Waarom je wel of niet dringend een SSL-certificaat moet aanschaffen
In december vorig jaar informeerden we je al over beveiliging door middel van SSL-certificaten. Dit deden we omdat we zelf graag op de hoogte blijven van de laatste ontwikkelingen op het gebied van internetbeveiliging en websites, zodat we jou vervolgens ook juist kunnen informeren en adviseren. Tja, internetprofessionals hè.
Anderhalve week geleden kregen we een mailtje met een verontrustend onderwerp:
“Websites zonder SSL-certificaat werken binnenkort niet meer”
De afgelopen twee jaar is SSL-beveiliging een hot item, dat hebben wij ook gemerkt. We schreven in ons vorige artikel al dat Google beveiligde websites voorrang geeft in de zoekresultaten, en dat de overheid het versleutelen van data, al is het een ingevuld contactformuliertje, ook steeds serieuzer gaat nemen. Ook horen we uit steeds meer web-hoeken het verlangen om het volledige internet te beveiligen.
Maar wanneer iemand (zonder bronvermelding) beweert dat de meest gebruikte webbrowsers onbeveiligde websites volledig gaan blokkeren, dan nemen we dat natuurlijk niet klakkeloos aan. Daarom hebben we onze speurneus-neus opgezet voor een stevig potje desk research.
En? Is het waar?
Mozilla (van Firefox) en Google (van Chrome) hebben inderdaad iets geroepen over aanpassingen ten aanzien van onbeveiligde sites, maar van blokkeren is absoluut geen sprake.
Wat gaat er dan veranderen?
Mozilla en Google hebben (net als andere organisaties) een veiliger internet als speerpunt. Beide bedrijven proberen encryptie van internetverkeer te bemoedigen, maar pakken dit op verschillende manieren aan.
Wat gaat Google doen?
Google heeft begin 2015 een voorstel gedaan om niet-beveiligde sites als onveilig te markeren. Een jaar later, in januari 2016, heeft het bedrijf aangekondigd dit voorstel ook daadwerkelijk te implementeren. Wanneer je nu in Chrome een website bezoekt, zie je links in de adresbalk of de website beveiligd is of niet:
Niet beveiligd (http) | Beveiligd (https) |
Dit is de huidige situatie, waarin onbeveiligde websites “normaal” worden weergegeven, en beveiligde websites een speciale aanduiding krijgen. Omdat encryptie de standaard zou moeten worden, moeten onbeveiligde websites juist een speciale aanduiding krijgen:
Niet beveiligd | Beveiligd (?) |
Dit geeft visueel weer of je verbinding met de betreffende website beveiligd is of niet. Hier is geen enkele sprake van blokkeren, dus ook wanneer je geen SSL-certificaat hebt blijft je website gewoon werken. Het rode kruisje geeft wel een negatieve boodschap mee aan de niet-beveiligde website.
Hoe de markering voor beveiligde sites er uit komen te zien is nog niet bekend. Misschien verandert dit helemaal niet, maar we kunnen ons voorstellen dat het “https://“ op een gegeven moment weggelaten wordt, zoals nu ook het geval is met het “http://”
En Mozilla?
Mozilla gooit het over een andere boeg en kondigde in 2015 in een blog aan dat ze http verbindingen willen uitfaseren:
- Fase 1: het bepalen van een deadline waarna nieuwe functionaliteiten die aan de webbrowser worden toegevoegd alleen nog maar beschikbaar zijn voor websites met een https:// verbinding. Deze deadline is nog niet gezet.
- Fase 2: Toegang tot bepaalde browserfunctionaliteiten gefaseerd uitschakelen voor onbeveiligde websites. Dit gaat met name om functionaliteiten waarbij privacy en veiligheid in het geding zijn, zoals toegang tot microfoons, camera’s of locatie.
Dat betekent dat in de toekomst bepaalde functionaliteiten niet meer werken op onbeveiligde websites in Firefox, maar dat betekent zeker niet dat de volledige website wordt geblokkeerd.
Oh, dus ik hoef geen SSL-certificaat?
Jawel. Niet omdat je website binnenkort niet meer zou werken, maar wel om andere redenen. Encryptie van gegevens is namelijk een goede zaak. Dat vindt Google, dat vindt Mozilla, en dat vindt ook SQUID Media. Want communicatie, hoe simpel ook, hoeft niet afgeluisterd te worden.
Bovendien: wanneer je offline bezoek krijgt zorg je toch ook voor een veilige omgeving? Je bergt gevaarlijk gereedschap op, controleert de houdbaarheidsdatum van de koffiemelk en zet een “Kijk uit, glad”-bordje op je net gedweilde vloer. Waarom dan niet op je website?
SSL-certificaten zijn er in verschillende validatie- en prijsniveaus, en kunnen voor 1, 2 of 3 jaar worden vastgelegd. Het meest verkochte certificaat kost omgerekend 7,50 per maand inclusief installatie.
Wil je meer informatie over SSL-certificaten of wil je een SSL-certificaat toevoegen aan je website? Neem dan contact met ons op!