Kings Code: Science

SSL de kracht
van het groene slotje

Iedereen kent het groene slotje in de adresbalk van je webbrowser. En iedereen weet ook dat het belangrijk is voor de veiligheid. Maar wat betekent het nu eigenlijk? Is een website met een groen slotje dan ook automatisch veilig?

Waarom is het nodig?

Alle gegevens die je op een website achterlaat, zoals je naam en e-mailadres, maar ook je wachtwoord, worden via een aantal verschillende apparaten afgeleverd bij de website. Dit gaat eerst via je eigen router en vervolgens via een aantal andere routers wereldwijd naar de website die je op dat moment bezoekt. Iedereen met toegang tot één van de routers kan meekijken met de gegevens die verzonden worden. Dus een wachtwoord uitlezen wordt dan wel heel makkelijk!

SSL

Een groen slotje betekent dat de website gebruik maakt van een goedgekeurd SSL-certificaat. Een webbrowser gebruikt dit certificaat om de gegevens te versleutelen zodat de gegevens onleesbaar worden. Alléén de website waar de gegevens naar verzonden worden kunnen de versleutelde gegevens weer leesbaar maken. Dit is te vergelijken met de techniek achter de Enigma machine. In de Tweede Wereldoorlog werd deze Enigma machine door de Duitse marine gebruikt om berichten versleuteld over en weer te sturen tussen het hoofdkwartier en de Duitse vloot.

Veiligheid

Maar is een website dan meteen veilig als er een slotje in de adresbalk staat? Nee, helaas niet. Het slotje geeft alleen aan dat de verbinding met de website versleuteld is. Maar op alle andere fronten kan de website nog steeds onveilig zijn. Wat doet de website zelf met je gegevens? Slaan zij de wachtwoorden versleuteld op? Is de server van de website wel up-to-date en veilig? Dus een slotje in de adresbalk beveiligt een deel maar lang niet alles.

Waarom zijn er goedkope en dure SSL-certificaten?

Met een standaard SSL-certificaat zijn de gegevens versleuteld. Maar het is mogelijk om nog een stukje meer zekerheid te geven aan de bezoeker van je website. In het certificaat kan bijvoorbeeld vastgelegd worden dat de domeinnaam is geverifieerd. Hierin kun je nog een stap verder gaan door in het certificaat vast te leggen dat de organisatie achter de website is gevalideerd. Daarmee versleutelt het certificaat niet alleen de verbinding maar geeft deze ook garanties over de personen achter de website. Naast het extra vertrouwen dat een uitgebreid SSL-certificaat uitstraalt, heeft dit ook invloed op het verzekerde bedrag vanuit de certificaat-uitgever. Hierdoor is de aanmeldprocedure voor dure certificaten een stuk uitgebreider dan bij de goedkope SSL-certificaten.

Conclusie

Of een website een certificaat nodig heeft is geen vraag meer; iedere website heeft een certificaat nodig. Heb je een applicatie die veel persoonsgegevens verwerkt? Dan wordt het wellicht interessant om een uitgebreider certificaat aan te schaffen. SSL is slechts een klein onderdeel van de totale veiligheid van de website. Het blijft dus nog steeds belangrijk om veel aandacht te besteden aan de beveiliging van een website.