webwinkel
Home | Webwinkel Forum | Nieuwsbrief | Adverteren | Over ons | Voorwaarden | Links
SSL en HTTPS: waarvoor zijn ze nodig?
Tuesday, 08 November 2011 | 1437 keer gelezen
SSL en HTTPS: waarom zijn ze nodig?Er is steeds meer kritiek op webwinkels en hun veiligheid. Een van de mogelijke onveilige situaties is het dataverkeer tussen de webwinkel en consument. Dit veiligheidsrisico is deels op te vangen via SSL-certificaten en een veilige HTTPS-verbinding. Maar wat doen deze nu eigenlijk?

HTTPS staat voor 'HyperText Transfer Protocol Secure' en heeft als doel een veilige uitwisseling van gegevens te faciliteren. Het is eigenlijk een normale internetverbinding, maar alle data die verzonden wordt gaat via een SSL-verbinding, die het HTTP-verkeer versleutelt. Normaal HTTP-verkeer wordt als onversleutelde tekst over de verbinding verstuurd. Mocht dit verkeer onderschept worden, dan is het zonder iets te kraken uit te lezen. Niet echt veilig dus.

HTTPS is dan ook vooral cruciaal bij het online winkelen dat plaatsvindt bij openbare wifi-spots. Het internetverkeer dat hier plaatsvindt is niet altijd (goed) beveiligd en een normale http-verbinding is dan niet goed genoeg als je privacygevoelige informatie verstuurt. Om die reden is een HTTPS-verbinding wettelijk verplicht als mensen bijvoorbeeld via jouw site aankopen kunnen doen, maar wat veel webwinkeliers niet weten is dat het ook verplicht is als je webwinkel een contactformulier bevat en men dus (privé)gegevens kan achterlaten.

Waarom niet standaard HTTPS gebruiken?
Een van de redenen waarom er nog niet standaard gebruik wordt gemaakt van een HTTPS-verbinding is dat hiervoor een beveiligingscertificaat voor nodig is als je het goed wilt doen, en het ook wilt kunnen tonen aan de gebruiker, en die zijn over het algemeen vrij prijzig.

Een andere reden is dat HTTPS het cachen (van bijvoorbeeld afbeeldingen) tegengaat. Grote websites hebben juist baat bij caching, omdat hun pagina’s hierdoor sneller geladen worden. Standaard een HTTPS-verbinding zou betekenen dat iedere keer wanneer iemand zo’n pagina bezoekt de plaatjes opnieuw ingeladen moeten worden. Mede om die reden zijn alle accountpagina's van webwinkels vaak redelijk simpel opgemaakt.

Een SSL-certificaat voor jouw HTTPS verbinding
Starten met HTTPS is helemaal niet zo moeilijk. Veel hostingaanbieders bieden standaard op de webhosting ook een mapje met HTTPS. Hier kun je standaard gebruik van maken en gegevens die je via dat mapje uitleest zijn direct versleuteld. Gevoelsmatig zal dit voor jou als webwinkelier misschien al genoeg zijn.

Het nadeel van deze certificaten is dat deze niet voor jou persoonlijk zijn en je de klant hier dus niet zoveel over kunt vertellen. In theorie zou de sleutel te makkelijk te achterhalen zijn, verlopen zijn, of zelfs publiekelijk bekend zijn. Zolang je zelf niet weet wie de sleutel heeft kun je eigenlijk ook niet beweren dat iets achter dit slot werkelijk veilig is. Bij klanten die hier streng op letten is een groen adresbalkje eigenlijk pas reden om data te delen. Die zul je pas zien als je op jouw domein een eigen SSL-verbinding hebt lopen die erkend, gecontroleerd en nog beperkt geldig is.  

Garandeert HTTPS veiligheid?
Een HTTPS-verbinding, via een eigen SSL-certificaat is een goed begin, maar niet meer dan dat. Het zegt alleen iets over de transport van de data tussen de consument en jouw webwinkel maar een veel groter risico is wat er vervolgens mee gebeurt. Als jij het vervolgens alsnog publiceert, of onveilig opslaat, is de veilige verbinding natuurlijk compleet nutteloos.

Daarover binnenkort meer!

|
Gerelateerde berichten
Keurmerken willen ook lekrisico keuren
Fraude Engelse webwinkels gedaald
Google begint keurmerk voor webshops
Webwinkel Consumentenbond niet zo goed
Welke buitenlandse keurmerken zijn er?
Commentaar (7)Add Comment
René
geschreven door René, November 08, 2011
Even 2 beweringen die niet kloppen.

SSL is niet wettelijk verplicht. Verplicht is een veilige verbinding, SSL is 1 van de mogelijkheden en waarschijnlijk de goedkoopste.

Wat ons brengt bij de tweede bewering, een certificaat zou duur zijn. Dat is niet juist, een 'basic' SSL certificaat met een 2048 bits versleuteling heb je al voor 12 euro ex. BTW sterker nog als je een beetje technisch onderlegd bent is er ook een gratis certificaat.

Wat het hele verhaal af en toe duurder maakt is het feit dat je een eigen ip adres nodig bent en sommige hosters daar goed aan willen verdienen.

Maar inderdaad een beveiligde verbinding is slechts het begin van een goede beveiliging. De voordeur zit een slot op maar als je de achterdeur wagenwijd open laat staan...
Maurice
geschreven door Maurice, November 08, 2011
Rene, graag wel ook zelf bij de les zijn. Het CBP schrijft een SSL verbinding voor als verplichting.

En met betrekking de ip adressen, deze zijn erg schaars en kunnen niet meer zo worden weggegeven. Heb je enig idee wat voor een host IP adressen kosten?

Het zijn ook niet de kosten van enkel ssl, maar ook server moet het aankunnen (software) en de (her) installatie kosten als je zelf niet kunt, is namelijk niet verlengbaar. Dus een SSl zit voor een niet kenner al snel op 60/80 per jaar (basis) (al vind ik dat nog steeds niet duur) en een self signed certificate aanraden is helemaaaal nogo
Maurice
geschreven door Maurice, November 08, 2011
Een EV signed certificaat heb je ook niet voor 12 euro smilies/smiley.gif
Rogier
geschreven door Rogier, November 08, 2011
Bij een EV-signed certificaat is de eigenaar meervoudig gecontroleerd, dit straalt voor de consument veel vertrouwen uit.
Echter zolang er nog veel webshops zijn die klant/ordergegevens via een simpele link als https://www.een-webwinkel.nl/orderdetails?id=12345 eigenlijk volledig openbaar hebben heeft het totaal geen zin.
René
geschreven door René, November 08, 2011
@Maurice

Een beveiligde verbinding is verplicht... Niet specifiek SSL. (ben daar zelf laatst door iemand voor op de vingers getikt).

Wet bescherming persoonsgegevens art. 13:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

IP4 adressen zijn wellicht schaars, maar IP6 niet... en om meer dan 50 euro per jaar te gaan vragen voor een IP adres zoals sommige hosters doen is een beetje overdreven.

Ik schreef ook een basic SSL certificaat (Rapid SSL, Positive SSL, Instant SSL) heb je al voor 12 euro ex. BTW per jaar... en het gratis SSL certificaat is niet self signed maar een algemeen aanvaard certificaat. (StartCom freeSSL)
Sophie Fischer
geschreven door Sophie Fischer, November 11, 2011
Zijn er hostingpartijen die een SSL certificaat leveren zonder dat je een eigen ipadres nodig hebt?

Technisch is het mogelijk. Ik draai verschillende webapps onder 1 extern ipadres ieder met een eigen SSL certificaat. Ieder SSL certificaat reken je apart af, maar ik vind 60 euro per jaar niet "te duur".
René
geschreven door René, November 11, 2011
Een SSL certificaat hoef je niet perse bij je hoster te kopen. Er zijn genoeg bedrijven die alleen het certificaat leveren.

Hoe jij het installeert en of het werkt dat is jou pakkie an.

Schrijf commentaar
quote
bold
italicize
underline
strike
url
image
quote
quote
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley
Smiley

busy
 
 
Magento e-commerce Professionals
Waarom bezoek jij Webwinkel Weblog?
 
Laatste reacties op berichten
Hallo, Ik ben Nederlandse en woon sinds dece... 6
Ik mis de WooCommerce plugin in deze lijst. D... 7
Heb ook al tijden "problemen" met het HBD. He... 17
@Dirkjan Ik heb het nog nooit meegemaakt dat ... 6
Geen idee wat cronjobs zijn? Tja, waar loop j... 6
Eigen baas worden
Webwinkel Weblog is een initiatief van Ondernemen en Internet | Techniek: Zietuwel | Redactie: Online Tekstschrijvers