SSL certificaat op websites voor makelaars

SSL voor makelaars

SSL certificaat op websites voor makelaars

14:57 20 februari in Housenet, Wazzup

Het verschil tussen http://www.makelaardij.nl en https://www.makelaardij.nl is slechts één letter. Maar grote namen als Google, Apple en Microsoft zetten zich enorm in voor die ene extra letter. Het gebruik van een SSL certificaat, waardoor jouw website te bereiken is via HTTPS in plaats van HTTP, wordt zelfs gezien als de nieuwe standaard. Maar wat is eigenlijk het echte verschil tussen HTTP en HTTPS? En waarom is het belangrijk dat jouw site een SSL certificaat heeft? In deze blog over een SSL certificaat op websites voor makelaars zal ik op beide vragen een antwoord geven.

Figuur 1 Een website zonder SSL certificaat.

Figuur 2 Een website mét SSL certificaat.

Een stukje geschiedenis

Al sinds dat het internet populair begon te worden, zo halfweg de jaren 90 van de vorige eeuw, worden gegevens tussen servers en computers verstuurd via berichten. En die berichten worden over het internet verstuurd volgens een door techneuten verzonnen protocol: het HyperText Transfer Protocol of HTTP. Nu weet je dus waar die “http” uit http://www.makelaardij.nl vandaan komt!

Met HTTP worden berichten, als in “ik wil de webpagina over nieuws” en “hierbij de pagina over het nieuws”, gewoon als leesbare tekst over het internet verstuurd. En dat was heel lang geleden geen enkel probleem; er werden immers alleen maar webpagina’s verstuurd die al openbaar waren. En iedereen mocht die lezen; dat was juist het doel!

Tegenwoordig is dat anders: we gebruiken het internet niet alleen om interessante artikelen te lezen, maar ook om nieuwe schoenen te bestellen, een bezichtiging aan te vragen, of onze bankzaken te regelen. En dan geeft het geen veilig gevoel als je weet dat de door jou netjes ingetypte gegevens, zoals naam, adres en bankgegevens, gewoon als leesbare tekst over het internet zweven. Dus liever niet: “ik wil de webpagina over nieuws, mijn gebruikersnaam is ‘jan’ en wachtwoord ‘123’” of “ik wil graag nieuwe schoenen, mijn creditcard nummer is 123.456.789”.  Vandaar dat er een behoefte ontstond aan een betere versie van HTTP; een veilige uitbreiding: HyperText Transfer Protocol Secure of HTTPS.

(Onderaan de pagina staat hoe je een SSL certificaat op je Housenet website kan laten activeren).

Hoe werkt het?

Met HTTPS worden de gegevens tussen servers en computers versleuteld. Dit gebeurt met publieke en geheime software sleutels. Als gegevens worden versleuteld met een publieke sleutel dan zijn deze gegevens alleen te ontsleutelen met de geheime sleutel. Hoe de computer en de server omgaan met de sleutels wordt in het kader “Het HTTPS berichtenverkeer tussen computer en server” verder uitgelegd.

Het HTTPS berichtenverkeer tussen computer en server
De volgende stappen worden doorlopen als je met je browser op jouw computer een website op een server met https:// bezoekt:

  1. Jouw browser vraagt aan de server om een beveiligde verbinding.
  2. De server antwoord door zijn publieke sleutel, het SSL certificaat, terug te sturen.
  3. De browser controleert of het ontvangen SSL certificaat geldig is.
  4. De browser maakt vervolgens een geheime code aan en versleutelt deze met de publieke sleutel van de server.
  5. De server ontvangt het bericht en kan deze met zijn geheime sleutel ontsleutelen.

Nu weten zowel de browser als de server wat de geheime code is en deze geheime code wordt vervolgens gebruikt om alle gegevens die tussen server en browser worden verstuurt te versleutelen.

Het SSL certificaat

Een belangrijk onderdeel van een beveiligde HTTPS verbinding is het SSL certificaat. Alleen met een geldig SSL certificaat worden de berichten versleuteld en zal de browser dit bevestigen met een groen hangslot en de website markeren als “veilig”.

Een SSL certificaat wordt uitgereikt door een geautoriseerde authoriteit (CA of “Certificate Authority”) en wordt geïnstalleerd op de servers van de website.

Er zijn verschillende typen SSL certificaten en de prijs varieert van gratis tot bijna € 1.000,- per jaar. Het enorme prijsverschil zit in de garantie die de CA geeft bij het uitgereikte certificaat. Bij het ene certificaat wordt enkel gegarandeerd dat de domeinnaam die in het certificaat staat hoort bij de servers waar de website op draaien. Bij het meest uitgebreide certificaat garandeert de CA ook dat de persoons- en bedrijfsgegevens die in het certificaat staan correct zijn.

Voor de versleuteling van de gegevens of SEO (zie hieronder) maakt het echter niets uit of het meest simpele of het meest uitgebreide certificaat wordt gebruikt.

(Onderaan de pagina staat hoe je een SSL certificaat op je Housenet website kan laten activeren).

Een veilig internet

Grote bedrijven als Google, Apple en Microsoft maken zich hard voor een veilig internet en stimuleren het gebruik van SSL. Ze weten natuurlijk dat het internet in de toekomst geen bestaansrecht meer heeft als de gebruikers het internet niet meer vertrouwen; als (persoons-)gegevens zomaar op straat komen te liggen of door iedereen zijn in te zien.

Maar hoe stimuleert een partij als Google het gebruik van SSL? Ze kunnen het gebruik van SSL niet afdwingen. Maar wat nu als Google jouw website met SSL nu eens beter en vaker laat zien in de zoekresultaten van Google? Beter dan websites zonder SSL? Of bezoekers van een website zonder SSL gaat waarschuwen dat de website toch echt niet te vertrouwen is? Dan wil je wel, toch?

Google: “All (online) communication should be secured by default”.

Stimulans 1: HTTPS en SEO

Al in 2014 heeft Google aangekondigd dat ze websites met een SSL certificaat een klein beetje vaker en hoger zouden tonen in de zoekresultaten dan websites zonder SSL. Ondanks deze stimulans zijn er in de jaren daarna slechts weinig websites standaard SSL gaan gebruiken. Dit had dan vooral te maken met de hoge kosten van het certificaat, de kosten van de implementatie en de beperkingen in de techniek die er toen nog waren. Maar dit is inmiddels geschiedenis.

Stimulans 2: HTTP is onveilig!

Google heeft op 25 januari 2017 een nieuwe versie uitgerold van haar internet browser Chrome. In de nieuwe versie (Chrome 56) van deze populaire browser krijgen websites zonder een SSL certificaat (dus die benaderd worden via http://) de stempel ‘onveilig’ op het moment dat de website om bijvoorbeeld inloggegevens vraagt.

Figuur 3 Chrome bestempelt de website als ‘onveilig’ als de website geen SSL certificaat heeft.

Ook andere browsers, zoals de nieuwe versie van Firefox van Mozilla, tonen sinds kort een waarschuwing:

Figuur 4 Ook Firefox geeft een waarschuwing (hangslot met een rode streep) bij websites zonder certificaat.

En Google heeft aangekondigd de waarschuwing in de toekomst nóg opzichtiger te maken en straks altijd te tonen bij websites zonder een SSL certificaat:

Figuur 5 Toekomstige waarschuwing in Chrome.

Is er wel een SSL certificaat geïnstalleerd dan tonen beide browsers een welverdiend groen hangslot en de melding ‘veilig’!

Waarom niet?

Gegevens worden versleuteld, de website scoort beter in Google én je krijgt een mooi groen hangslot. Waarom hebben dan niet alle websites een SSL certificaat?

In het verleden waren er tal van redenen om toch maar af te zien van een SSL certificaat op je website. Zo was het bijna onmogelijk om altijd een groen slotje te halen vanwege ‘Mixed Content’ (zie kader ‘Mixed content’), bijvoorbeeld omdat jouw leveranciers (van bijvoorbeeld 360 graden foto’s) geen HTTPS ondersteuning hadden. Daarnaast zijn er extra zware servers nodig voor jouw website, omdat voor het versleutelen en ontsleutelen van alle berichten extra rekenkracht nodig is. Ook moest er voor elk SSL certificaat een eigen IP adres gereserveerd te worden (en die raken op) en konden oude browsers niet goed om gaan met SSL certificaten.

Maar tijden veranderen. Servers worden krachtiger en technieken worden beter en goedkoper. Tegenwoordig gebruiken de belangrijkste leveranciers allemaal HTTPS, dus Mixed Content is te voorkomen. En voor een SSL certificaat is geen uniek IP adres meer nodig. Alle moderne browsers, die tegenwoordig automatisch geupdate worden, ondersteunen SSL. Er is dus geen reden meer om het installeren van een SSL certificaat uit te stellen.

(Onderaan de pagina staat hoe je een SSL certificaat op je Housenet website kan laten activeren).

Mixed content
Er bestaat een situatie waarbij de website een SSL certificaat heeft maar er toch geen groen hangslot wordt getoond. Dit gebeurt wanneer de website gebruik maakt van afbeeldingen, filmpjes en/of scripts die van servers afkomen die niet met SSL zijn beveiligd. Hierdoor worden sommige gegevens dus wel netjes versleuteld, maar andere gegevens weer niet. Dit wordt ‘Mixed Content’ genoemd. En bij ‘Mixed Content’ toont de browser geen groen hangslot, maar een waarschuwing.

Mixed Content waarschuwingen worden bijvoorbeeld getoond als je bij een pand een virtuele tour plaatst met een link die begint met HTTP en niet met HTTPS. Let hier dus op bij het toevoegen van de link bij het pand!

Alle professionele leveranciers leveren overigens altijd standaard de HTTPS link aan.

Iedere website SSL!

Het verschil tussen HTTP en HTTPS is duidelijk: alleen bij HTTPS worden de berichten tussen computer en server versleuteld over het internet verzonden en zijn dus niet te lezen door hackers. Dit versleutelen gaat met software sleutels op basis van een SSL certificaat. Dit certificaat wordt geïnstalleerd op de servers van de website.

Net als de meeste internet gebruikers vinden grote bedrijven het belangrijk dat het internet veilig is en stimuleren het gebruik van SSL. Google doet dit bijvoorbeeld door websites met een SSL certificaat beter en hoger te tonen in de zoekresultaten. Daarnaast waarschuwen moderne browsers de bezoeker als de website niet met een SSL certificaat is beveiligd.

In het verleden stond de techniek, Mixed Content en de hoge kosten het gebruik van een SSL certificaat in de weg. Tijden veranderen en anno 2017 is er dan ook geen enkele reden meer om een SSL certificaat achterwege te laten.

Vanaf 2017 begint een website dus standaard met https!

Housenet
Vanaf 1 februari 2017 kan iedere eigenaar van een Housenet website SSL op zijn site laten activeren. De kosten hiervoor bedragen éénmalig €119 excl. BTW. Er zijn geen maandelijkse of jaarlijkse kosten.

Door SSL te activeren wordt er een domein gevalideerd SSL certificaat geïnstalleerd op jouw website. Dit SSL certificaat wordt telkens automatisch vernieuwd en verloopt hierdoor nooit. We lopen jouw website handmatig na op Mixed Content en stellen de website zo in dat alle webpagina’s voortaan beginnen met https://. Uiteraard zorgen we er ook voor dat alle oude pagina’s omgeleid worden naar de nieuwe, met SSL beveiligde pagina’s.

Vul het onderstaande bestelformulier in om SSL op jouw website te laten activeren!

  • SSL op je Housenet website laten activeren

  • This field is for validation purposes and should be left unchanged.

Ing. Ronald Evers
CTO Wazzup software (ronald@wazzupsoftware.com

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone