Welk SSL Certificaat heb je nodig?

Jean HuveneersBlog

Browserblak met slotje

Het mag ondertussen voor de meeste ondernemers duidelijk zijn dat het gebruiken van TLS op basis van een certificaat tot de minimale beveiligingsvoorwaarden hoort voor communicatie via internet.

Maar als je dan gaat ‘shoppen’ loop je al snel tegen diverse afkortingen en ander vakjargon aan. Hoe vindt je het juiste certificaat?

Er zijn verschillende leveranciers (Certificate authorities of CA’s genoemd) zoals bijvoorbeeld Symantec, DigiCert en GlobalSign. De CA’s werken samen in de CA Security Counsil (CASC) om de veiligheid en betrouwbaarheid van de certificaten te borgen en te verbeteren.

De CASC bepaald ook de eisen die gesteld worden aan de verschillende typen certificaten.

Server/website certificaten

Voor het beveiligen van websites onderkennen ze 8 verschillende certificaten.

Matrix met mogelijke certificaten

De CA Security Counsil heeft zelf een mooie diagram gemaakt over de mogelijkheden die je hebt. Die mogelijkheden leggen we hieronder verder uit.

Verificatie

Stap 1 is om te bepalen welk type verificatie je nodig hebt.

Domain Validated (DV)

Voor het verkrijgen van een domain validated certificaat volstaat het om aan te kunnen tonen dat je controle over het domein hebt. Dat kan door middel van een e-mail of door het plaatsen van bijvoorbeeld een verificatie bestand op de website.

Voor domain validated certificaten is er in principe geen menselijke interactie noodzakelijk waardoor deze dan ook zeer snel geleverd kunnen worden.

Met een domain validated certificaat zorg je voor encryptie van hetzelfde niveau als bij OV en EV. Echter door het ontbreken van extra validatiestappen weet de bezoeker niet met zekerheid met wie hij de veilige verbinding opgezet heeft.  In veel gevallen, zoals websites met een eenvoudig contactformulier, volstaat dit.

Organisation Validated (OV)

Zoals de naam aangeeft gaat het hierbij om certificaten waarbij een eigenaar (organisatie) van het certificaat geverifieerd word. De gegevens van de aanvrager van het certificaat worden grotendeels automatisch vergeleken met de inschrijving van de organisatie in een openbaar register.  In Nederland wordt hiervoor de Kamer van Koophandel gebruikt. Voorwaarde is dat ook de domeinnaam correct geregisterd is, dat wil zeggen met de NAW-gegevens zoals deze bij de KvK geregisterd staan. Ook wordt er een telefonische validatie gedaan op basis van het telefoonnummer dat bij de KvK geregistreerd staat.

Bij een OV certificaat kan de bezoeker, in tegenstelling tot DV, wel zien met wie hij de veilige verbinding heeft. Dit is dus een stuk betrouwbaarder en mag als minimale eis voor de overdracht van betalings- of persoonsgegevens gezien worden.  De meeste browser belonen dit met een groen slotje in de adresbalk.

De uitgifte van een OV certificaat duurt in de meeste gevallen een paar werkdagen. Bij de verlenging of de aanvraag van een extra certificaat gaat het vaak zelfs nog sneller.

Extended Validation (EV)

Deze uitgebreidste vorm van verificatie levert je naast het groene slotje zelfs een vermelding van je organisatienaam en land in de adresbalk van je browser op. Om zover te komen is het nodig dat de aanvraag in de telefonische validatie wordt goedgekeurd door een (op basis van de KvK) tekeningsbevoegd persoon.

Een EV certificaat geeft hierdoor nog meer vertrouwen. Ook worden de volledige adres gegevens van de organisatie opgenomen in het certificaat.

Voor het werken met bijzondere persoonsgegevens is een EV certificaat aan te raden. Vanuit commercieel oogpunt kan de extra zichtbaarheid van je organisatienaam ook de overweging waard zijn.

In het validatieproces is het meestal wel mogelijk om iemand anders te machtigen binnen je organisatie voor de lopende en toekomstige validaties. De uitgifte van een EV certificaat duurt in de meeste gevallen circa 5 werkdagen en is vooral afhankelijk van de beschikbaarheid van de tekeningsbevoegd persoon. Bij verlenging of aanvraag van een extra certificaat gaat het ook bij EV vaak wel sneller.

Certificaattype

Volgende stap is het bepalen van het type certificaat dat je nodig hebt. De keuze die je hier maakt heeft vooral met de technische inrichting te maken en bepaald ook de hoeveelheid certificaten je te beheren krijgt.

Standaard

Een standaard certificaat bevat (en is geldig voor) één domeinnaam. Dus bijvoorbeeld voor ‘uwbedrijfsnaam.nl’. Bij nagenoeg alle leveranciers wordt ook de domeinnaam incl. ‘www.’ standaard opgenomen in het certificaat. Voor de meeste situaties is dit dan ook de juiste (en voordeligste) keuze.

Wildcard

Een wildcard certificaat is aan te bevelen als u meerdere subdomeinen gebruikt. Dus bijvoorbeeld:

  • portaal.uwbedrijfsnaam.nl
  • www.uwbedrijfsnaam.nl
  • webmail.uwbedrijfsnaam.nl
  • vpn.uwbedrijfsnmaa.nl

Zolang als subdomeinen op hetzelfde niveau zitten kan dit met een certificaat voor ‘*.uwbedrijfsnaam.nl’ afgevangen worden.

Binnen de EV certificaten is een wildcard niet toegestaan omdat bij de validatie iedere afzonderlijke domeinnaam goedgekeurd moet worden.

Meerdere domeinen (SAN)

Met SAN certificaten is het mogelijk om meerdere domeinnamen in 1 certificaat te laten zetten. Dat biedt de mogelijkheid om (in tegenstelling tot een wildcard) domeinnamen uit verschillende niveaus te combineren:

  • klanten.portaal.uwbedrijfsnaam.nl
  • portaal.uwbedrijfsnaam.nl
  • www.uwbedrijfsnaam.nl

Als je kiest voor OV of EV dan is het zelfs mogelijk om helemaal afwijkende domeinnamen toe te voegen. Voorwaarde is dat deze domeinen dan wel eigendom zijn van hetzelfde bedrijf. Dit kan erg handig zijn als je werkt met specifieke domeinnamen voor acties of producten of als je in meerdere landen actief bent. Voorbeelden van namen die samen in een certificaat zouden kunnen:

  • www.uwbedrijfsnaam.nl
  • www.uwbedrijfsnaam.eu
  • www.product1.nl
  • www.werkenbijbedrijfsnaam.nl
  • portaal.uwbedrijfsnaam.nl
  • shop.uwbedrijfsnaam.com

Waar zitten de verschillen tussen de leveranciers?

Je zult je nu waarschijnlijk afvragen waar de prijsverschillen tussen de leveranciers (CA’s) vandaan komen. Ze leveren toch allemaal dezelfde, goed gespecificeerde, (8) producten?Prijzen EV Certificaten

Merk

Ook in de certificaten wereld zijn er net als in bijvoorbeeld de frisdrank industrie sterke en minder sterke merken.  En over smaak valt niet te twisten, dat geldt ook ook voor certificaten.

Gebruiksrechten

Sommige CA’s perken het gebruiksrecht van een certificaat in. Je mag het dan standaard bijvoorbeeld maar op 1 server gebruiken en moet voor iedere extra server waarop je het certificaat wil gebruiken een extra bedrag betalen.

Mutaties

Bij SAN certificaten moeten er vaak gedurende de looptijd domeinnamen toegevoegd of verwijderd worden.
Ook kan het soms nodig zijn om een certificaat opnieuw uit te laten geven als bijvoorbeeld de key geëxporteerd kan worden naar een nieuwe server of gelekt zou kunnen zijn.

Het uitvoeren van deze handelingen worden door de verschillende CA’s op andere manieren en tegen andere tarieven uitgevoerd.

Support

Bij OV, en helemaal bij EV certificaten, is er telefonisch contact met de validatie afdeling. Het is niet vanzelfsprekend dat deze goed Engels of zelfs Nederlands spreken. Zeker bij EV certificaten waarbij er contact opgenomen wordt met een tekeningsbevoegd persoon blijkt het stukken efficiënter en prettiger als de medewerker op de validatie afdeling Nederlandstalig is en/of bekend is met de bedrijfscultuur.

Garantie

De CA’s hanteren ook garanties. Dat is een vergoeding die uitbetaald wordt bij foutieve/frauduleuze uitgaves van certificaten. Dus een vergoeding waar je recht op hebt als ze hun validatie niet goed doen. In de praktijk komen uitkeringen hierop zeer zelden voor.

Andere certificaten

Naast de server/website certificaten zijn er nog 2 typen certificaten die steeds belangrijker worden.

(E-mail) handtekening

Certificaten voor e-mail handtekeningen worden afgegeven op een persoon en vormen een digitale ID waarmee je e-mails en documenten kunt ondertekenen. De handtekening op een e-mail of document blijft geldig zolang de inhoud niet wijzigt. Met deze digitale handtekening kun je dus vervalsing van documenten voorkomen.

Het is ook mogelijk om je bedrijfsnaam mee te nemen in het certificaat, dit wordt via de organisatie gecontroleerd . Je kunt dan dus ook aantonen dat je namens het bedrijf communiceert.  Voor afdelingen bestaat de mogelijkheid om een certificaat op naam van de afdeling van een bedrijf te verkrijgen.

Code signing

Als software ontwikkelaar is het belangrijk om je software tegen wijzigingen door derden te beschermen. Denk hierbij bijvoorbeeld aan hackers en virussen die zich in programma’s willen nestelen om vervolgens door de nietsvermoedende gebruiker gestart te worden.

Verschillende moderne besturingssystemen hebben hiervoor mechanismen ingebouwd die de digitale handtekening in een programma controleren. Net als bij e-mail handtekeningen kun je door het ondertekenen van een applicatie met een certificaat er voor zorgen dat niemand aan je programma’s kan rommelen. Het besturingssysteem van de eindgebruiker controleert bij iedere start van de applicatie of de digitale handtekening nog correct is en geeft anders een waarschuwing.

Bij de installatie van jou software krijgt de gebruiker een melding van het besturingssysteem of hij jou (op basis van de gegevens in het certificaat) vertrouwd.