Beveilig webwinkel met een passend SSL certificaat

  • 22 september 2011
  • vicus

Na de consternatie over het kraken van de SSL-certificaten bij DigiNotar uitleg over de certificaten met praktische richtlijnen voor uw eigen situatie.

Veel webwinkeliers hebben in het verleden uit kostenoverweging gekozen voor een goedkoop (bv PositiveSSL) certificaat. Op zich is het niveau van encryptie net zo goed (256 bit keylengte), alleen is de administratieve beveiliging (controle van de uitgifte) veel minder. Daarom wordt voor webwinkels aangeraden zo spoedig mogelijk het Comodo EV certificaat te activeren.

De groene balk in de browser wordt steeds belangrijker

Eén van de belangrijkste eigenschappen van een Extended Validation SSL Certificaat is dat deze de adresbalk van de browser groen laat kleuren. Dit houdt in dat de identiteit van de eigenaar van de website, welke in het SSL Certificaat vermeld staat, is gevalideerd aan de hand van de zeer strenge Extended Validation richtlijnen.

Comodo PositiveSSL voor intranet

Voordelige certificaten waarbij alleen de domeinnaamhouder wordt gecontroleerd (Domein validatie). Door het ontbreken van bedrijfsgegevens eigenlijk net geschikt voor situaties waarbij gegevens veilig verzonden moeten worden maar waarbij de identiteit van de website minder belangrijk is. Voor CRM-systemen en andere interne toepassingen voor kleine organisaties is dit soms voldoende; toch raden we ook hier aan het zekere voor het onzekere te nemen en minstens een InstantSSL certificaat te kiezen.

Comodo InstantSSL, Comodo MobileSSL voor publieke websites

Bij certificaten met Organisatie Validatie worden alle bedrijfsgegevens zorgvuldig gecontroleerd, zodat deze in het certificaat kunnen worden opgenomen. Door de bedrijfsgegevens is het certificaat geschikt voor publieke websites. Houdt er rekening mee dat alleen de Mobile variant ook gebruikt kan worden op mobile devices zoals PDA’s en telefoons.

Comodo EV voor webwinkels

Uitgebreide Validatieprocedure volgens de strenge EV (Extended Validation) richtlijnen. Door de groene adresbalk stralen websites met een EV certificaat meer vertrouwen uit. Bij uitstek geschikt voor webwinkels.

©2011 Vicus

Positive SSL

Instant SSL

Mobile SSL

EV SSL

Bedrijfsgegevens

Geen bedrijfsgegevens in het certificaat

Bedrijfsgegevens in het certificaat

Bedrijfsgegevens in het certificaat

in de adresbalk

Acceptabel voor

Intranet beperkte groep

Intranet, website zonder beveiligde uitstraling

Intranet, website zonder beveiligde uitstraling, mobiel

Websites en webwinkels waarbij betrouwbare uitstraling van belang is

Technisch beveiligingsniveau

256 bits

256 bits

256 bits

256 bits

Garantie

Beperkt

Enige bescherming van eindgebruiker

Enige bescherming van eindgebruiker

Hoge bescherming van eindgebruikers

Groene adresbalk

Geen groene adresbalk

Geen groene adresbalk

Geen groene adresbalk

Ja voor extra vertrouwen

Levertijd (exclusief installatie)

Circa 1 dag

Circa 1 dag

Circa 1 dag

2-6 dagen – Lang door strengere validatieprocedure

Trustlogo

Om aan uw gebruikers aan te geven dat uw website door middel van een SSL certificaat is beveiligd, kunt u vanaf het InstantSSL certificaat een pop-up venster laten zien om aan te geven dat de identiteit van uw website tot een bepaald bedrag is gegarandeerd.

Wat zijn SSL certificaten?

Voor het beveiligen van websites en transacties op internet is het Secure Sockets Layer protocol de standaard. Dit SSL protocol maakt gebruik van certificaten om de verstuurde data te beveiligen en de identiteit van de eigenaar van het certificaat te garanderen. Door het gebruik van een SSL certificaat op een website kan een bezoeker er zeker van zijn dat zijn gegevens veilig via https worden verzonden en kan hij eenvoudig de eigenaar van de website controleren.

Naar aanleiding van de kraak bij DigiNotar

Naar aanleiding van het DigiNotar incident, waarbij een hacker geslaagd is in het uitgeven van een aantal valse certificaten, zijn de SSL certificaten momenteel volop in het nieuws. Wij krijgen hierover veel vragen waarvan we in dit bericht de meest gestelde vragen willen beantwoorden. Volgens recente nieuwsberichten bleek DigiNotar sleutels (private keys) van klanten te bewaren. Bewaart Vicus deze sleutels ook? Ja, een certificaat vragen wij altijd aan op basis van de CSR (Certificate Signing Request). Wij versturen echter nooit de private keys van klanten. De private key hoort onze servers nooit te verlaten. Een SSL certificaat welke wordt aangemaakt is de zogenaamde publieke sleutel. Deze certificaten of publieke sleutels bewaren wij ook, maar dit vormt geen enkel risico. Publieke sleutels zijn door iedere bezoeker van een website in te zien en is er voor gemaakt om publiek beschikbaar te zijn.

  • Private Key – Sleutel welke nooit onze server dient te verlaten;
  • Public Key – Het SSL certificaat zelf welke door iedereen wordt opgevraagd.;
  • Certificate Signing Request (CSR) – De ongetekende Public Key, bestand waarmee door Vicus een certificaat wordt aangevraagd bij de certificaat uitgever.

Indien de private keys van uw organisatie ooit in handen komen van derden, dan zullen wij per direct nieuwe private keys genereren en hiervoor nieuwe certificaten aanvragen. Er bleken grote hiaten te zijn in de beveiliging van DigiNotar. Heeft Vicus haar beveiliging op orde? Vicus neemt haar beveiliging zeer serieus, en doet er al jaren alles aan om haar systemen optimaal te beveiligen. De certificaten worden echter niet door ons uitgegeven, Vicus is zelf geen CA maar is intermediair. Vicus maakt gebruik van externe leveranciers / CA’s om de certificaten te genereren. Beweren dat ons systeem en dat van onze leveranciers veilig is, is natuurlijk makkelijk en we beseffen dat het voor u als klant lastig is om deze beveiliging te controleren. Om een antwoord te geven op specifieke vragen die we gesteld krijgen, en een indicatie te geven van beveiligingsmaatregelen die wij al jaren hanteren, een kort overzicht van een deel van onze maatregelen:

  • Alle servers van Vicus maken gebruik van Linux en zijn up-to-date;
  • Alle servers zijn geplaatst in een beveiligd en professioneel datacentrum;
  • Alle servers en werkstations zijn voorzien van een up-to-date virusscanner;
  • De door onze medewerkers gebruikte backend is alleen bereikbaar door middel van een SSL verbinding (tenzij u zelf FTP heeft aangevraagd)

In het rapport van Fox-IT wordt een hack bij Comodo aangehaald. Is Comodo wel veilig? Er zijn grote verschillen tussen de hack bij DigiNotar en de problemen die Comodo eerder dit jaar had. Allereerst is Comodo zelf als CA nooit gehacked, maar werd een Italiaanse partner van Comodo gehacked. Via deze partner werden de certificaten aangevraagd bij Comodo; de fout van Comodo was dat deze de partner dermate vertrouwde dat de certificaten direct werden aangemaakt en uitgegeven.

Comodo heeft vervolgens vrijwel direct geconstateerd dat er iets fout ging, wist exact welke certificaten onterecht waren uitgegeven en heeft deze vrijwel direct ingetrokken. Comodo heeft hierna op haar eigen initiatief en binnen enkele uren nadat de certificaten waren uitgegeven met Mozilla, Microsoft en andere browser fabrikanten contact opgenomen om samen met deze fabrikanten de certificaten in de browsers te blokkeren. Comodo heeft hierna uiteraard nog extra maatregelen genomen en het vertrouwen in haar partners sterk beperkt en procedures sterk aangescherpt. Zo is naar aanleiding hiervan automatisch domeinvalidatie voor alle bestellingen ingevoerd.

Bij DigiNotar was de situatie geheel anders; DigiNotar is zelf gehacked en heeft deze hack volledig verzwegen in een poging om hier mee weg te komen. Bij DigiNotar was de situatie verre van onder controle, zoals het rapport van Fox-IT ook laat zien. Het is helaas ook mogelijk dat er bij andere CA’s certificaten verkeerd zijn uitgegeven, maar dat deze CA’s met het verzwijgen hiervan wel succesvol zijn weggekomen. Comodo heeft in onze ogen dus juist uitstekend gehandeld en het enige juiste gedaan.

Wij zien Comodo hierdoor juist als een betrouwbare partner, het is een bedrijf dat bewezen heeft om eerlijk voor zijn fouten uit te komen. Helaas worden fouten nu eenmaal gemaakt, ook in de SSL industrie. Mijn website is dus veilig met de certificaten van Comodo? Een SSL Certificaat is slechts een onderdeel van de beveiliging van uw website. Een SSL certificaat zorgt er bij goed gebruik voor dat de verbinding tussen de browser en de webserver is versleuteld zodat deze niet kan worden afgeluisterd, maar een goede beveiliging gaat veel verder dan dat. Voor een goede beveiliging dient de server te worden beveiligd en van de laatste updates te worden voorzien.

Het is vooral belangrijk dat de gebruikte software compleet veilig is. Gebruik altijd de laatste versies van uw software en informeer bij uw software leverancier hoe u uw website zo goed mogelijk kunt beveiligen. Geavanceerde aanvallen op websites nemen in een snel tempo toe, het is voor de beveiliging van uw website of webwinkel noodzakelijk om volledig bij te blijven.