Wat is een SSL
-certificaat?

Meer informatie over het protocol
Secure Sockets Layer (SSL), hoe
SSL-certificaten werken en waarom
ze essentieel zijn voor internetbeveiliging.

Wat is een SSL-certificaat en hoe werkt het?

SSL-certificaten versleutelen verbindingen en zorgen daarmee voor vertrouwen.

Een van de belangrijkste aspecten van online zakendoen is het creëren van een veilige omgeving waarin klanten met vertrouwen aankopen doen. SSL-certificaten zorgen voor een vertrouwensbasis doordat ze een veilige verbinding maken. Om bezoekers te laten zien dat hun verbinding veilig is, gebruiken browsers zogenaamde EV-indicatoren, visuele signalen zoals een groen hangslot of een URL-balk met een merk.

SSL-certificaten werken met twee sleutels: een openbare en een persoonlijke. Deze sleutels maken gezamenlijk een versleutelde verbinding. Het certificaat bevat tevens een 'subject', de identiteit van de eigenaar van het certificaat of de website.

Om een certificaat te verkrijgen moet u op uw server een Certificate Signing Request (CSR) aanmaken. Hiermee creëert u op uw server een persoonlijke sleutel en een openbare sleutel. Het CSR-gegevensbestand dat u naar de uitgever van het SSL-certificaat verstuurt, de certificeringsinstantie, bevat de openbare sleutel. De certificeringsinstantie gebruikt het CSR-gegevensbestand om een gegevensstructuur te maken die bij uw persoonlijke sleutel past zonder de sleutel zelf te compromitteren. De certificeringsinstantie ziet de persoonlijke sleutel nooit.

Na ontvangst van het SSL-certificaat installeert u het op uw server. U installeert tevens een tussenliggend certificaat, dat de betrouwbaarheid van uw SSL-certificaat vaststelt door het te koppelen aan het root-certificaat van uw certificeringsinstantie. De instructies voor het installeren en testen van uw certificaat verschillen al naargelang uw server.

In de onderstaande afbeelding ziet u de zogeheten certificaatketen. Deze verbindt uw servercertificaat met het root-certificaat van de certificeringsinstantie (in dit geval DigiCert) via een tussenliggend certificaat.

Het belangrijkste aspect van een SSL-certificaat is dat het wordt ondertekend door een vertrouwde certificeringsinstantie als DigiCert. Iedereen kan een certificaat maken, maar browsers vertrouwen alleen certificaten die afkomstig zijn van organisaties die op hun lijst met vertrouwde certificeringsinstanties staan. Browsers zijn voorzien van een vooraf geïnstalleerde lijst certificeringsinstanties. Deze wordt de Trusted Root CA store genoemd. Om op de Trusted Root CA-lijst te komen en zo een certificeringsinstantie te worden, moet een bedrijf voldoen en worden getoetst aan de beveiliging- en authenticatienormen van de browsers.

Een SSL-certificaat dat door een certificeringsinstantie wordt uitgegeven aan een organisatie en zijn domein of website, verifieert dat een vertrouwde externe partij de identiteit van die organisatie heeft geauthenticeerd. Omdat de browser de certificeringsinstantie vertrouwt, vertrouwt de browser nu ook de identiteit van die organisatie. De browser laat de gebruiker weten dat de website veilig is, waardoor de gebruiker de site veilig kan gebruiken en vertrouwelijke informatie kan invoeren.

Wat is Secure Sockets Layer (SSL)?

Secure Sockets Layer (SSL) is een standaardbeveiligingstechnologie om een versleutelde koppeling tussen een server en een client te maken. Meestal gaat het om de verbinding tussen een webserver (website) en een browser of tussen een mailserver en een mailclient (bijv. Outlook). SSL is bekender dan zijn opvolger, TLS (Transport Layer Security).

Met SSL kunnen vertrouwelijke gegevens zoals creditcardnummers, burgerservicenummers en inloggegevens veilig worden verzonden. Gewoonlijk bestaan gegevens die tussen browsers en webservers worden verzonden uit platte tekst. Meekijken is daardoor nogal eenvoudig. Als een hacker alle gegevens kan onderscheppen die tussen een browser en een webserver worden verzonden, kan die informatie worden misbruikt.

SSL is eigenlijk een beveiligingsprotocol. Protocollen beschrijven hoe algoritmes moeten worden gebruikt. In dit geval bepaalt het SSL-protocol de variabelen van de versleuteling, voor zowel de link als de te verzenden gegevens.

Alle browsers kunnen samenwerken met veilige webservers die het SSL-protocol gebruiken. Maar voor het maken van een veilige verbinding hebben de browser en de server een zogenaamd SSL-certificaat nodig.

De internetgegevens van miljoenen mensen worden dagelijks beveiligd met SSL. Het gaat daarbij met name om online transacties en het verzenden van vertrouwelijke gegevens. Internetgebruikers herkennen veiligheid online aan het hangslot dat wordt weergegeven op websites die met SSL zijn beveiligd, of aan de groene adresbalk van websites met Extended Validation SSL. Het webadres van een met SSL beveiligde website begint dan ook met 'https' en niet met 'http'.

Is het principe van SSL-certificaten en SSL-technologie hiermee al wat duidelijker geworden? Meer informatie over SSL-cryptografie.

Hoe maakt het SSL-certificaat een veilige verbinding?

Wanneer een browser een website opent die met SSL is beveiligd, maken de browser en de webserver een SSL-verbinding door middel van een zogenaamde 'SSL Handshake' (zie onderstaande diagram). De SSL Handshake is onzichtbaar voor de gebruiker en vindt ogenblikkelijk plaats.

In principe worden voor een SSL-verbinding drie sleutels gebruikt: een openbare, een persoonlijke en een sessiesleutel. Iets wat met de openbare sleutel is versleuteld, kan alleen met de persoonlijke sleutel worden ontsleuteld en vice versa. Omdat versleuteling en ontsleuteling met de openbare en persoonlijke sleutel veel rekenkracht kost, worden ze alleen gebruikt om tijdens de SSL Handshake een symmetrische sessiesleutel te maken. Nadat de veilige verbinding gemaakt is, wordt de sessiesleutel gebruikt om alle verzonden gegevens te versleutelen.

  1. De browser maakt verbinding met een webserver (website) die is beveiligd met SSL (https). De browser vraagt de server om identificatie.
  2. De server verzendt een kopie van zijn SSL-certificaat, met de openbare sleutel van de server.
  3. De browser controleert of de certificaat-root op de lijst met vertrouwde certificeringsinstanties staat, of het certificaat niet verlopen of ingetrokken is, en of de gemeenschappelijke naam geldig is voor de website waarmee verbinding wordt gemaakt. Als de browser het certificaat vertrouwt, maakt en versleutelt de browser een symmetrische sessiesleutel en verzendt deze terug met de openbare sleutel van de server.
  4. De server ontsleutelt de symmetrische sessiesleutel met behulp van zijn persoonlijke sleutel en stuurt, om de versleutelde sessie te beginnen, een bevestiging terug die is versleuteld met de sessiesleutel.
  5. De server en de browser versleutelen nu alle verzonden gegevens met de sessiesleutel.

Is mijn certificaat SSL of TLS?

Het SSL-protocol wordt al heel lang gebruikt om verzonden gegevens te versleutelen en beveiligen. Bij elke nieuwe, nog veiligere versie, werd alleen het versienummer veranderd (bijv. SSLv2.0). Maar toen geüpdatet moest worden van versie SSLv3.0 werd niet gekozen voor versie SSLv4.0, maar kreeg het protocol een nieuwe naam: TLSv1.0. Op dit moment zijn we bij versie TLSv1.3.

Omdat SSL nog steeds de meer gangbare term is, gebruikt DigiCert TLS/SSL bij het verwijzen naar certificaten of het beschrijven van hoe verzonden gegevens worden beveiligd. Wanneer u bij ons een SSL-certificaat aanschaft, zoals Standard SSL, Extended Validation SSL enzovoort, krijgt u eigenlijk een TLS-certificaat (RSA of ECC).

Toepassingen van TLS/SSL-certificaten vergelijken

 

Toepassingen

Informatieve sites en blogs

Websites die geen betalingen innen of gevoelige informatie verzamelen, hebben HTTPS nodig om activiteiten van gebruikers geheim te houden. Dat geldt ook voor blogs.

Inlogschermen en formulieren

TLS/SSL versleutelt en beschermt gebruikersnamen, wachtwoorden en formulieren die worden gebruikt om vertrouwelijke informatie, documenten en afbeeldingen te verzenden.

Afrekenpagina's

Klanten zijn eerder geneigd een aankoop te voltooien als ze weten dat uw afrekenpagina's, en daarmee hun creditcardgegevens, veilig zijn.

Aanbevolen type TLS/SSL-certificaat

OV (Organization Validation) TLS/SSL-certificaten: het op een na hoogste niveau van authenticiteit en de op een na grondigste organisatiecontrole.

OV (Organization Validation) TLS/SSL-certificaten: het op een na hoogste niveau van authenticiteit en de grondigste organisatiecontrole.

EV (Extended Validation) TLS/SSL-certificaten: het hoogste niveau van authenticiteit en de grondigste identiteitscontrole.