SSL: je moet het verplicht op je website hebben, maar er zijn maar weinig mensen die precies weten waarom je dat moet en wat SSL nou precies is. We zullen eerst uitleggen wat SSL is en daarna uitleggen welke misverstanden er precies zijn.

Wat is SSL?

SSL betekent Secure Socket Layer. Het is een laag die over je website wordt gelegd, zodat je gegevens versleuteld worden verstuurd via de website. Je herkent een website met SSL aan het groene slotje in de adresbalk en de letter s achter http.

Sinds 1 juli 2018 krijg je in Chrome, de browser gemaakt door Google, een beveiligingswaarschuwing te zien als een website geen groen slotje heeft.

Soms zul je echter een grote grijze pagina zien met een waarschuwing en een gevarendriehoek dat de website niet beveiligd is en of je zeker weet dat je verder wil gaan naar die onveilige website, of toch maar liever terugkeert naar het veilige Google. Het is dus absoluut van belang om een groen slotje op je website in te (laten) stellen.

Wat gebeurt er als je een website bezoekt? De bezoeker (jij, de client) roept een website op, bijvoorbeeld drspee.nl. De server gaat zoeken en stuurt een aantal pakketjes naar jouw computer toe. Die pakketjes bevatten het SSL-certificaat, de sleutel om het certificaat van het slot te halen en de aanvraag van de browser om het certificaat te tonen.

De client, jij dus, of in dit geval je browser (Chrome, FireFox, Safari), stuurt een berichtje dat het certificaat en de sleutel ontvangen zijn en er vindt ook een verificatie van het certificaat plaats: is het wel betrouwbaar, dat verzonden certificaat.

Als het certificaat van de website betrouwbaar is, dan worden de sleutels met elkaar uitgewisseld zodat de versleutelde informatie die over en weer wordt verstuurd, kan worden ontcijferd en dan zie je de website. De gegevens die van en naar de browser én van en naar de server worden verstuurd, hebben nu een encryptie gekregen, een geheimtaal. En als het goed is, gaat dit allemaal binnen 200 milliseconden. Dat noemen ze de client-server-handshake. 

5 hardnekkige misverstanden over SSL

Over SSL doen nog al wat hardnekkige misverstanden de ronde. Misverstanden die je soms ook echt geld kunnen kosten. Daar willen we je graag voor behoeden. Dus lees rustig verder.

1. Ik heb geen SSL nodig, want ik heb geen webshop

Dat is niet waar. Als je alleen al een contactformulier of reactiemogelijkheid onder je blogs hebt, dan is een SSL-certificaat op je website verplicht. Het is al wettelijk verplicht sinds 2017.

Uit de Wet bescherming Persoonsgegevens:

De Wet Bescherming Persoonsgegevens eist van elke website dat de verwerking van persoonsgegevens behoorlijk en zorgvuldig wordt uitgevoerd. Dus ook als bezoekers een contactformulier invullen is er sprake van het verzenden van vertrouwelijke gegevens en u dient alle noodzakelijke maatregelen te treffen om deze gegevens te beveiligen tegen enige vorm van misbruik

Je laat mensen namelijk hun gegevens zoals naam, e-mailadres en ip-adres via een onveilige verbinding naar jou versturen.

En dat niet alleen. Als mensen iets van jouw website kunnen downloaden, dan wil je niet dat jouw potentiële klanten of lezers een virus op hun computer krijgen. Daarom is het belangrijk dat jij je gegevens ook versleuteld verstuurd naar je klanten. SSL zorgt namelijk voor het versleuteld versturen én ontvangen van gegevens.

2. SSL doet niets voor mijn vindbaarheid

Google zet steeds meer in op veiligheid. Een van de factoren in het zoekalgoritme is op dit moment veiligheid en veilige websites. Als je geen veilige website hebt en dus impliciet aan Google laat weten dat je de privacy van je bezoeker niet in acht neemt, dan zal de zoekmachine je website verder terug zetten in de zoekresultaten.

Google zegt dus expliciet: je moet de privacy van je bezoeker serieus nemen. En: “HTTPS is the future of the web”. Het hebben van een SSL-certificaat is dus van positieve invloed op je vindbaarheid.

3. Mijn klanten weten dat mijn website veilig is

Dat klopt en toch ook weer niet. Je terugkerende klanten weten dat je goed omgaat met hun privacy. En toch is het zo dat je zonder SSL-certificaat je klanten een beetje in de kou laat staan. Hun gegevens worden namelijk niet versleuteld verzonden. Dat gaat niet alleen om credit card of bank gegevens, maar ook om hun NAW-gegevens en andere gevoelige informatie die ze misschien via het contactformulier versturen.

Je kunt een SSL-certificaat dan zien als een extra service die je aan je klanten levert: jij investeert in je website om de privacy van je klanten te waarborgen. Bovendien levert het mogelijk ook weer nieuwe klanten op, omdat je hoger terechtkomt in de Google ranking. En als ondernemer weet je dat meer bezoekers kan leiden tot meer klanten. It’s a numbers game.

4. Een SSL-certificaat is alleen voor informatie die ik ontvang

Het groene slotje in je website werkt twee kanten op: voor jouw klanten die informatie naar jou versturen, maar ook de informatie die jij naar je klanten verstuurd gaat via zo’n versleutelde verbinding.

Dan denken we met name aan de e-mails die jij naar je klanten verstuurd. Als je een e-mailadres hebt met je domeinnaam erin, zoals bijvoorbeeld info@focuswebsites.nl, dan zorgt het certificaat ervoor dat je mails ook via de versleutelde verbinding worden verstuurd. Zo weet je zeker dat jouw e-mail veilig bij je klant aankomt en dat hij niet als spam gezien wordt.

5. Voor een SSL-certificaat is een dedicated ip nodig

Dit is misschien het meest technische stukje van het hele verhaal, maar we gaan proberen het uit te leggen. Hiervoor leggen we een stukje uit over hosting, over servers en over ip-adressen.

Hosting

Hosting is het verhuren van stukjes harde schijf op een computer die continu verbonden is met het internet. Die computer noemen we een server. Als jij een website hebt, dan wordt die website op jouw stukje van de server neergezet.

Je kunt die server zien als een hotel. Er zijn heel veel kamers en jij huurt er daar eentje van om aan te kleden, in te richten, zoals jij dat wil. Dat is je website.

Domeinnaam en ip-adres

Om bij jouw website te komen, heb je een domeinnaam nodig. Die domeinnaam is de menselijke vertaling van het ip-adres. Het wordt anders best lastig om 185.56.145.155 te onthouden. Je gaat liever naar focuswebsites.nl. De domeinnaam, of het ip-adres is de deurbel: als je dit adres in je browser intypt, dan kom je automatisch bij onze hotelkamer terecht. Je wordt automatisch binnengelaten: onze deur staat open voor bezoek, maar is wel goed beveiligd tegen mensen die kwaad in de zin hebben.

Dedicated ip

Een dedicated ip-adres is een ip-adres dat alleen geldt voor jouw website. Je krijgt dan voor een x bedrag per maand een ip-adres toegewezen dat door geen enkele andere website gebruikt kan worden. Sommige hosting bedrijven zeggen dat je een eigen ip, een dedicated ip-adres, nodig hebt om SSL goed te laten werken.

Focus Websites staat op het hiervoor genoemde ip-adres en ook DrsPee.nl is daar te vinden. Beide websites hebben een SSL-certificaat. En beide websites zijn veilig. Dit bewijst dat je eigenlijk geen dedicated ip nodig hebt, om een SSL-certificaat te laten werken.

Om even heel technisch te worden: onze hosting werkt met virtual hosts. Dat betekent dat voor ieder stukje server een aparte hosting wordt aangemaakt. Hierdoor is het dus mogelijk om websites met hetzelfde ip-adres toch een versleuteling mee te geven. Wil je meer weten over onze hosting? Dan kun je hier meer informatie vinden.

Is jouw website al beveiligd met SSL?