Dutch Grit


BLOG: SSL certificaten herzien

In deze blog wil ik je graag op de hoogte brengen van nieuws rondom SSL certificaten voor je website. Eerder schreef ik al over het belang hiervan in het kort: versleuteling van data tussen de server waar je website draait en de eindgebruiker is van belang in tijden van toenemende cybercriminaliteit, Google waardeert websites met SSL hoger, dus ook SEO technisch van belang.

 

SSL certificaten worden niet alleen toegevoegd aan de website en daarmee klaar. Ze worden ook gecontroleerd door een zgn. Certificate Authority. Deze organisatie geeft de digitale certificaten uit en valideert ze. Eén van de grootste organisatie die dat deed was Symantec. Zij regelende de aanvragen van providers, onder andere de door ons gebruikte Thawte-certificaten. Ook certificaten van GeoTrust, RapidSSL, Networking4All en Trust Provider moeten opnieuw aangevraagd worden.

 

De afgelopen tijd is echter gebleken dat Symantec zich niet altijd gehouden heeft aan de richtlijnen die voor het valideren van een aanvraag opgesteld zijn. Zo konden certificaten worden aangevraagd voor domeinen die niet toebehoorden aan de koper. Het gevolg hiervan is dat Google deze certificaten niet meer vertrouwt en eist dat deze opnieuw uitgegeven moeten worden. Gebeurt dat niet, dan wordt de website aangemerkt als onveilig. Het voorbeeld van Google werd al snel gevolgd door alle grote browsers.

 

Help! Liep mijn website gevaar?

Als je een website of web-applicatie bij ons hebt draaien dan liep deze geen gevaar. Er is niets mis met de certificaten die wij gebruikt hebben.

Heb je een online dienst die niet bij ons is ondergebracht en wil je weten of alles goed is ingeregeld, neem dan contact op. We helpen je graag bij de controle en veiligheid van de diensten.

 

Moet ik nu iets doen?

Als klant van Lucrasoft Online hoeft je geen actie te ondernemen.  Wij hebben in het verleden voor de veiligheid van je online diensten gezorgd en blijven dat ook in de toekomst doen.

De certificaten die wij in het verleden hebben aangevraagd moeten wel (preventief) opnieuw worden aangevraagd. Dit zullen we voor onze bestaande klanten automatisch doorvoeren voor 1 maart 2018. Na deze datum worden websites die dat niet gedaan hebben als onveilig aangemerkt.

Het certificaat dat wij instellen is een standaard versie. Het is ook mogelijk om gebruik te maken van een betaald certificaat. Heeft dit laatste je voorkeur, neem dan voor 1 februari contact met ons op. Wat de verschillen zijn zullen we in het volgende stuk toelichten.

 

Techtalk

Alle bestaande certificaten die wij morgen gaan vervangen, zullen we laten lopen via Let’s Encrypt. Dit is een dienst die wordt ondersteund door grote bedrijven als Mozilla, Facebook en Google en heeft al miljoenen certificaten uitgegeven.

Wij hebben het intern al enige tijd getest en dit is goed bevallen. Het is betrouwbaar, doordat er elke drie maanden een nieuw certificaat wordt uitgegeven maak je altijd gebruik van de laatste vormen van encryptie, en vraagt minder onderhoud. De drie maandelijkse verlening verloopt automatisch, zonder dat daar extra kosten aan verbonden zijn.

Wat veranderd is, is de manier van valideren. Waar je voorheen een e-mail kreeg om te bevestigen dat je de eigenaar van het domein bent, gebeurt dit vanaf nu door het plaatsen van een bestandje op de server waar de website draait. Wij regelen dit uiteraard voor je.

 

Back