DevelopmentBeveilig jouw website met HTTPS

Beveilig jouw website met HTTPSTegenwoordig zie je vaak een melding dat een website niet veilig is. Deze melding verschijnt wanneer een website geen HTTPS heeft. HTTPS staat voor HyperText Transfer Protocol Secure. Dit protocol is een uitbreiding op de HTTP protocol. De nadruk ligt op de S van secure. De meeste website maken al gebruik van HTTPS, dat is te zien door het groene slotje in het adresbalk van jouw browser.

In deze blog worden de volgende vragen beantwoord:
• Hoe werkt het HTTPS protocol?
• Waarom zou ik mijn website beveiligen met HTTPS?
• Hoe krijg ik een groen slotje op mijn website?

Hoe werkt het HTTPS protocol?

HTTPSprotocolTrans

Figuur 1: Werking HTTPS

In figuur 1 is te zien hoe het HTTPS protocol werkt. De communicatie tussen computer en gebruiker kan gezien worden als een digitale handtekening. Er zit een beveiligde verbinding tussen de website en gebruiker. Het protocol heeft drie doelen2, namelijk:

  1. Bieden van privacy/encryptie: Door het protocol is jouw data tussen browser en de website beveiligd door middel van encryptie. Hierdoor kan een aanvaller je data niet inzien.
  2. Bieden van data integriteit: Hierdoor kan data niet aangepast of gelezen worden.
  3. Bieden van authenticatie: Door dit protocol wordt beveiliging tegen aanvallen geboden waardoor er gebruikers meer vertrouwen krijgen in de website.

Een groen slotje betekent echter niet dat een website niet malafide is. De website https://www.delta-n.nl is niet hetzelfde als https://www.deIta-n.nl al lijkt dit van wel. In de tweede URL is een hoofdletter i gebruikt in plaats van een l, waardoor het in de eerste instantie lijkt op de juiste URL. Dit is echter niet het geval. Er wordt in dit geval misbruik gemaakt van het feit dat internetgebruikers wel eens typefouten maken bij het intypen van URL’s om zo de gebruiker naar een andere website te lokken. Dit heet typosquattin3. Het is daarom van belang dat je goed controleert of de juiste URL is ingetypt.

Waarom zou ik mijn website beveiligen met HTTPS?

Vandaag de dag is het belangrijk om een website te beveiligingen met een groen slotje. Het groene slotje biedt niet alleen een veilige en betrouwbare omgeving voor de bezoeker, maar het groene slotje zorgt voor betere

  • Search Engine Optimization (SEO)

Google geeft jouw website een hogere ‘ranking’ in haar zoeksystemen4. Hierdoor komt jouw website eerder tevoorschijn voor potentiele bezoeker.

  • Informatiebeveiliging

Het groene slotje zorgt ervoor dat niemand mee kan kijken naar de data die tussen de gebruiker en website wordt verzonden.

Daarnaast zorgt HTTPS voor

  • Veiligheidslabel

De moderne browsers laten zien dat een website beveiligd is door middel van het groene slotje. Door dit groene slotje draagt jouw website uit dat jij de privacy van de bezoekers hoog in het vaandel hebt staan.

Als laatste wordt er door HTTPS voldaan aan:

  • AVG/GDPR

Volgens de AVG moet een website dat persoonsinformatie verwerkt verplicht HTTPS gebruiken5.

Bovenstaande redenen geven aan waarom het van belang is om uw website te beveiligen met HTTPS. Het zou natuurlijk zonde zijn om bezoekers mis te lopen door een lagere SEO-ranking of het ontbreken van een veiligheidslabel.

Hoe krijg ik een groen slotje op mijn website?

Om in aanmerking te komen voor een groen slotje moet er een SSL (Secure Socket Layer) certificaat aangeschaft worden. Door dit certificaat aan te schaffen en te installeren zal jouw website HTTPS ondersteunen.

Er zijn drie verschillende soorten validaties met betrekking tot SSL certificaten:

Domein validatie (DV)

Domein validatie is het meest voorkomend. Bij domein validatie valideer je een domeinnaam. Domein validatie is binnen een paar minuten geregeld, waardoor een website snel een SSL certificaat heeft.

Organisatie validatie (OV)

Het zelfde proces als bij domein validatie geldt ook voor organisatie validatie. Echter wordt nu het domein gecontroleerd en gevalideerd door een autoriteit voordat een SSL certificaat wordt uitgegeven.

Extended validatie (EV)

Bij een EV SSL certificaat worden nog meer eigenschappen van een bedrijf gecontroleerd, bijvoorbeeld de fysieke locatie en of het bedrijf wel legaal bestaat. Zoals te zien in figuur 2 laat een EV SSL certificaat ook de bedrijfsnaam zien naast het groene slotje.

EV certificaat
Figuur 2: Een EV certificaat van abnamro.nl

Zodra je een certificaat hebt gekocht is het een kwestie van installeren en configureren op de server waar jouw website op draait. Dit is het resultaat als het certificaat goed geïnstalleerd is:

certificaat in Chrome certificaat in Mozilla

Conclusie

Om een veilige website te krijgen heb je een SSL certificaat nodig. Dit certificaat zorgt voor vertrouwen op jouw website en kan voor marketingdoeleinden interessant zijn. De certificaten komen in verschillende soorten en maten. Welk certificaat het beste bij jouw organisatie of website past ligt aan de situatie.

John Lokerse, Developer

Bronnen:
1. Emily Schechter. (2018). A milestone for Chrome security: marking HTTP as “not secure”. Verkregen via https://www.blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/
2. Google. (n.d.). Secure your site with HTTPS. Verkregen op 27 oktober 2018 via https://support.google.com/webmasters/answer/6073543?hl=en
3. Spaulding, J., Upadhyaya, S., & Mohaisen, A. (2016, August). The landscape of domain name typosquatting: Techniques and countermeasures. In Availability, Reliability and Security (ARES), 2016 11th International Conference on (pp. 284-289). IEEE.
4. Google.(n.d.). HTTPS as a ranking signal. Verkregen op 27 oktober 2018 via https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
5. Autoriteit Persoonsgegevens. (n.d.). Beveiliging van persoonsgegevens. Verkregen op 27 oktober 2018 via https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens#moet-ik-altijd-https-gebruiken-voor-mijn-website-6069