Maken gratis SSL-certificaten het internet echt veiliger?

Dat een SSL-certificaat onmisbaar is voor elke site en shop waar privacygevoelige gegevens worden uitgewisseld, hoeft geen issue meer te zijn. Byte maakt zich al jaren sterk voor het gebruik van SSL en voor een veiliger internet.

Sinds Google twee jaar geleden aankondigde dat het gebruik van SSL meegenomen wordt in de ranking en er sinds kort gratis SSL-certificaten worden aangeboden, is het gebruik van SSL behoorlijk gestegen. Vandaag de dag gebruiken zo’n 45.000 Nederlandse shops (ongeveer de helft van alle webshops) een SSL-certificaat (bron: SIDN.nl). Goed nieuws dus!

Wat is het verschil tussen de SSL-certificaten?

SSL is visueel het meest zichtbaar dankzij de groene balk die wordt weergegeven voor het domein. De groene balk krijg je echter alleen te zien als een site beveiligd is met een EV SSL-certificaat. Dit zijn de meest uitgebreide SSL-certificaten en het grootste verschil zit in de validatie ervan. De uitgever van zo’n certificaat doet een uitgebreide background check van de aanvrager. Zo wordt er bijvoorbeeld gecontroleerd of er een legitiem bedrijf achter een aanvraag zit.

Een proces wat enkele weken in beslag kan nemen. Minder uitgebreide certificaten zijn ook minder visueel aanwezig. Vaak alleen te herkennen aan het slotje in de adresbalk en het feit dat er niet http:// voor een domeinnaam staat, maar https://.

Validatie is het belangrijkst

Veel internetgebruikers weten niet dat wat betreft versleuteling eigenlijk geen verschil zit tussen de certificaten. Het veiligheidsprobleem ligt echter niet in de versleuteling, maar in de validatie van de aanvrager van het certificaat. Bij een EV certificaat wordt een aanvraag pas gevalideerd door de uitgever als de aanvrager door een background check komt. De nieuwe gratis SSL-certificaten zorgen ervoor dat iedereen, dus ook kwaadwillenden, makkelijk, snel en gratis een SSL-certificaat aan hun domein kunnen hangen (bron: trendmicro.com). Zolang ze maar toegang hebben tot het domein.

Elk malafide bedrijf kan dus een (gratis) SSL-certificaat aanvragen. Zodra je op zo’n website komt en je ziet https in de adresbalk staan, waan je je dus veilig. Er wordt weliswaar een versleutelde verbinding opgezet, niet waar? Je gegevens zijn dan misschien veilig, dankzij de versleutelde verbinding, maar de ontvanger hoeft dat niet per se te zijn. Doordat met gratis SSL-certificaten de background check van de aanvrager wegvalt, vraag ik mij af hoe veilig gratis SSL werkelijk is.

De nadelen van gratis SSL-certificaten

Commerciële SSL-leveranciers controleren handmatig of het domein, waarvoor een EV certificaat is aangevraagd, wordt gebruikt voor phishing en malware. Bij (gratis) single SSL-certifaat is dit controlepunt geautomatiseerd, wat daardoor makkelijk te omzeilen is. Vorig jaar werd ook bekend dat het mogelijk was voor hackers om subdomeinen aan te maken, zonder dat de rechtmatige eigenaar van het domein het wist. Dit subdomein pointen ze dan naar hun eigen servers, en ze hangen er een gratis SSL-certificaat onder. Jij als nietsvermoedende bezoeker denkt op een legitieme pagina te zijn en laat misschien zelfs privacygevoelige gegevens achter. Gratis SSL is bedoeld om het internet veiliger te maken, maar we ontkomen er niet aan dat goede software ook misbruikt wordt door kwaadwillenden.

Daarnaast is er geen ondersteuning bij gratis SSL-certificaten. Als je een gratis SSL-certificaat afneemt, moet je helemaal zelf uitzoeken hoe je deze installeert en activeert. Dat kan lastig zijn, zeker als je meerdere subdomeinen onder je SSL-certificaat wilt hangen. Wat doe je als de installatie van je SSL-certificaat niet lukt? Bij Byte wordt dit werk je uit handen genomen als je via ons bij onze SSL-leverancier je SSL-certificaat bestelt.

Wat jij kan doen voor een veiliger internet

We zien dat veiligheid op het web vandaag de dag sowieso een veel besproken onderwerp is. Nog niet heel lang geleden werd de wereld opgeschrikt door een wereldwijde ransomware hack. Waar deze hack precies vandaan komt, daar zijn de meningen nog over verdeeld, maar de gevolgen ervan zijn nog steeds voelbaar. Hoewel de hack vooral was gericht op organisaties en bedrijven, doet het niet veel goeds voor het gevoel van (web)veiligheid bij de particuliere internetgebruiker.

Bij Byte merken we de gevolgen van de wereldwijde hacks en (DDoS-)aanvallen ook. We raden onze klanten dan ook altijd aan om zoveel mogelijk veiligheidsmaatregelen te nemen. Denk bijvoorbeeld aan het tijdig updaten van je software, het gebruik van two-factor authentication, het wijzigen van je admin-url en natuurlijk de aanschaf van een EV SSL-certificaat. Zo kun je zelf de eerste stappen zetten voor een veiliger internet en zien jouw bezoekers dat ze zaken doen met een betrouwbare partij.