Een SSL-certificaat versleutelt al het verkeer tussen jouw website en de computer van de bezoeker van je website. In dit artikel wordt uitgelegd welke SSL-certificaten er bij Byte mogelijk zijn en hoe je deze aanvraagt/opzegt via ons Service Panel.

Het belang van een SSL certificaat

Een SSL-certificaat wordt sterk aangeraden voor alle websites waar financiële of persoonlijke details over de lijn gaan, zoals wachtwoorden, facturen, creditcardgegevens, of betalingsgegevens. Een SSL-certificaat versleutelt al het verkeer tussen jouw website en de computer van de bezoeker van je website. Hierdoor kan het verkeer niet ontcijferd worden door kwaadwillenden doordat er een beveiligde verbinding tot stand wordt gebracht.

SSL-certificaten bij Byte

Type certificaten

Bij Byte kun je via het Service Panel verschillende SSL-certificaten aanvragen. Er zijn drie soorten certificaten:

  • SSL single certificaat; deze kun je op het hoofddomein en www.hoofddomein gebruiken.
  • SSL wildcard certificaat; deze kun je op alle subdomeinen (*.domeinnaam.nl) van je domeinnaam gebruiken, maar ook op www.domeinnaam.nl en het naked domain (dus domeinnaam.nl zonder www. ervoor). Dit certificaat werkt alleen niet op *.*.domeinnaam.nl.
  • EV-SSL certificaat; deze kun je alleen op het hoofddomein (domeinnaam.nl) gebruiken. EV staat voor Extended Validation en geeft je de betrouwbare groene balk, bekend van veel websites van banken.EV-certificaat.jpg

Qua techniek verschilt een EV-SSL certificaat niet van de ‘gewone’ SSL certificaten, maar het verschil zit ‘m in het identiteitsonderzoek. Bij een EV-SSL certificaat wordt namelijk uitgebreid onderzoek gedaan naar de identiteit van de aanvrager. Dit kan soms tot wel 2 weken duren. Een EV-SSL certificaat is in die zin dus meer ‘waard’ of betrouwbaarder.

Zelf aangevraagde certificaten of certificaten aangevraagd via een andere provider zijn helaas niet compatibel met onze systemen. Vraag niet zelf een certificaat aan! De contractperiode voor alle SSL-certificaten is een jaar. Meer informatie over de prijzen en prijssamenstelling, lees je op de pagina SSL Certificaten bij Byte.

Waar je op moet letten voordat je SSL aanvraagt

Het aanvragen van een EV-SSL Certificaat kan enkele dagen tot enkele weken in beslag nemen. Houd hier dus rekening mee in je planning. Enkele zaken die gecontroleerd zullen worden zijn inschrijving bij de Kamer van Koophandel, vermelding in de Telefoongids en adresgegevens in de WHOIS-database. Indien je twijfelt aan de correctheid van een van deze zaken, neem dan graag contact met ons via: support@byte.nl .

Prijzen SSL

Er zijn drie kostenaspecten, die spelen bij SSL:

  1. De kosten van het certificaat;
  2. Het afhandelen van de (vervolg)aanvraag, het configureren van clusters;
  3. Het IP adres (Optioneel)
Type Prijs certificaat Servicekosten Totaal zonder SSL plus SSL plus (Optioneel) Totaalprijs met SSL plus
Single € 8,00 € 30,00 € 38,00 € 50,00 € 88,00
Wildcard € 75,00 € 80,00 € 155,00 € 50,00 € 205,00
EV € 95,00 € 80,00 € 175,00 € 50,00 € 225,00

De kosten van het certificaat rekenen we een op een door. We handelen de hele SSL aanvraag voor je af. Je hoeft hierdoor niets meer te doen dan in je Service Panel te klikken. Enkel bij EV-SSL dien je een aantal zaken nog wel te regelen (dat is nu net de essentie van EV-SSL, uitgebreide controle waarbij wordt gecheckt of de aanvrager is, wie hij zegt dat hij is).

Op de achtergrond wordt het certificaat aangevraagd met de juiste gegevens, wordt de validatie gedaan (bestand plaatsen, validatie uitvoeren), het certificaat opgehaald en veilig op de juiste plek opgeslagen. We zorgen er voor dat je SSL-certificaat goed werkt, ook als je je pakket wijzigt.

Je SSL-certificaat wordt automatisch verlengd

Elk jaar verlengt Byte je SSL-certificaat ruim op tijd, zodat de site goed blijft werken en je niet voor verrassingen komt te staan. En we zorgen ervoor dat mogelijke veiligheids issues razendsnel worden opgelost. Denk hierbij bijvoorbeeld aan POODLE en Heartbleed, deze issues waren bij Byte binnen 24 uur (!) gepatched. Het afhandelen van SSL kost je dus helemaal geen tijd meer. Dit in tegenstelling tot bij andere hosters, waar je de tijdrovende validatie of de foutgevoelige configuraties zelf moet doen en bijhouden. Ook het verlengen van het certificaat moet je elders vaak zelf regelen.

Vroeger was het gebruik van een eigen IP-adres nodig bij SSL, maar tegenwoordig kan SSL ook zonder eigen IP werken. Deze techniek heet SNI en zorgt dat je, net als bij hosting zonder SSL, met meerdere andere klanten een IP-adres deelt. Omdat IP-adressen schaars worden, zijn de prijzen ervan enorm omhoog gegaan de afgelopen jaren, dus rekenen we deze apart. Het afnemen van een dedicated IP adres is niet verplicht, voor Hypernode pakketten is het niet eens nodig omdat een Hypernode al een eigen IP-adres heeft.

Aanvragen van een SSL-certificaat

SSL & Hypernode

Staat je shop op een Hypernode? Houd er rekening mee dat je op je appnaam (bijv. test.hypernode.io) geen SSL certificaat kunt aanvragen. Als je SSL wilt op je Hypernode, heb je een Presence of Presence Plus pakket nodig voor elk domein waarvoor je een SSL-certificaat wilt aanvragen. Het domein moet immers bekend zijn in onze administratie voordat we een SSL-certificaat kunt bestellen.

Zorg er dus eerst voor dat je een Presence pakket hebt besteld, ookal staat je domein extern geregistreerd. daarna bestel je het SSL-certificaat als add-on op dit Presence pakket. Zorg ervoor dat je voor beide pakketten de rol van Contractant vervult.

Certificaat bestellen via het Service Panel

Het aanvragen van een SSL-certificaat kan via ons Service Panel. Je kunt deze als add-on op een Presence pakket bestellen.

Neem de volgende stappen:

  1. Login op het Service Panel.
  2. Selecteer je domeinnaam.
  3. Klik op het tabblad Administratief.
  4. Klik op de optie SSL-Certificaat.
  5. Kies het gewenste certificaat.
  6. Selecteer een e-mailadres uit het dropdown menu (Indien dit e-mailadres nog niet is aangemaakt, doe dit dan graag onder de knop E-mail onder tabblad Instellingen).
  7. Lees de algemene voorwaarden en vink aan dat je hiermee akkoord gaat.
  8. Klik op Bestel.

Het certificaat is aangevraagd en nu gaat het proces verder met de validatie procedure.

SSL Plus niet van toepassing op Hypernode

Met SSL Plus zorg je ervoor dat je een eigen IP adres krijgt. Hierdoor is je site minder vatbaar voor DDoS aanvallen, en maak je geen gebruik meer van SNI. Hypernodes hebben al een eigen IP-adres, daarvoor is SSL Plus dus niet nodig. Heb je een dedicated server of clusterhosting pakket en wil je een eigen IP-adres dan kan je dat hier aangeven; Vink aan dat je akkoord gaat, en druk op Bestel. Wil je geen eigen IP, klik dan door naar de SSL statuspagina.

Meer informatie over SSL Plus vind je in het artikel SSL Plus.

Valideren van je SSL aanvraag

Voordat een SSL certificaat geleverd kan worden, wordt de aanvraag gevalideerd door de leverancier. Dit zorgt ervoor dat alleen de eigenaar van een domeinnaam een SSL certificaat kan aanvragen, en de beveiligde gegevens niet onderschept kunnen worden. Afhankelijk van het type certificaat dat je hebt aangevraagd, worden er een of meerdere validatie stappen uitgevoerd.

SSL-certificaat koppelen aan je Hypernode

Zodra je SSL-certificaat opgeleverd is (je ontvangt een mail) kun je deze koppelen/installeren op je Hypernode. Dit doe je via het Service Panel.

  1. Selecteer in het Service Panel je Hypernode
  2. Ga naar tabblad Instellingen en vervolgens naar ‘SSL & DNS instellingen’
  3. Je ziet daar alle domeinen staan waarvan je Contractant bent. Het domein waarvoor je een SSL-certificaat hebt besteld heeft de status ‘Beschikbaar’ in de ‘SSL Certificaat’ kolom. Klik op installeren om het SSL-certificaat te installeren op je Hypernode.
  4. Herhaal dit eventueel voor andere domeinen/store fronts.

Instellingen in je site aanpassen

Het kan nodig zijn bepaalde zaken in je website aan te passen. Een aantal instellingen die je mogelijk aan moet passen, vind je op de pagina Website SSL Instellingen. We raden aan de omzetting op een rustig moment te plannen.

SSL certificaat opzeggen

Wil je geen gebruik meer maken van een beveiligde verbinding voor je website? Dan kun je altijd via het Service Panel het certificaat opzeggen. Volg de onderstaande stappen:

  1. Login op het Service Panel
  2. Selecteer je domeinnaam.
  3. Klik op het tabblad Administratief.
  4. Klik op de optie SSL Certificaat.
  5. Onderaan kunt je aangeven het certificaat op te willen zeggen. Dit kan zowel per direct, als per einde contract.

Let op! Wanneer je per direct opzegt, houd rekening met het volgende:

  • Zorg ervoor dat je site zonder SSL kan werken: er mogen geen absolute verwijzingen naar https meer in je site aanwezig zijn.
  • Zorg ervoor dat er in eventuele .htaccess-bestanden niet meer doorverwezen wordt naar de https-versie van jouw site.
  • Wanneer je domein elders geregistreerd staat zul je de A records (www en non-www) moeten aanpassen naar het nieuwe IP adres. Het juiste IP adres krijg je te zien op het Service Panel bij de opzegging van het SSL certificaat.

 

Eigen SSL-certificaat gebruiken

Als je een Hypernode Start, Grow, Professional of Excellence pakket hebt kun je ervoor kiezen om zelf een SSL-certificaat te uploaden. We raden dit echter af, omdat het enorm complex en tijdrovend is.
Je bent beter af als je Byte alle details laat afhandelen. Een aantal dingen die wij voor je regelen als je je SSL-certificaten bij Byte koopt:

  • Correcte certificaten voor je site (de juiste common name, alternative name, etc).
  • Wij letten op de beveiliging van je certificaat en we vervangen je certificaat zonder dat je iets hoeft te doen als de veiligheid ervan in het geding is gekomen.
  • Als het certificaat moet worden verlengd, dan regelen wij dat voor je zonder dat je iets hoeft te doen.
  • Als je site bij Byte gehost is kunnen wij in veel gevallen alle validatie voor je doen.

Deze zaken moet je dus zelf in de gaten houden voor alle certificaten voor al je sites. Dat wordt snel onoverzichtelijk. Wil je toch graag zelf een certificaat uploaden? Kijk dan onder het kopje ‘SSL-certificaat uploaden’ hieronder.

SSL-certificaat uploaden op een Hypernode

We raden het af zelf SSL certificaten te uploaden, omdat dit complex en tijdrovend is. Byte kan geen support leveren op het uploaden van een extern SSL certificaat. Als je toch graag een extern SSL certificaat wilt uploaden via het Service Panel, volg dan onderstaande uitleg:

Om een extern SSL certificaat te uploaden heb je een aantal zaken nodig in .PEM formaat, namelijk:

  • De private key (unencrypted sleutel)
  • Het certificaat
  • De CA certificate chain file

Let goed op dat de sleutel en het certificaat bij elkaar horen, anders geeft het Service Panel daar een foutmelding over.

Het certificaat uploaden

Als je alle drie de bestanden hebt kun je volgens onderstaande stappen het certificaat uploaden:

  1. Log in op het Service Panel met je klantnummer en wachwoord
  2. Selecteer het juiste pakket
  3. Ga naar SSL & DNS instellingen onder tabblad Instellingen
  4. Klik op Beheer SSL Certificaten.
  5. Klik op Manually add an SSL certificate.
  6. Vul de drie .PEM bestanden in de desbetreffende velden
  7. Klik op ‘Next’
  8. Controleer goed of je het juiste certificaat hebt geupload
  9. Klik op ‘Add certificate’

Als je je certificaat hebt geupload dien je de DNS instellingen van het domein naar je Hypernode te laten wijzen. Hoe je dit doet wordt uitgelegd in onze Hypernode support documentatie.

In de backend van Magento dien je de secure_base_url aan te passen. Hoe je dit doet wordt uitgelegd in het artikel Website SSL instellingen.

Een snellere shop met SSL dankzij HTTP/2

Magento shops op ons Hypernode platform lopen automatisch via HTTP/2. HTTP/2 is de opvolger van het bekende HTTP protocol (wat ervoor zorgt dat jouw internetbrowser met servers kan praten). HTTP/2 heeft het voordeel dat shops met SSL sneller zijn dan wanneer ze geen SSL-certificaat zouden hebben.

Als je nog geen SSL-certificaat hebt, raden we je aan om deze echt af te nemen. Je shop wordt er niet alleen veiliger van en straalt meer vertrouwen uit, hij wordt er vanaf nu ook sneller van dankzij HTTP/2.

Staat je shop nog niet op Hypernode? Zet je shop over op ons Hypernodeplatform met de handige Hypernode importer tool en test 30 dagen gratis de voordelen van Hypernode door middel van de Hypernode trial.

Byte SSL-certificaat gebruiken op je eigen server

Een SSL-certificaat dat je bij Byte bestelt kun je NIET altijd gebruiken op je eigen server. Het systeem van SSL-certificaten is gebaseerd op vertrouwen. Eén van de onderdelen van dit systeem is dat er maar één plek is waar de zogeheten private key wordt bewaard. Op het moment dat de private key gaat zwerven loop je het gevaar dat anderen je versleutelde verkeer kunnen onderscheppen.

Op het moment dat wij een private key van een klant uitgeven, kunnen we niet langer garanderen dat wij de enige zijn die beschikken over de private key van het certificaat. Mocht een kwaadwillend persoon in bezit komen van deze key, dan zou hij zich als het beveiligde gedeelte van de site voor kunnen doen. Daarom geven we private keys die op onze server staan niet uit.

Er zijn een aantal mogelijkheden om toch een SSL-certificaat op de eigen server te installeren;

  • Zelf een certificaat aanvragen op bijvoorbeeld sslcertificaten.nl.
  • Je SSL hosting bij Byte opzeggen. Om naadloze verhuizingen mogelijk te maken kunnen we bij wegverhuizingen het certificaat beschikbaar maken. Dit is alleen mogelijk bij een wildcard en/of EV certificaat.

FAQ

Hoe werkt SSL precies?

SSL maakt gebruik van asymmetrische encryptie, dat betekent dat er twee sleutels gebruikt worden; een om gegevens te vergrendelen en de ander om gegevens te ontgrendelen. Deze sleutels noemen we een public key en een private key.

De public key is gemaakt om gegevens te versleutelen. gegevens die versleuteld zijn met een public key kunnen alleen maar ontgrendeld worden met de bijbehorende private key. Op het moment dat je SSL aanvraagt, worden zowel de private als de public key op de webserver geïnstalleerd en aan een pakket gekoppeld.

Om een symmetrisch versleutelde verbinding op te zetten moeten beide partijen in bezit zijn van 1 sleutel (die niet bekend is bij derden) voordat de verbinding opgezet wordt, als symmetrische encryptie gebruikt zou worden om de gegevens tussen site en bezoeker uit te wisselen zou iedereen in bezit (moeten) zijn van de sleutel om gegevens te verzenden en is de verbinding dus niet “echt” versleuteld (als iedereen de sleutel van een deur heeft, kan je net zo goed een deurklink gebruiken).

Hoe wordt een beveiligde verbinding tot stand gebracht?

In dit voorbeeld wordt uitgelegd hoe een beveiligde verbinding opgezet wordt. “PC” is de computer van een bezoeker van een site die op server staat

  • PC komt op het beveiligde gedeelte van een site
  • De PC krijgt de public key van server opgestuurd waarmee hij gegevens kan vergrendelen voor ze verzonden worden
    • In deze public key staan verschillende gegevens zoals de verstrekker van het certificaat, de houdbaarheidsdatum en de toebehorende domeinnaam.
      • Als de expiry date of de verloopdatum verlopen is wordt het certificaat niet geaccepteerd
      • Komt het domein of het ip-adres in het certificaat niet overeen met de site waarmee verbonden is? Dan wordt het certificaat niet geaccepteerd
      • Als de verstrekker van het certificaat niet geverifieerd kan worden wordt het certificaat niet geaccepteerd
  • PC maakt eigen private/public key, versleuteld zijn public key met de public key van de server en stuurt ze naar de server
  • Server ontgrendeld de public key van Pc met zijn eigen private key en versleuteld alle uitgaande gegevens naar PC met deze sleutel

Meer informatie hierover vind je in het artikel: Gegevens beveiligen met encryptie en hashing.

 

80