Meer uitleg over SSL certificaten

[MegaByter]

Browsers van tegenwoordig waarschuwen de bezoeker van tegenwoordig als een pagina niet SSL secure is. nu is dit al heel lang zo maar nu google zich er ook mee gaat bemoeien begin ik me langzamerhand een beetje zorgen te maken over de reputatie van mijn website.

ik ben aan het leren hoe SSL certificaten nou precies werkt.
bestaat er een website in het nederlands waar precies uitgelegd wordt hoe zoiets werkt als je een SSL certificate op je website wilt
"waar moet je op letten en waar moet je rekening mee houden als je het koopt".
zo ben ik er bijvoorbeeld ook achter gekomen dat een SSL certificate niet altijd alle pagina's een SSL certificate geeft. Klopt dit?
ik heb het namelijk zo ingesteld dat zodra je mijn domein naam intypt je wordt doorgeschakeld naar een subdomein.
wie kan mij meer informatie geven hierover?
of wie weet een goeie website waar dit van begin tot eind tot in de puntjes wordt uitgelegd.

 

[Werner82]

Meer algemene info. over SSL protocollen kun je hier vinden:
https://nl.wikipedia.org/wiki/Secure_Sockets_Layer


- Sommige bedrijven hebben SSL nodig om de vertrouwelijkheid te garanderen, bv. encryptie, andere bedrijven willen SSL gebruiken om het vertrouwen in hun beveiliging en identiteit te vergroten, bv. ze willen klanten laten zien dat ze gevalideerd zijn en een legitiem bedrijf zijn>

Het hangt dus maar net van je doelstelling af. Waarom SSL niet op elke pagina van je website wordt weergegeven, terwijl je voor dit domein wel een SSL certificaat hebt, kan te maken hebben met "beveiligde items" Zorg er naast een SSL certificaat voor dat alle items in je website (dus ook images) verwijzen naar een https:// pad. Wanneer deze namelijk nog steeds naar http:// verwijzen, dan geeft je browser aan dat, ondanks je SSL, er onveilige items in je webpagina's zitten. Zorg hierbij dus voor consistente paden.

 

[wampier]

Er zijn 3 dingen die TLS doet / kan doen. Elke laag is iets anders en heeft iets andere requirements, maar je kan zelf kiezen:

Laag 1 - encryptie; minimale vereiste: elk willekeurig certificaat / sleutel. Toepassing: eigen servers, eigen NAS, consumenten routers, etc.

Laag 1 zorgt puur voor verkeer dat niet is af luisteren zonder de sleutel. laag 1 wordt niet toegepast op internet zelf

Laag 2 - encryptie & validatie ; minimale vereiste: certificaat ondertekend door een vertrouwde organisatie dat het eindpunt klopt met de opgegeven naam. Toepassing: normale websites, bekende grijze slotje

Laag 2 beveiligd niet alleen het verkeer, het certificaat verteld ook waar het geldig is (bijvoorbeeld megabyter.nl) en kan dat aantonen met een certificaat van een vertrouwde 3de partij die bevestigd dat megabyter.nl ook het gekozen eindpunt is. Het verschil met laag 1 is dat bij laag 1 iemand die tijdens het opzetten van de verbinding er tussen zou kunnen gaan zitten en zich voor kan doen als de andere site. Bij laag 2 kan dat alleen als de aanvaller ook de vertrouwde 3de partij kan beïnvloeden (onwaarschijnlijk). Laag 2 is de normale standaard op het internet

Laag 3 encryptie & validatie & identificatie ; minimale vereiste: certificaat ondertekend door een 3de partij en een validatie door minstens 1 andere 3de partij dat de aanvrager niet alleen het domein beheerd, maar dat de eigenaar ook is wie die claimt te zijn. (denk aan rijbewijzen, kvk extracties, persoonlijk interview, etc, etc,). Toepassing: websites van banken, belangrijke instituten. Bekende groene slotje/ balkje, met daarin de bevestigde eigenaar van het domein.

Laag 3 gaat nog een stap verder dan laag 2 en "garandeert" niet alleen dat je praat met een bepaald domein, maar koppelt daar ook een identificatie van een organisatie aan vast en die identiteit kan ook door niemand anders geclaimed worden. Dit is vooral belangrijk als je wil verbinden met een entiteit (zoals een bank) en ook zeker wil zijn dat het domijn waar je naartoe gaat onder beheer is van die entiteit. Dit probeert vooral dingen als phishing te voorkomen en mensen die domeinen proberen te kapen met namen dicht bij het normale domein (gogle.com goggle.com gooogle.com googel.com etc etc etc). Laag 3 certificaten zijn erg duur en voor de meeste websites ook niet nodig.

 

[MegaByter]

nou is mijn website eigenlijk meer een versiete kaartje voor mijn klanten waar wat linkjes op staat met informatie.. ik maak geen gebruik van web winkels log in pagina's of al die dingen die secure MOETEN zijn...
is het dan nog wel van belang voor mij om mij hierin te verdiepen?
het klinkt mij allemaal nogal erg behoorlijk ingewikkeld :d
mwah, misschien maar aan de ene kant maar goed ook.

 

[wampier]

kijk eens op

https://letsencrypt.org/

Die zijn van plan voor het einde van de maand een service te starten die je een gratis type2 certificaat geeft en een tool / instructies om dat in stellen voor zo'n beetje elke type server. Precies voor mensen zoals jezelf.

Ben zelf ook aan het wachten op dit initiatief, maar dan eigenlijk alleen voor mijn persoonlijke mailserver. Totaal onnodig eigenlijk, maar als het straks toch gratis beschikbaar is, waarom niet ook nette starttls instellen met een "echt" certificaat