SSL-certificaat: van de basisprincipes tot de praktijk, een volledige analyse van de beveiligingsbewaker van HTTPS.

Als we in de adresbalk van een browser dat kleine sloticoontje zien, of als de webadres met “https” begint, is er een SSL-certificaat aan het werk. Dit certificaat is niet alleen een symbool van de veiligheid van een website, maar vormt ook de basis van het moderne internetvertrouwssysteem. Het is van cruciaal belang om het SSL-certificaat te begrijpen, voor iedere website-eigenaar, ontwikkelaar en zelfs voor gewone gebruikers.

De kernprincipes van een SSL-certificaat: asymmetrische versleuteling en de vertrouwensketen

De kerntechnologie van een SSL-certificaat is gebaseerd op asymmetrische versleuteling (publieke sleutelversleuteling). Dit systeem bestaat uit een paar sleutels: een publieke sleutel en een privé-sleutel. De publieke sleutel kan openbaar worden gedeeld met iedereen en wordt gebruikt om gegevens te versleutelen; de privé-sleutel moet daarentegen strikt geheim worden gehouden en wordt gebruikt om gegevens te ontsleutelen die met de corresponderende publieke sleutel zijn versleuteld. Wanneer u een website bezoekt die is uitgerust met een SSL-certificaat, verzamelt uw browser de publieke sleutel van de server van die website.

Het belangrijkste aspect van deze procedure is “het overdragen van vertrouwen”. Browsers bevatten namelijk een lijst met betrouwbare root-certificaatuitgevende instellingen (CA’s). SSL-certificaten zijn in feite “digitale handtekeningen” van de publieke sleutel van een website, die worden afgegeven door deze CA’s. De CA’s controleren de identiteit van de aanvraagsteller (bijvoorbeeld de eigenaar van de domeinnaam of organisatiegegevens) en ondertekenen vervolgens het certificaat met hun eigen privé-sleutel. De browser vertrouwt de root-CA’s, en daardoor ook alle door deze CA’s afgegeven certificaten. Hierdoor wordt een keten van vertrouwen opgebouwd van de browser naar de website.

Aanbevolen leesmateriaal Volledige uitleg van SSL-certificaten: een handig gids van aanvraag, implementatie tot verlenging。

De belangrijkste typen SSL-certificaten en hoe je deze selecteert

Afhankelijk van het niveau van verificatie en de beschikbare functies worden SSL-certificaten in principe in drie grote categorieën ingedeeld, om de verschillende beveiligings- en vertrouwensbehoeften van verschillende situaties te kunnen vervullen.

Bluehost SSL Certificaat

BlueHost SSL Certificaten bieden 1-2 jaar verlengingsopties, ondersteuning voor RSA of ECC algoritmen, sleutellengtes tot 4.096 bits en tot $1,75 miljoen aan bescherming.

Vanaf $7,49 USD per maand

Toegang tot Bluehost SSL Certificaten →

hosting.com SSL-certificaat

Betaalbare DV, OV, EV SSL-certificaten, tot 256-bits encryptie, 5 ~ 1 miljoen USD beschermingsbedrag, 24/7 ondersteuning

Vanaf $2,5 USD per maand

Bezoek hosting.com SSL Certificaten →

Domein validatie certificaat

DV-certificaten zijn de snelst uitgevaardigde en goedkoopste soorten certificaten. De certificatieautoriteit (CA) controleert alleen of de aanvraagsteller de controle over de domeinnaam heeft; dit doet ze bijvoorbeeld door een bevestigingse-mail te sturen naar het geregistreerde e-mailadres van de domeinnaam of door een specifiek bestand te plaatsen in de wortelmap van de website. DV-certificaten bieden encryptie voor de communicatie, maar ze verifiëren niet de echte identiteit van de websitebeheerder. Daarom zijn ze uiterst geschikt voor persoonlijke blogs, testomgevingen of interne systemen.

Typecertificaat voor organisatievalidatie

Het OV-certificaat biedt, naast de DV-verificatie (Domain Validation), ook een controle van de juridische gegevens van de aanvragende organisatie (bijvoorbeeld een bedrijf of overheidsinstituut). De CA (Certificate Authority) onderzoekt informatie als de bedrijfslicentie en telefoonnummers. In de details van het certificaat wordt de geverifieerde organisatienaam vermeld, waardoor bezoekers een grotere mate van betrouwbaarheid krijgen. Dit type certificaat wordt veel gebruikt op bedrijfswebpagina's en e-commerce-platformen.

Uitgebreid validatiecertificaat

EV-certificaten zijn de meest strenge en veiligste certificaten. De aanvraagprocedure is zeer nauwkeurig; de CA (Certification Authority) onderzoekt de aanvraag grondig op locatie. Op websites die EV-certificaten gebruiken, wordt de naam van het bedrijf in de adresbalk in de meeste browsers direct in groen weergegeven. Dit is het meest directe teken van vertrouwen voor de gebruiker. Websites in de financiële sector, voor betalingen of grote e-commerce-bedrijven, waar een hoge mate van vertrouwen vereist is, gebruiken vaak EV-certificaten.

Daarnaast worden er, afhankelijk van het aantal gedekte domeinnamen, verschillende soorten certificaten onderscheiden: enkele domeinnamen certificaten, meerdere domeinnamen certificaten en wildcard-certificaten. Wildcard-certificaten bieden bescherming voor één hoofddomeinnaam en alle onderliggende subdomeinnamen op dezelfde niveau.

Aanbevolen leesmateriaal SSL-certificaat: Het belangrijkste mechanisme om de veilige overdracht van gegevens op een website te garanderen。

Uitleg van het SSL/TLS-handshake-proces

“Het ”S“ in HTTPS staat voor ”secure’ (beveiligd), en de beveiligde verbinding wordt opgestart via het TLS-handshake-proces. Hoewel dit proces in een oogwenk tijd gebeurt, zijn de stappen zeer nauwkeurig en gecontroleerd.

Wanneer de client (browser) voor het eerst een verbinding met een HTTPS-server probeert te opzetten, stuurt deze een “Client Hello”-bericht. Dit bericht bevat de TLS-versie die de client ondersteunt, een lijst met beschikbare encryptiesets en een willekeurig getal.

De server beantwoordt met een bericht “Server Hello”, waarin de TLS-versie en het versleutelingspakket worden gemeld die door beide partijen worden ondersteund. Vervolgens stuurt de server zijn eigen willekeurige getal door. Daarna verzendt de server zijn SSL-certificaat (dat de openbare sleutel bevat).

UltaHost SSL-certificaat

DV-, EV- en OV-certificaten. Ondersteuning voor een maximale dekking van 1.750.000 Amerikaanse dollars. Ondersteuning voor een onbeperkt aantal subdomeinen. Ondersteuning voor iOS- en Android-apps. Aanbieding: 20% voor $15,95 Amerikaanse dollars per maand. Garantie op terugbetaling binnen 30 dagen.

Bezoek UltaHost.

De client verifieert het certificaat. Hierbij wordt gecontroleerd of het certificaat is uitgegeven door een betrouwbare CA (Certification Authority), of het nog geldig is, en of de domeinnaam overeenkomt met de verwachte waarde. Na het slagen van de verificatie genereert de client een “pre-masterkey”, die vervolgens met de publieke sleutel van de server wordt versleuteld en naar de server wordt gestuurd.

De server gebruikt zijn eigen privé sleutel om de voorwaartse primésleutel te ontsleuten. Hierop genereren de client en de server, met behulp van twee willekeurige cijfers en de voorwaartse primésleutel, samen een identieke “sessiesleutel”. Alle vervolgende gegevens op het applicatieniveau worden met deze symmetrische sessiesleutel versleuteld en ontsleuteld, omdat symmetrische versleuteling veel efficiënter is dan asymmetrische versleuteling.

De handdruk is voltooid; een veilige versleutelde communicatieverbinding is opgezet, waarna de overdracht van versleutelde HTTP-data kan beginnen.

Aanbevolen leesmateriaal Volledige uitleg van SSL-certificaten: van basisconcepten tot een compleet handboek over het aanvragen en installeren。

Praktische gids: Hoe je een SSL-certificaat verkrijgt en installeert

Het proces om SSL-certificaten te verkrijgen en te implementeren is inmiddels zeer handig geworden.

Allereerst moet u een verzoek om certificaatsignering genereren. Op uw server (bijvoorbeeld met OpenSSL-tools) moet u een paar sleutels maken en een CSR-bestand (Certificate Signing Request) opstellen, waarin uw openbare sleutel en organisatiegegevens zijn opgenomen.

Vervolgens stuur je een CSR (Certificate Request) aan een CA (Certificate Authority) om een certificaat te krijgen. Je kunt kiezen voor een wereldwijd bekende CA of voor een goede, lokale CA. Afhankelijk van het type certificaat dat je hebt gekozen, moet je de corresponderende verificatieprocedures voltooien (bijvoorbeeld domeinnaamverificatie of organisatieverificatie).

Na het slagen van de verificatie, zal de CA (Certificate Authority) een certificaat uitsturen (meestal bestaande uit een .crt-bestand en, indien van toepassing, een keten van tussencertificaten). Vervolgens worden het certificaat en het eerder gecreëerde privékey geïnstalleerd in het webserverprogramma (bijvoorbeeld Nginx, Apache of IIS), waarna de omleiding naar HTTPS wordt ingesteld.

如今，为了简化流程并促进HTTPS普及，有了更简单的选择：Let‘s Encrypt。它是一个免费、自动化、开放的CA，提供DV证书。通过其提供的Certbot等客户端工具，可以几乎一键式地完成证书申请、验证、部署和自动续期，极大降低了使用HTTPS的门槛。

Samenvatting

Een SSL-certificaat is zeker geen simpel technisch onderdeel; het vormt de kern van een veilig en betrouwbare internetomgeving. Van de fundamentele principes van asymmetrische versleuteling tot het strenge CA-vertrouwssysteem en het uitgebreide TLS-handshake-protocol, samen vormen deze elementen de basis voor de veiligheid van HTTPS-verbindingen. Het begrijpen van de verschillen tussen de verschillende soorten certificaten helpt ons bij het maken van een verstandig keuze tussen kosten en betrouwbaarheid; het beheersen van het proces van aanvraag tot implementatie is daarnaast een essentieel vereiste voor iedere webbeheerder. In een tijd waar internetaanvallen steeds vaker voorkomen, is het van belang om voor websites effectieve SSL-certificaten te gebruiken – dit is niet langer een optie, maar een fundamentele verplichting.

Veelgestelde vragen (FAQ)

Zijn SSL-certificaten en TLS-certificaten hetzelfde?

Ja, dat bedoelen ze meestal met dezelfde term. SSL is de voorloper van TLS. Omdat de naam SSL al veel eerder bekend werd bij het brede publiek, noemen de meeste mensen deze digitale certificaten die worden gebruikt voor versleuteling en authenticatie nog steeds SSL-certificaten. Hoewel er technisch gezien nu de versie TLS wordt gebruikt.

Zijn er verschillen tussen gratis SSL-certificaten (zoals Let's Encrypt) en betaalde certificaten?

Er is geen verschil in de kernfuncties van het versleutelen; beide bieden even sterke HTTPS-versleuteling. De belangrijkste verschillen zitten in het niveau van verificatie en de extra services die worden aangeboden. Gratis certificaten zijn meestal DV-certificaten, waarbij alleen de eigendom van de domeinnaam wordt verifieerd. Betaalde OV/EV-certificaten bieden verificatie van de identiteit van de organisatie, waardoor de betrouwbaarheid van de gebruiker toeneemt. Betaalde certificaten omvatten ook meestal een betere garantieregeling, technische ondersteuning en flexibele mogelijkheden voor het beheer van het certificaat.

Waarom toont de browser op mijn website nog steeds de melding “onveilig”, zelfs al heb ik een SSL-certificaat geïnstalleerd?

Er zijn meestal enkele redenen voor dit fenomeen. De meest voorkomende is dat onbeveiligde resources (zoals afbeeldingen, scripts en style sheets) die zijn opgestart via het HTTP-protocol in de webpagina zijn gemixt. Hierdoor waarschuwt de browser de gebruiker dat de hele pagina onveilig is. Een andere mogelijkheid is dat het certificaat is verlopen, dat de domeinnaam in het certificaat niet overeenkomt met de domeinnaam waar de pagina naar wordt gerouteerd, of dat de certificaatketting niet compleet is (er ontbreekt een tussenliggend certificaat). Het is nodig om de oorzaak te bepalen op basis van de specifieke waarschuwingen die de browser geeft.

Moeten SSL-certificaten regelmatig worden vernieuwd?

Ja, SSL-certificaten hebben een duidelijke geldigheidsduur, meestal een jaar of zelfs korter (bijvoorbeeld 90 dagen). Nadat het certificaat is verlopen, geven browsers een ernstige waarschuwing af, waarin wordt aangegeven dat de verbinding onveilig is. Het is dus belangrijk om het certificaat voor het verstrijken van de geldigheidsduur te verlengen en opnieuw te implementeren. Het gebruik van automatiserende tools of het kiezen van een CA-dienst die automatische herinneringen voor het verlengen van certificaten biedt, kan dit probleem voorkomen.