SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites, waaronder:
HTTPS (Hypertext Transfer Protocol beveiligd) is een veilige versie van het HTTP-protocol dat de SSL /TLS protocol voor codering en authenticatie. HTTPS wordt gespecificeerd door RFC 2818 (Mei 2000) en gebruikt standaard poort 443 in plaats van HTTP-poort 80.
Het HTTPS-protocol maakt het voor websitegebruikers mogelijk om gevoelige gegevens zoals creditcardnummers, bankgegevens en inloggegevens veilig via internet te verzenden. Om deze reden is HTTPS vooral belangrijk voor het beveiligen van online activiteiten zoals winkelen, bankieren en werken op afstand. HTTPS wordt echter snel het standaardprotocol voor allen websites, ongeacht of ze gevoelige gegevens uitwisselen met gebruikers.
HTTPS voegt toe encryptie, authenticatie en integriteit naar het HTTP-protocol:
encryptie: Omdat HTTP oorspronkelijk is ontworpen als een protocol met duidelijke tekst, is het kwetsbaar voor afluisteren en man in the middle aanvallen. Door SSL /TLS versleuteling, HTTPS voorkomt dat gegevens die via internet worden verzonden, worden onderschept en gelezen door een derde partij. Door public-key cryptografie en SSL /TLS handdrukkan een gecodeerde communicatiesessie veilig worden opgezet tussen twee partijen die elkaar nog nooit persoonlijk hebben ontmoet (bijv. een webserver en browser) door het creëren van een gedeelde geheime sleutel.
authenticatie: In tegenstelling tot HTTP omvat HTTPS robuuste authenticatie via de SSL /TLS protocol. SSL van een website /TLS certificaat omvat een publieke sleutel waarmee een webbrowser kan bevestigen dat door de server verzonden documenten (zoals HTML-pagina's) digitaal zijn ondertekend door iemand die in het bezit is van de bijbehorende privé sleutel. Als het servercertificaat is ondertekend door een openbaar vertrouwd certificeringsinstantie (CA), zoals SSL.com, accepteert de browser dat alle identificerende informatie in het certificaat is gevalideerd door een vertrouwde derde partij.
HTTPS-websites kunnen ook worden geconfigureerd voor wederzijdse authenticatie, waarin een webbrowser een clientcertificaat presenteert dat de gebruiker identificeert. Wederzijdse authenticatie is handig voor situaties zoals werken op afstand, waar het wenselijk is om multi-factor authenticatie op te nemen, waardoor het risico op Phishing of andere aanvallen met diefstal van legitimatiegegevens. Lees voor meer informatie over het configureren van clientcertificaten in webbrowsers deze how-to.
Integriteit: Elk document (zoals een webpagina, afbeelding of JavaScript-bestand) dat door een HTTPS-webserver naar een browser wordt gestuurd, bevat een digitale handtekening die een webbrowser kan gebruiken om te bepalen dat het document niet is gewijzigd door een derde partij of anderszins beschadigd tijdens het transport. De server berekent a cryptografische hash van de inhoud van het document, inbegrepen bij het digitale certificaat, dat de browser onafhankelijk kan berekenen om te bewijzen dat de integriteit van het document intact is.
Alles bij elkaar maken deze garanties van encryptie, authenticatie en integriteit HTTPS een veel veiliger protocol voor browsen en zakendoen op internet dan HTTP.
CA's gebruiken drie basismethoden validatiemethoden bij het uitgeven van digitale certificaten. De gebruikte validatiemethode bepaalt de informatie die wordt opgenomen in de SSL /TLS certificaat:
• Domeinvalidatie (DV) bevestigt eenvoudigweg dat de domeinnaam waarop het certificaat betrekking heeft, onder controle staat van de entiteit die het certificaat heeft aangevraagd.
• Organisatie / individuele validatie (OV / IV) certificaten bevatten de gevalideerde naam van een bedrijf of andere organisatie (OV) of een individuele persoon (IV).
• Uitgebreide validatie (EV) certificaten vertegenwoordigen de hoogste standaard in internetvertrouwen en vergen de meeste inspanning van de certificeringsinstantie. EV-certificaten worden alleen afgegeven aan bedrijven en andere geregistreerde organisaties, niet aan individuen, en bevatten de gevalideerde naam van die organisatie.
Lees ons artikel voor meer informatie over het bekijken van de inhoud van het digitale certificaat van een website, Hoe kan ik controleren of een website wordt beheerd door een legitiem bedrijf?
Er zijn meerdere goede redenen om HTTPS op uw website te gebruiken en om te blijven hameren op browsen, winkelen en werken op internet als gebruiker:
Integriteit en authenticatie: Door middel van codering en authenticatie beschermt HTTPS de integriteit van de communicatie tussen een website en de browsers van een gebruiker. Uw gebruikers zullen weten dat de gegevens die vanaf uw webserver worden verzonden, tijdens het transport niet zijn onderschept en / of gewijzigd door een derde partij. En als u de extra investering in EV- of OV-certificaten heeft gedaan, kunnen zij dat ook aan de informatie vertellen kwam echt van uw bedrijf of organisatie.
Privacy: Natuurlijk wil niemand dat indringers hun creditcardnummers en wachtwoorden opschonen terwijl ze online winkelen of bankieren, en HTTPS is geweldig om dat te voorkomen. Maar zou je werkelijk willen dat al het andere dat u op internet ziet en doet een open boek is voor iedereen die zin heeft om te snuffelen (inclusief overheden, werkgevers of iemand die een profiel opbouwt om anonimiseren uw online activiteiten)? Ook hier speelt HTTPS een belangrijke rol.
Gebruikerservaring: Recente wijzigingen in de gebruikersinterface van de browser hebben ertoe geleid dat HTTP-sites worden gemarkeerd als onzeker. Wilt u dat de browsers van uw klanten hen vertellen dat uw website "Niet veilig" is of dat ze een doorgestreept slotje laten zien wanneer ze deze bezoeken? Natuurlijk niet!
Toepasbaar op: De huidige browserwijzigingen brengen HTTP steeds dichter bij incompatibiliteit. Mozilla Firefox heeft onlangs een optie aangekondigd Alleen HTTPS-modus, terwijl Google Chrome gestaag op weg is naar gemengde inhoud blokkeren (HTTP-bronnen gekoppeld aan HTTPS-pagina's). Wanneer bekeken samen met browserwaarschuwingen van "onveiligheid" voor HTTP-websites, is het gemakkelijk te zien dat het schrijven aan de muur staat voor HTTP. In 2020 ondersteunen alle huidige grote browsers en mobiele apparaten HTTPS, dus u verliest geen gebruikers door over te schakelen van HTTP.
SEO: Zoekmachines (inclusief Google) gebruiken HTTPS als een rangschikkingssignaal bij het genereren van zoekresultaten. Daarom kunnen website-eigenaren een eenvoudige SEO-boost krijgen door hun webservers te configureren om HTTPS te gebruiken in plaats van HTTP.
Kortom, er zijn geen goede redenen meer voor openbare websites om HTTP te blijven ondersteunen. Zelfs de Regering van de Verenigde Staten is aan boord!
HTTPS voegt toe encryptie naar het HTTP-protocol door HTTP in de SSL /TLS protocol (daarom wordt SSL een tunnelingprotocol genoemd), zodat alle berichten in beide richtingen worden versleuteld tussen twee netwerkcomputers (bijvoorbeeld een client en webserver). Hoewel een afluisteraar mogelijk nog steeds toegang heeft tot IP-adressen, poortnummers, domeinnamen, de hoeveelheid uitgewisselde informatie en de duur van een sessie, worden alle feitelijke uitgewisselde gegevens veilig versleuteld door SSL /TLS, Waaronder:
• URL aanvragen (welke webpagina is aangevraagd door de klant)
• Website inhoud
• Queryparameters
• Headers
• Cookies
HTTPS maakt ook gebruik van de SSL /TLS protocol voor authenticatie. SSL /TLS maakt gebruik van digitale documenten die bekend staan als X.509-certificaten om cryptografisch te binden sleutelparen aan de identiteit van entiteiten zoals websites, individuen en bedrijven. Elk sleutelpaar bevat een privé sleutel, die veilig wordt bewaard, en een publieke sleutel, die op grote schaal kan worden verspreid. Iedereen met de openbare sleutel kan deze gebruiken om:
• Stuur een bericht dat alleen de bezitter van de privésleutel kan ontsleutelen.
• Bevestig dat een bericht digitaal is ondertekend met de bijbehorende privésleutel.
Als het certificaat dat door een HTTPS-website wordt gepresenteerd, is ondertekend door een openbaar vertrouwd certificeringsinstantie (CA), zoals SSL.comkunnen gebruikers er zeker van zijn dat de identiteit van de website is gevalideerd door een vertrouwde en streng gecontroleerde derde partij.
In 2020 websites die geen HTTPS gebruiken of dienen gemengde inhoud (het leveren van bronnen zoals afbeeldingen via HTTP vanaf HTTPS-pagina's) zijn onderhevig aan browserbeveiligingswaarschuwingen en fouten. Bovendien brengen deze websites de privacy en veiligheid van hun gebruikers onnodig in gevaar en hebben ze niet de voorkeur van algoritmen van zoekmachines. Daarom kunnen HTTP- en websites met gemengde inhoud verwachten meer browserwaarschuwingen en -fouten, lager gebruikersvertrouwen en slechtere SEO dan wanneer ze HTTPS hadden ingeschakeld.
Een HTTPS-URL begint met https:// in plaats van http://. Moderne webbrowsers geven ook aan dat een gebruiker een beveiligde HTTPS-website bezoekt door een gesloten hangslot-symbool links van de URL weer te geven:
In moderne browsers zoals Chrome, Firefox en Safari kunnen gebruikers dat klik op het slot om te zien of het digitale certificaat van een HTTPS-website identificeren van informatie over de eigenaar.
Om een publieksgerichte website met HTTPS te beschermen, is het noodzakelijk om een SSL /TLS certificaat ondertekend door een publiekelijk vertrouwd certificeringsinstantie (CA) op uw webserver. SSL.com's kennis basis bevat veel handige handleidingen en instructies voor het configureren van een breed scala aan webserverplatforms om HTTPS te ondersteunen.
Lees voor meer algemene handleidingen voor HTTP-serverconfiguratie en probleemoplossing SSL /TLS Best practices voor 2020 en Problemen met SSL oplossen /TLS Browserfouten en waarschuwingen.
