SSL voor iedereen!
Online Beveiliging is een ding tegenwoordig. Bijna dagelijks lees je wel weer iets over één of andere hack of security gat. Browser makers met Google (Chrome) en Mozilla (Firefox) voorop proberen het web een beetje veiliger te maken door het gebruik van SSL certificaten in websites te promoten. Het zal niet lang meer duren voordat je een melding krijgt dat je op een onveilige site zit (zonder SSL/HTTPS dus). Je wil je eigen website bezoekers dit natuurlijk besparen dus ja, ja wil een groen slotje voor je site. Bijkomend voordeel is dat Google tegenwoordig websites die over SSL beschikken een hogere ranking krijgen, al is het nog onduidelijk hoeveel precies, maar alle beetjes helpen natuurlijk!
Als je met je browser naar een website gaat dan wordt alles wat jij verstuurt (website adres, formulier gegevens, wachtwoorden etc) als platte tekst over je internet verbinding gestuur maar ook de gegevens die de website terugstuurt (de informatie die jij opvraagt dus). Dit is vrij eenvoudig af te luisteren door kwaadwillenden die op hetzelfde netwerk zitten. Zeker in openbare plekken met gratis WiFi kan dit echt een probleem zijn.
Om dit te beveiligen is (lang geleden al) SSL (Secure Sockets Layer) uitgevonden. Zowel de webserver waar de website op draait als de bezoeker wisselen voordat er iets verstuurd wordt wat certificaten uit om er zeker van te zijn dat de website die je opvraagt ook daadwerkelijk de juiste website is en niet een nep site opgezet door een hacker bijvoorbeeld. Als het certificaat klopt dan krijg je dus het welbekende (groene) slotje in beeld en is alle data versleuteld en dus veilig. Je moet de website dan wel via https://amphora.nl openen en niet via http://amhora.nl (met of zonder s dus). Maar als de website beheerder verstandig is dan wordt al het 'onveilige' http verkeer automatisch doorgestuurd naar https en hoef je daar als bezoeker geen rekening mee te houden.
Maar goed, die certificaten dus. De website beheerder moet wel zo'n certificaat hebben en juist instellen en afhankelijk van je hosting provider kan dat nog wel eens een uitdaging zijn. Tot voor kort waren certificaten ook niet gratis. Prijzen voor een standaard SSL certificaat varieerden van 9 tot ruim 150 euro per jaar. Ook zijn er nog uitgebreidere certificaten die behalve een groen slotje ook de naam van het bedrijf laten zien. Voor banken is dat de standaard bijvoorbeeld maar daar zit ook een uitgebreidere validatie achter die zij juridisch ook nodig hebben. Voor 'gewone' websites is een standaard SSL certificaat ruim voldoende. Met de komst van letsencrypt.org zijn die standaard certificaten nu gratis! Let's Encrypt is een organisatie gesponsord door onder andere Mozilla, Cisco en Facebook met als doel gratis SSL certificaten uit te delen voor iedereen. Om zo het web wat veiliger te maken maar ook logische stap om straks onveilige sites standaard achter een waarschuwing te stoppen want er is geen reden meer voor het niet hebben van een SSL beveiligde site. Met Let's Encrypt is het ook mogelijk om certificaten automatisch te verlengen. 'Oude' certificaten werden altijd voor een periode van 1 jaar of 3 jaar verstrekt en moesten handmatig verlengd worden en dat kost tijd en dus geld. Let's Encrypt certificaten zijn (slechts) 90 dagen geldig maar kunnen automatisch verlengd worden dus éénmalig instellen en nooit meer aan denken. Voorwaarde voor die automatische verlenging is wel dat je hosting provider dit ondersteunt.