Alles over SSL certificaten

Als je een website of webshop hebt dan zal je ook moeten nadenken over de beveiliging. De beveiliging van persoonsgegevens is een belangrijk onderdeel hier van. Er gaan verschillende verhalen rond wat er verplicht is en wat niet. Begin van 2016 is ook nog de meldplicht datalekken in gegaan. Ik zal het duidelijk voor je op een rij zetten zodat je weet waar je aan toe bent.

Persoonsgegevens

Op websites wordt regelmatig gebruik gemaakt van persoonsgegevens. Bij online aankopen worden diverse persoonsgegevens achtergelaten op een website maar ook bij het invullen van een simpel contactformulier gebeurt dit. Bij beide is er sprake van het delen van persoonsgegevens. Echter is het natuurlijk een stuk gevoeliger als de complete adresgegevens en bankgegevens van een persoon uitlekken t.o.v. een naam en e-mailadres.

SSL

SSL staat voor Secure Socket Layer, dit zorgt voor een versleutelde verbinding tussen een webserver en een internetbrowser. Hierdoor zijn alle gegevens die worden verzonden beveiligd en deze kunnen niet door buitenstaanders worden gestolen.

Wet bescherming persoonsgegevens (Wbp)

De Wet bescherming persoonsgegevens verplicht iedere website en webshop om persoonsgegevens te beveiligen. Het college bescherming persoonsgegevens (cbp) ziet er op toe dat deze wetgeving wordt nageleefd. En kan boetes tot wel €4.500,- uitdelen als de wet niet wordt nageleefd.

Wat staat er nou precies in de Wbp?

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’

De wetgeving verplicht websites dus om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Maar hoe je dat precies moet doen wordt niet genoemd. Op verschillende websites lees je dat een SSL certificaat verplicht is als je met persoonsgegevens werkt. Dat is dus een vrije interpretatie van de wetgeving. Nergens staat genoemd dat je verplicht bent om persoonsgegevens met een SSL certificaat te beveiligen. Het is echter wel een van de meest voor de hand liggende manieren, maar dus niet verplicht. Het cbp adviseert ook het gebruik van een SSL certificaat als persoonsgegevens worden achtergelaten op een website.

Meldplicht datalekken

Vanaf 1 januari 2016 zijn organisaties verplicht om een melding te maken bij de Autoriteit Persoonsgegevens zodra er een datalek heeft plaatsgevonden. Er wordt dus steeds meer waarde gehecht aan het beveiligen van persoonsgegevens om het datalekken zoveel mogelijk te beperken.

Zoekmachines

Google hecht ook waarde aan beveiligde websites. Websites met een SSL certificaat worden dan ook positief beoordeeld. SSL is namelijk een rankingfactor. Het is echter nog maar een kleine rankingfactor waar je niet te veel invloed van moet verwachten.

Verplicht of niet

Zoals hier boven staat aan gegeven staat er in de wetgeving dat iedere website/webshop verplicht is om de persoonsgegevens, die worden achtergelaten op de website, te beschermen. Er staat nergens dat een SSL certificaat verplicht is. Wel is dit de meest voor de hand liggende manier om een website te beveiligen. Je begrijpt dat voor banken en ziekenhuizen beveiliging een stuk essentiëler is dan voor een website met alleen een contactformulier. De gevolgen van het uitlekken van persoonsgegevens bij banken heeft immers veel grotere gevolgen dan het uitlekken van een e-mailadres. De toezicht op dit soort websites zal dan ook veel strenger zijn.

Sinds januari 2017 geeft Google Chrome op alle pagina’s die een wachtwoord veld hebben of Credit Card gegevens verzamelen een melding in de adres balk als een SSL-certificaat ontbreekt. Op termijn is Google van plan dit te doen voor alle websites die geen https/ssl gebruiken.

Vanaf Chrome versie 62 (oktober 2017) gaat dit al gelden voor alle websites met invoer velden, dus ook ‘normale’ contact formulieren. Daarnaast is de melding niet veilig standaard voor alle websites zonder SSL wanneer je ‘incognito modus’ gebruikt.

Toekomstige waarschuwingen in Google Chrome

Na de wijziging van Chrome volgde Firefox binnen zeer korte tijd, daarnaast heeft Mozilla Firefox dezelfde ambitie uitgesproken om voor alle pagina’s die niet over SSL geladen worden een waarschuwing weer te geven.

Daarnaast wordt per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht, dit is de Europese wet waarmee een en het zelfde WBP voor alle landen binnen de Europese unie gaat gelden. Met deze wet worden de regels voor organisaties die persoonsgegevens verwerken nog verder aangescherpt.

Zelf wanneer je geen persoonsgegevens verwerkt en enkel een formulier op je website hebt staan is een SSL-certificaat zeer sterk aan te raden, de Chrome en Firefox browsers hebben samen een marktaandeel van bijna 50% met een waarschuwing als ‘niet veilig’ kan je een hoop potentiële klanten afschrikken.

Voor webshops is het al langere tijd verplicht om een SSL-certificaat te gebruiken tijdens het afrekenproces.

Voordelen van een SSL certificaat

Naast dat een SSL certificaat zorgt voor een veilige verbinding heeft het ook een aantal andere voordelen. Zo heeft het ook een positieve invloed voor je SEO, Google rankt websites met SSL hoger dan een vergelijkbare website zonder SSL.

Door het groene slotje en het woord ‘veilig’ geeft het SSL certificaat een extra indicatie van betrouwbaarheid aan de bezoekers van je website.

Daarnaast wordt met SSL, HTTP/2 ondersteund door meer browsers. Als ook je webhost HTTP/2 ondersteund dan kan je website een verbetering in laadtijd zien (mits juist geoptimaliseerd).

Voor sommige functionaliteiten in de browser is een SSL-certificaat ook vereist, zo kan je wanneer je gebruik maakt van HTTPS ook (mits de gebruiker dit toestaat) toegang krijgen tot de ‘locatie’ van de gebruiker en zou je ze ‘push’-meldingen in de browser kunnen sturen.

Wat zijn de verschillen tussen SSL-Certificaten?

Er zijn een drietal verschillende certificaten, deze worden vaak afgekort als DV, OV, EV.

DV – Domain Validation

DV staat voor Domain Validation, in het Nederlands Domein Validatie. Dit zijn de meest veelvoorkomende en goedkoopste certificaten.

De meeste goedkope DV certificaten bieden meestal echter geen verzekering, de betaalde DV certificaten wisselen qua verzekeringswaarde tussen de €0 en €500.000,- dit verschilt per uitgever.

Naast de lage kosten van DV certificaten worden deze vaak ook geautomatiseerd geleverd, hierdoor kan je na de aanvraag het certificaat vrijwel direct instellen.

OV – Organization Validation

OV staat voor Organization Validation, in het Nederland Organisatie Validatie. Bij dit certificaat wordt door de uitgever van het certificaat ook het bedrijf achter de website die het certificaat aanvraagt gekeken. Hierbij worden de Kamer van Koophandel inschrijving gecontroleerd en wordt er vaak met het bedrijf gebeld ter verificatie.

De kosten voor deze certificaten zijn een stukje hoger en lopen behoorlijk uit een, de verzekeringswaarde van deze certificaten doet dat overigens ook. Sommige staan garant tot een bedrag van €1,5 miljoen.

Door de controle kan de levering van deze certificaten soms tot wel een week duren.

EV – Extended Validation

EV staat voor Extended Validation, in het Nederlands Uitgebreide Validatie. Bij dit certificaat wordt naast het groene slotje ook de bedrijfsnaam in de adresbalk weergegeven zoals bij grote organisaties vaak te zien is. Bij de uitgebreide validatie wordt naast de controle van het bedrijf ook vaak nog een analoge controle gedaan en dient er in sommige gevallen een contract ondertekend te worden.

Een EV certificaat in Firefox. op de website van Mozilla.org organisatie achter Firefox)

Kosten voor EV certificaten beginnen vaak bij de €100+ en de garantie bedragen lopen op tot 1,75 miljoen bij sommige uitgevers.

Door de uitgebreide controle duurt de levering van deze certificaten vaak wat langer, dit kan soms wel 10 (werk)dagen duren.

Conclusie

Het is duidelijk dat er steeds meer waarde wordt gehecht aan het beveiligen van persoonsgegevens. Google beloond websites met een SSL certificaat en niet beveiligde websites krijgen boetes van het cbp. Hoewel SSL op dit moment een kleine rankingfactor is verwacht ik dat deze steeds meer waarde zal krijgen. Worden er op jouw website of webshop persoonsgegevens achtergelaten en wil je het zekere voor het onzekere nemen? Zorg er dan voor dat je een SSL certificaat heeft. Zeker websites met gevoelige informatie kunnen niet meer zonder SSL certificaat.