SSL Certifcaten
Toegevoegd door cisws op 21 juni 2018.
Sinds begin 2017 toont Chrome een groene 'Secure' melding bij alle websites met een HTTPS verbinding. Onlangs is aangekondigd dat deze melding vanaf september 2018 niet meer getoond zal worden, omdat volgens Google de tijd rijp is voor 'HTTPS als standaard'. Alleen Extended Validation certificaten zullen dan nog een positieve indicator tonen. Vanaf juli dit jaar gaan ze bovendien bij álle onbeveiligde websites een 'not secure' melding tonen. Een flinke stimulans voor SSL in het algemeen dus, en vanaf september een extra boost voor EV certificaten!
Om te bevestigen dat de aanvrager mag handelen onder de naam van het bedrijf zal op verschillende manieren gekeken worden of dat correct is. Zo zal er getoetst worden of het opgegeven telefoonnummer bij het bedrijf hoort, of de WHOIS gegevens van een domeinnaam overeenkomen met de gegevens bekend bij de Kamer van Koophandel. Door deze controles zal het aanvragen van een OV certificaat enkele dagen kunnen duren.
Het aanvragen van een EV certificaat kan tot een week duren. Indien de aangeleverde gegevens niet correct zijn wordt het certificaat niet uitgegeven. Zo weten bezoekers 100% zeker dat ze te maken hebben met het juiste bedrijf.
Het niveau van beveiliging zit niet zozeer in de technische versleuteling van het internetverkeer maar meer in de controle wie het certificaat heeft uitgegeven. Zo zal het ons niet lukken om een EV certificaat aan te vragen voor WWW.ABNAMR0BANK.NL (merk de nul op in AMR0!)...
Maar wat zijn nu de verschillen in de SSL certificaten?
Domain Validation (DV)
Deze certificaten zijn de laagste vorm van beveiliging, doorgaans worden deze certificaten uitgegeven voor één of twee jaar. Hiermee kan je je domeinnaam beveiligen, maar ook het www- of een ander subdomein. De controle bestaat uit een bevestiging of de aanvrager het beheer over het domein heeft; dit zegt dus niets over de organisatie die achter de website zit. Deze certificaten zijn relatief goedkoop en snel aan te vragen.Organization Validation (DV)
Dit certificaat is het volgende niveau in de certificaatbeveiliging. Waarbij je bij Domein Validatie alleen kan bevestigen dat het domein van jou is waardoor je de verbinding tussen bezoeker en website kan beveiligen. Echter in dit certificaat worden de bedrijfsgegevens ook mee opgeslagen. Hiermee kunnen bezoekers in het certificaat nakijken wie de eigenaar van het domein is en of dit de partij is waarmee ze denken te communiceren.Om te bevestigen dat de aanvrager mag handelen onder de naam van het bedrijf zal op verschillende manieren gekeken worden of dat correct is. Zo zal er getoetst worden of het opgegeven telefoonnummer bij het bedrijf hoort, of de WHOIS gegevens van een domeinnaam overeenkomen met de gegevens bekend bij de Kamer van Koophandel. Door deze controles zal het aanvragen van een OV certificaat enkele dagen kunnen duren.
Extended Validation (EV)
De Extended Validation is de meest uitgebreide vorm van validatie. Alle bovenstaande onderdelen zullen gecontroleerd worden maar dit type certificaat laat ook de bedrijfsnaam en de landcode achter het groene slotje in de adresbalk zien. Bij de aanvraag van dit certificaat wordt van de aanvrager of de ICT-manager van het bedrijf verwacht dat hij/zij een vragenlijst invult. Een andere bescherming is dat zogenaamde risico-domeinnamen (domeinnamen die sterk lijken op een reeds bestaande domeinnaam van een bekend bedrijf) ook geen EV certificaat kunnen krijgen.Het aanvragen van een EV certificaat kan tot een week duren. Indien de aangeleverde gegevens niet correct zijn wordt het certificaat niet uitgegeven. Zo weten bezoekers 100% zeker dat ze te maken hebben met het juiste bedrijf.
Het niveau van beveiliging zit niet zozeer in de technische versleuteling van het internetverkeer maar meer in de controle wie het certificaat heeft uitgegeven. Zo zal het ons niet lukken om een EV certificaat aan te vragen voor WWW.ABNAMR0BANK.NL (merk de nul op in AMR0!)...