogelijk in meerdere markten actief zijn - met evenzoveel websites en netwerken - veel meer zijn. Wanneer een SSL-certificaat op dit niveau verloopt, komt dit vaak omdat het over het hoofd is gezien, en is dit geen gevolg van incompetentie. Grotere ondernemingen kunnen het beste bijhouden wanneer hun SSL-certificaten verlopen door gebruik te maken van een certificaatbeheerplatform. Er zijn diverse producten in de handel, die je met een online zoekopdracht kunt vinden. Met deze producten kunnen ondernemingen digitale certificaten in hun hele infrastructuur zien en beheren. Als je een van deze platformen gebruikt, is het belangrijk dat je je regelmatig aanmeldt, zodat je weet wanneer je de certificaten moet verlengen.

Als je een certificaat laat verlopen, wordt het ongeldig en kunnen transacties op je website niet langer veilig worden uitgevoerd. Vóór de verloopdatum van je SSL-certificaat krijg je van de certificeringsinstantie een melding om je SSL-certificaat te verlengen.

Elke certificeringsinstantie of SSL-service die je gebruikt om je SSL-certificaten aan te vragen, stuurt je op vaste tijden een melding over het verlopen van je certificaten, vaak vanaf 90 dagen voor de verloopdatum. Zorg ervoor dat deze herinneringen naar een e-maildistributielijst worden gestuurd en niet naar maar één persoon, die mogelijk het bedrijf heeft verlaten of een andere functie heeft gekregen voordat de herinnering werd verstuurd. Denk goed na over welke belanghebbenden binnen je bedrijf op deze distributielijst staan, om te garanderen dat de juiste personen op het juiste moment de herinneringen zien.

Zo kun je controleren of een website een SSL-certificaat heeft

Je kunt het eenvoudigst controleren of een website een SSL-certificaat heeft door naar de adresbalk in je browser te kijken:

• als de URL met HTTPS in plaats van HTTP begint, wordt de website beveiligd met een SSL-certificaat.
• Beveiligde websites zijn voorzien van een gesloten hangslotpictogram. Je kunt hierop klikken om beveiligingsgegevens te bekijken. De meest betrouwbare websites hebben groene hangslotpictogrammen of adresbalken.
• In browsers worden ook waarschuwingsmeldingen weergegeven wanneer een verbinding niet veilig is, zoals een rood hangslot, een hangslot dat niet gesloten is, een streep door het adres van de website of een waarschuwingsdriehoek boven op het hangslotpictogram.

Controleren of een online sessie veilig is

Dien je persoonlijke gegevens en online betaalgegevens alleen in op websites met een EV- of OV-certificaat. DV-certificaten zijn niet geschikt voor webwinkels. Op de adresbalk kun je zien of het om een EV- of OV-certificaat gaat. Bij een EV SSL-certificaat wordt de naam van de organisatie op de adresbalk zelf weergegeven. Bij een OV SSL-certificaat kun je de naamgegevens van de organisatie weergeven door op het hangslotpictogram te klikken. Voor een DV SSL-certificaat is alleen het hangslotpictogram zichtbaar.

Lees het privacybeleid van de website. Hierdoor kun je zien op welke manier je gegevens worden gebruikt. Legitieme bedrijven zijn transparant over de manier waarop ze je gegevens verzamelen en wat ze ermee doen.

Kijk op websites naar signalen of indicaties over de betrouwbaarheid.
Net zoals SSL-certificaten zijn dit bijvoorbeeld betrouwbare logo's of badges waaraan je kunt zien dat de website aan specifieke beveiligingsstandaarden voldoet. Andere signalen waarmee je kunt bepalen of een website echt is of niet, is controleren of er een fysiek adres en telefoonnummer wordt gegeven, of ze een retour- en vergoedingenbeleid hebben en of de prijzen geloofwaardig zijn (en niet te mooi om waar te zijn).

Blijf alert op oplichting door middel van phishing.
In sommige gevallen maken fraudeurs websites na die bestaande websites imiteren, om mensen te misleiden, iets te kopen of om ze op een phishing-website te laten inloggen. Het is mogelijk om voor een phishing-website een SSL-certificaat aan te vragen, en daarmee al het verkeer tussen jou en die website te laten versleutelen. Steeds meer fraudeurs en oplichters hebben een HTTPS-website, waarbij gebruikers dus worden misleid en veilig voelen vanwege het hangslotpictogram op de website.

Je kunt dit soort aanvallen als volgt voorkomen:

• Onderzoek altijd het domein van de website waar je je op bevindt en controleer of de naam goed is gespeld. De URL van een nepwebsite hoeft vaak maar één teken van een echte URL af te wijken, zoals amaz0n.com in plaats van amazon.com. Typ bij twijfel de domeinnaam rechtstreeks in je browser (in plaats van op een link te klikken), zodat je zeker weet dat je verbinding maakt met de website die je ook daadwerkelijk wilt bezoeken.
• Voer nooit aanmeldingsgegevens, wachtwoorden, bankgegevens of andere persoonlijke informatie in op een website, tenzij je zeker bent van de echtheid ervan.
• Bekijk altijd wat er op een specifieke website wordt aangeboden, of het er verdacht uitziet en of je je écht moet registreren.
• Zorg ervoor dat je apparaten goed zijn beschermd: Kaspersky Internet Security controleert URL's bij een uitgebreide database met phishingwebsites en detecteert oplichtingspraktijken, ook als de website er volkomen veilig uitziet.

Cyberveiligheidsrisico's blijven zich continu ontwikkelen, maar als je weet naar welke soorten SSL-certificaten je moet zoeken en hoe je een veilige website van een mogelijk gevaarlijke site kunt onderscheiden, kunnen internetgebruikers oplichting en fraude vermijden en hun persoonlijke gegevens uit handen van cybercriminelen houden.

Gerelateerde artikelen:

• Tips om ransomwareaanvallen te voorkomen
• Direct een virusscan uitvoeren
• Wat is een beveiligingsinbreuk?
• Wat is gegevensprivacy?