SSL, TLS, HTTPS... Wat is het?

SSL

SSL staat voor Secure Socket Layer en, in het kort, zorgt het voor een veilige verbinding tussen 2 systemen. Bij websites is dit in de meeste gevallen de verbinding tussen jouw computer en de (web)hosting (de server waar de website op staat). Zo ben je er van verzekert dat de gegevens die je achterlaat op de website veilig naar de server worden verzonden, zonder dat er criminelen hier tussen kunnen komen.

Dit wordt gedaan door de verbinding tussen de 2 systemen te versleutelen waardoor het onmogelijk wordt om te lezen.

TLS

TLS staat voor Transport Layer Security wat eigenlijk een geüpdatet variant van SSL is. Ook al wordt er vrijwel altijd nog steeds naar een SSL verwezen wanneer het gaat om een veilige verbinding. In de meeste gevallen wanneer je een SSL certificaat koopt bij een partij, koop je eigenlijk een TLS certificaat.

HTTP(S)

HTTP(S) staat voor Hyper Text Transfer Protocol (Secure). Dit is het stukje wat je voor je URL hebt staan. De oude variant hiervan is HTTP, maar met de komst van SSL is dit veranderd naar HTTPS. Zo weet je altijd, wanneer je een website bezoekt, of de website wél of géén gebruik maakt van een SSL certificaat.

Wat is een SSL certificaat?

Een SSL certificaat is geïnstalleerd op een server, maar er zijn wel zichtbare elementen zodat je als bezoeker kunnen herkennen of een website SSL gebruikt.

Wanneer een website SSL gebruikt, kun je dat zien aan de URL van de website. Daar zul je namelijk HTTPS in plaats van HTTP zien staan. Daarnaast kun je het herkennen aan het slotje wat je naast een URL ziet staan. SSL Slotje

Afhankelijk van wat voor soort SSL certificaat er gebruikt wordt, kan het slotje ook groen zijn en in sommige gevallen zelf de bedrijfsnaam van de website bevatten. Deze soorten SSL certificaten zie je vaak bij webshops, omdat zij met gevoelige gegevens werken waaronder de betalingen.

SSL Secure

Hoe werkt SSL?

Om de veilige verbinding tussen 2 systemen op te zetten gebeuren er een aantal dingen. In dit voorbeeld nemen we het bezoeken van een website als voorbeeld.

Laten we vooraf even 2 dingen definiëren:
Client: Dit is de browser van de bezoeker.
Server: Dit is de (web)server waar de website op gehost staat.

  1. De client probeert verbinding te maken met de server die beveiligd is met een SSL certificaat. De client vraagt de server om zich te identificeren, zodat de client zeker weet dat de verbinding veilig is.
  2. Vervolgens krijgt de client een kopie van het SSL certificaat (het identificatie bewijs) van de server terug.
  3. Bij het ontvangen hiervan controleert de client of het SSL certificaat geldig en veilig is. Als de client het vertrouwd, zal het een versleutelde ‘sleutel’ terug sturen naar de server.
  4. De server gaat aan de slag om de versleutelde ‘sleutel’ te ontcijferen en zal vervolgens de versleutelde content (de daadwerkelijke website) terug sturen aan de client.
  5. De client ontvangt de versleutelde content, ontcijfert deze om zo de verbinding compleet te maken zodat de bezoeker de website te zien krijgt.

Al deze stappen hierboven gebeuren in enkele milliseconden om er voor te zorgen dat de bezoeker van de website beveiligd is.

Waarom een SSL certificaat?

SSL certificaten zijn erg belangrijk om er voor te zorgen dat de verbinding tussen 2 punten (meestal een gebruiker en een server) veilig is. Het is in feite een digitaal identificatiebewijs om er zo voor te zorgen dat de 2 eindpunten elkaar kunnen vertrouwen en een beveiligde verbinding kunnen opzetten.

Tegenwoordig kun je als website beheerder niet meer zonder een SSL certificaat. Sommige browsers, zoals Google Chrome, markeren website die geen SSL gebruiken namelijk al als ‘onveilig’. Het is namelijk ook een stukje vertrouwen wat je bij de bezoeker van een website wint.

Als website beheerder kun je een certificaat aanschaffen bij verschillende partijen. Ook heb je gratis varianten zoals bijvoorbeeld Let’s Encrypt. Afhankelijk van wat voor soort website je hebt, kun je overwegen een gratis variant of een betaalde variant te gebruiken.
Om een zo’n certificaat te kunnen gebruiken, moet je deze installeren bij je (web)hosting zodat de uitgever van het certificaat kan verifiëren dat jij de daadwerkelijke eigenaar bent en zo het certificaat kunnen activeren.

Verder is het gebruik van een beveiligde verbinding, met HTTPS, een score waar Google jouw website op scoort. In mei 2021 rolt Google een update uit waarbij ze nieuwe factoren toevoegen aan hun zoek algoritme, namelijk de Core Web Vitals.

Welk SSL certificaat?

Zoals hierboven al aangegeven heb je een aantal soorten SSL certificaten. Zowel betaald als gratis, maar welk certificaat is geschikt voor jou?

Bij uitgifte hiervan vindt er altijd een vorm van validatie plaats. Dit is ook direct een van de belangrijkste verschillen tussen de betaalde of gratis varianten. Zoals je hieronder ziet verschilt de mate van encryptie niet, maar ligt het verschil vooral in de hoeveelheid validatie die er plaats vindt. Bij de een is er bijna geen validatie en bij de anders gaat het zelfs zo ver als je KvK registratie te controleren.

Uiteindelijk is bij iedere variant de bezoeker van je website veilig, maar zal bij de duurdere certificaten betaal je dus een onafhankelijk instantie om te laten controleren dat je bent wie je zegt dat je bent. Zodat je bezoeker jou kunnen vertrouwen.

SSL Soorten

Let wel op: Wanneer je gebruik maakt van het standaard SSL wordt de persoon of het bedrijf dus niet gecontroleerd of ze daadwerkelijk bestaan.