Is een SSL certificaat verplicht?
Is een SSL certificaat verplicht? Een SSL certificaat is een bestand dat zorgt voor een betere beveiliging van gegevens tussen de server (van jouw website) en een internet browser (zoals Chrome of Safari).
Doordat SSL certificaten een beveiligde sleutel koppelen aan de connectie van een website kunnen gegevens live geëncodeerd bewaard worden waardoor deze veilig ingevoerd kunnen worden zonder tussenkomst van externe systemen die de gegevens willen onderscheppen.
Op die manier kunnen met name login- en betalingsgegevens zoals wachtwoorden, creditcardnummers en persoonsgegevens veilig gebruikt worden op websites die beveiligd zijn met een SSL certificaat.
Een SSL certificaat aanvragen moet gedaan worden door de eigenaar van de website bij een certificaatautoriteit (zoals bijv. Comodo). Daarna kan de webhosting provider het SSL certificaat installeren in het juiste pakket op de server.
Wat is een SSL-certificaat?
SSL staat letterlijk voor Secure Sockets Layer wat betekent dat er een beveiligde laag geplaatst wordt tussen een server en een internet browser waardoor de gegevens beveiligd worden.
Een SSL-certificaat versleutelt vertrouwelijke informatie tussen de bezoeker en de website, vandaar het slotje in de adresbalk. Hierdoor kunnen derden de gegevens niet meer lezen. Naast het slotje, herken je een SSL-certificaat aan de ‘https’ in de URL, in plaats van ‘http’. In sommige adresbalken zie je ook de naam van de organisatie. Bij deze websites is er sprake van een Extended Validation (EV) SSL-certificaat. Voordat dit certificaat verstrekt wordt, vindt eerst een uitgebreide bedrijfscheck plaats. Zo weet de bezoeker zeker dat de website van de organisatie is.
Is een SSL certificaat verplicht?
De grote hamvraag is of jouw website een SSL-certificaat nodig heeft. Als jij persoonsgegevens op je website uitwisselt, dan is een SSL-certificaat vanuit de AVG verplicht. Voorbeelden van situaties waarin jouw website persoonsgegevens verwerkt zijn:
- Contactformulier. Heb je een contactformulier op jouw website? Zodra mensen hun gegevens invullen, is er sprake van uitwisseling van persoonsgegevens. Een SSL-certificaat is dus verplicht.
- Foto’s. Let goed op met foto’s van mensen. Een foto verstrekt persoonsgegevens als ras en leeftijd. Soms zijn ook de religie en medische gegevens (bijvoorbeeld een bril) te zien. Hoe dit precies allemaal zit, lees je in dit blog over foto’s publiceren na de AVG. Vraag altijd toestemming aan de gefotografeerde en vraag een SSL-certificaat aan voor je website.
- Tests. Heeft jouw website zo’n leuke test (bijvoorbeeld: ‘Welk Game of Thrones personage ben jij?’)? en vraag je na de test een naam en e-mailadres aan de websitebezoeker? Ah, persoonsgegevens! Dit soort tests zijn ideaal om jouw e-mailbestand een boost te geven, maar vraag wel even een SSL-certificaat aan.
- Webshop. Bij het verwerken van bestellingen heb jij als webshop-eigenaar informatie nodig over betalingen en verzendadressen. Ook deze gegevens zijn persoonsgegevens.
Bevat jouw website een contactformulier, foto’s en/of tests? Vraag dan minimaal een Domain Validation SSL-certificaat aan. Gratis SSL-certificaten worden veelal door phishing-websites aangevraagd waardoor websitebezoekers steeds kritischer worden op deze certificaten. Zodra een websitebezoeker ziet dat jij een Domain Validation SSL via Sectigo verkregen hebt, weet deze dat het om een betrouwbare website gaat. Cybercriminelen vragen niet snel een betaald SSL-certificaat aan, aangezien de phishing op grote schaal plaatsvindt en de websites snel offline gaan wanneer men er achterkomt.
Wat als ik geen SSL-certificaat heb?
Als je persoonsgegevens op jouw website uitwisselt, kom je door de AVG simpelweg niet onder een SSL-certificaat uit. Wat nu als jouw website geen persoonsgegevens uitwisselt? Ook dan raden we je een Domain Validation SSL-certificaat aan. Waarom? We leggen het je uit:
- Vindbaarheid website. Zoekmachines houden niet van onveilige websites zonder SSL-certificaat. Daarom zetten ze de websites lager in de zoekresultaten dan wanneer de website wél een SSL-certificaat heeft. Doordat de website lager in de zoekresultaten staat, wordt ‘ie minder snel gevonden, zonde!
- Vertrouwen. Bezoekers willen betrouwbare websites. In het nieuws verschijnen steeds vaker artikelen over phishing-websites. Ook als je website geen persoonsgegevens uitwisselt, wil je niet dat jouw bezoekers de website verlaten vanwege een ‘niet veilig’ melding.
Een SSL-certificaat is áltijd goed voor jouw website. Als je na dit blog niet precies weet welk SSL-certificaat nu het beste bij jouw website past, raad ik je aan om ons blog over de verschillende SSL-certificaten te lezen. En ook de SSL-check helpt je bij jouw keuze. Succes!
Welke SSL certificaten zijn er beschikbaar?
Er zijn meerdere soorten SSL certificaten te koppelen aan een website. De beveiliging van deze SSL certificaten is verder gelijk, maar de toepassing en weergave kan verschillen. Hieronder vind je de meest gebruikte vormen terug.
- Single domain SSL certificaat. Dit is het meest gebruikte certificaat dat voor maximaal 1 (sub)domein gebruikt kan worden. Dit betekent dat alleen je hoofdwebsite beveiligd wordt door het certificaat. Je www.jewebshop.nl is dus beveiligt, maar een andere subdomein zoals bijvoorbeeld account.jewebshop.nl zal geen SSL verbinding hebben.
- Wildcard SSL certificaat. Bij een Wildcard SSL certificaat zijn alle subdomeinen van je domeinnaam automatisch beveiligd met een SSL verbinding. Dat betekent bijvoorbeeld dat zowel www.jewebshop.nl als account.jewebshop.nl beveiligd is via het https-protocol.
- Extended Validation (EV) SSL certificaat. Extended Validation SSL certificaten werken exact hetzelfde als een Single domain SSL certificaat qua beveiliging, maar voegt bedrijfsinformatie toe aan de adresbalk voor extra vertrouwen richting de bezoeker (zie onder). Daarnaast wordt de adresbalk in een aantal browsers ook groen gemaakt.
- Multi domain SSL certificaat. Deze SSL certificaten kunnen gebruikt worden om verschillende domeinnamen binnen één certificaat te beveiligen. Dit is met name handig voor bedrijven die online actief zijn in verschillende landen en daar aparte domeinnamen gebruiken. In dat geval zal bijvoorbeeld www.domeinwinkel.nl, maar ook www.domein-winkel.be beveiligd zijn onder één certificaat.
Welk SSL certificaat er voor een webshop of website gekozen moet worden hangt dus af van de wensen van de eigenaar van de website. Normaal gesproken is een Single domain SSL certificaat voldoende, maar moeten er meerdere subdomeinen (Wildcard SSL certificaat) beveiligd worden of is er een wens om extra vertrouwen te genereren bij klanten (Extended Validation SSL certificaat) dan kan er voor andere SSL certificaten gekozen worden.
Via: ErgoGroup.ie