SSL staat voor Secure Sockets Layer. Het is een belangrijk protocol voor het beveiligen en valideren van data op internet. Door initiatieven zoals Encrypt All The Things en Google’s inzet voor breder gebruik van SSL, is SSL tegenwoordig een erg populair onderwerp. Desalniettemin zijn er nog altijd veel webmasters die niet precies weten hoe SSL werkt en waarom het belangrijk is, of zelfs maar waar de afkorting SSL voor staat.
Dat laatste hebben we hierboven alvast opgehelderd, en in dit artikel zullen we verder in detail bekijken wat SSL is, hoe het werkt, en hoe dit het internet veiliger maakt voor jou en je bezoekers.
Waar staat SSL voor? Hoe werkt SSL
SSL staat dus voor Secure Sockets Layer. Het is een protocol voor het versleutelen en valideren van data die verzonden wordt tussen een toepassing (zoals je browser) en een webserver. Dit biedt een betere beveiliging op het web voor zowel jou als de bezoekers van je website. SSL is ook sterk gerelateerd aan een andere afkorting, namelijk TLS. TLS, de afkorting voor Transport Layer Security, is de opvolger en nieuwere versie van het originele SSL protocol.
Tegenwoordig worden SSL en TLS vaak als groep behandeld (zoals SSL/TLS), of met elkaar verwisseld. Let’s Encrypt bijvoorbeeld (daarover zo meer) biedt “Gratis SSL/TLS certificaten”. Maar je ziet ook allerlei websites die het alleen over SSL certificaten hebben, terwijl ze eigenlijk TLS certificaten aanbieden.
Waar is SSL vandaan gekomen en hoe zijn we tot TLS gekomen? SSL versie 1.0 is ontwikkeld door Netscape, in de jaren negentig. Maar door verschillende beveiligingsproblemen is dit nooit gereleaset. De eerste algemene release van SSL was SSL 2.0 in februari 1995. Alhoewel dit zeker al een enorme verbetering was ten opzichte van SSL 1.0, had ook SSL 2.0 nog allerlei beveiligingsfouten, waardoor er een jaar later al een complete herziening was met de release van SSL versie 3.0.
SSL versie 3.0 was de laatste publieke release, en verdween de facto in 1999 toen TLS als vervanger gepubliceerd werd. Op dit moment is SSL 3.0 al afgeschreven en wordt het ook niet meer gezien als veilig, door de kwetsbaarheid voor POODLE aanvallen. TLS zit inmiddels op TLS 1.3, dat een aantal verbeteringen biedt qua prestaties en veiligheid. Kinsta ondersteunt TLS 1.3 op al onze servers en Kinsta CDN
Waarom gebruiken we dan geen TLS certificaten?
Dat doe je waarschijnlijk wel. Alhoewel de meeste mensen ze SSL certificaten noemen uit gewoonte, zijn de certificaten over het algemeen niet afhankelijk van het specifieke protocol waar ze naar vernoemd zijn. Het daadwerkelijk gebruikte protocol wordt echter bepaald door de server. Je denkt dus misschien dat je een SSL certificaat hebt geïnstalleerd, maar je gebruikt waarschijnlijk het nieuwere en veiligere TLS protocol.
Totdat de webcommunity de TLS terminologie gaat aannemen, zal je waarschijnlijk nog altijd de naam SSL certificaten rond zien gaan, omdat iedereen dat kent.
Wat is het verband tussen HTTPS en SSL?
De mensen die het Internet gebouwd hebben houden nogal van afkortingen. Daarom zal je bij het zoeken naar SSL/TLS ook vaak HTTPS tegenkomen. HTTP (dus zonder de S), staat voor het Hypertext Transfer Protocol.
HTTP en de opvolger HTTP/2 zijn allebei toepassingsprotocollen die bepalen hoe informatie verzonden wordt op het web. Ze bieden in de praktijk de basis voor alle datacommunicatie op het internet. Wanneer je de S weer toevoegt, kom je uit op Hypertext Transfer Protocol Secure (HTTP via TLS of HTTP via SSL).
SSL/TLS beveiligt in feite de informatie die verzonden en ontvangen wordt via HTTP. Hier zitten allerlei voordelen aan.
Wat zijn de voordelen van SSL/TLS?
Veel webmasters menen ten onrechte dat SSL/TLS alleen voordelen biedt aan websites die gevoelige informatie verwerken, zoals bankgegevens of creditcards. En alhoewel SSL/TLS zeker van essentieel belang is voor die website, zijn de voordelen zeker veel uitgebreider.
Eén van de grote voordelen van SSL/TLS is de versleuteling. Wanneer jij of je gebruikers informatie invoeren op je website, gaat die data langs allerlei plekken voordat het op de eindbestemming aankomt. Zonder SSL/TLS zou deze data verzonden worden als normale tekst, en kunnen kwaadwillende die data bekijken of zelfs veranderen. SSL/TLS biedt point-to-point bescherming die ervoor zorgt dat de data beveiligd is tijdens het transport. Zelfs de inlogpagina van een WordPress site zou versleuteld moeten zijn. Wanneer een SSL certificaat wel aanwezig is, maar niet geldig is, kunnen je bezoekers een “your connection is not private” error te zien krijgen.
Een ander voordeel is authenticatie. Een werkende SSL/TLS verbinding zorgt ervoor dat de data verzonden wordt naar en ontvangen door de juiste server, in plaats van een kwaadwillende tussenpersoon (“man in the middle”-aanval). Hierdoor kunnen kwaadwillende mensen moeilijker een website imiteren.
Het derde belangrijk voordeel van SSL/TLs is integriteit van data. SSL/TLS verbindingen zorgen ervoor dat er geen data verloren gaat of veranderd wordt tijdens het transport, door het meesturen van een bericht authenticatiecode, oftewel Message Authentication Code (MAC). Dit zorgt ervoor dat de verzonden data ontvangen wordt zonder wijzigingen.
Naast de versleuteling, authenticatie en integriteit, zijn er ook een aantal minder technische voordelen, zoals:
- De potentie voor verbeterde rankings in Google.
- Verbeterd vertrouwen van bezoekers
Hoe kan je zien dat een website SSL/HTTPS gebruikt?
De makkelijkste manier om te zien of een website SSL/TLS gebruikt is door in je browser te kijken. De meeste browser markeren een beveiligde verbinding met een groen slotje en/of een melding. In Google Chrome bijvoorbeeld, zie je een groen slotje en de melding Secure:
In Firefox zie je alleen het groene slotje:
In Microsoft Edge zie je dan weer geen kleur, maar alleen een zwart-wit slotje.
Gaat Google websites die geen SSL gebruiken straffen?
Recentelijk heeft Google een aantal ernstige waarschuwingen en straffen uitgedeeld in Google Chrome voor websites die geen SSL certificaten installeren. Deze straffen begonnen in januari 2017 met de introductie van de melding Not secure op pagina’s die creditcardgegevens of wachtwoorden vragen zonder een SSL certificaat te hebben:
Deze verandering was het eerste duwtje van Google om het gebruik van SSL en HTTPS te verhogen. Maar recentelijk zijn ze nog veel fanatieker geworden.
Meer Not Secure meldingen in oktober 2017
In oktober 2017 is Google begonnen met agressievere meldingen. Sinds Chrome 62 (release op 17 oktober 2017), voegt Google de Not Secure melding ook toe aan:
- Alle HTTP pagina’s waar gebruikers data invoeren, dus ook in zoiets simpels als een zoekveld. Deze melding verschijnt niet bij de eerste keer dat de pagina geladen wordt, maar verschijnt zodra een bezoeker data gaat invoeren.
- Alle HTTP pagina’s in Chrome Incognito Mode
Google wordt alleen maar fanatieker
Het lange-termijnplan van Google is om uiteindelijk alle HTTP pagina’s als Not secure aan te merken. Dat betekent dat zelfs wanneer je gebruikers niet vraagt om data in te voeren in een formulier, je uiteindelijk toch een waarschuwing bij de site gaat krijgen. Ook daarom is het belangrijk dat je zo snel mogelijk overstapt naar SSL/TLS en HTTPS.
In 2020 is Chrome begonnen met de ERR_SSL_OBSOLETE_VERSION meldingen wanneer website TLS 1.0 of TLS 1.1 gebruiken (de legacy versies).
Zo installeer je een SSL certificaat op je WordPress website
Veel hosts, waaronder Kinsta, maken het eenvoudig om een gratis SSL/TLS certificaat te installeren via een service die Let’s Encrypt heet. Let’s Encrypt biedt gratis onbeperkte SSL/TLS certificaten. Je kan een volledige lijst met hosts die Let’s Encrypt ondersteunen hier vinden.
Wanneer je host Let’s Encrypt niet aanbiedt, of als je een ander soort SSL certificaat wil, kan je ook je eigen certificaat kopen bij een externe provider.
Je kan deze gids lezen voor instructies voor het toevoegen van een SSL certificaat aan je website bij Kinsta. Met één klik op de knop is het geregeld!
Wat doe je na het installeren van een SSL certificaat
Ja, er zijn nog zowel technische als niet-technische dingen die je moet doen na het installeren van een SSL certificaat. Allereerst de techniek, daarbij is het belangrijk dat je al je HTTP verkeer redirect naar HTTPS. Je zou ook moeten controleren dat je geen assets laadt via HTTP. Dit zijn vaak je eigen afbeeldingen of externe content die je ophaalt, zoals scripts of advertenties. Hierdoor voorkom je de Mixed Content Warning.
Naast deze twee technische zaken, moet je meestal ook de volgende zaken doen, afhankelijk van de tools die je gebruikt op je site:
- Toevoegen van de HTTPS versie van je site in Google Webmaster tools.
- Zorg ervoor dat trackingscripts zoals Google Analytics of anderen werken met je HTTPS versie.
- Controleer dat je geen SSL verbindingsfouten
Concluderend is SSL/TLS een belangrijk protocol voor een veilig en beveiligd web. En nu je weet hoe SSL werkt, mocht je dit nog niet gedaan hebben, dan raden we je van harte aan om een SSL/TLS certificaat te installeren en je website naar HTTPS over te zetten.
We hebben een gedetailleerde gids over HTTP naar HTTPS migratie, die je kan lezen en eenvoudig stapsgewijs kan volgen.