Websites met SSL beveiligen: ja, maar met beleid

Waarom zou je als dienst een publiek gedeelte van een site met SSL beveiligen? Er vindt geen uitwisseling plaats van persoonlijke gegevens tussen browser en server.

Een reden die niet alleen door de auteur over het hoofd gezien wordt: het gebruik van TLS is niet enkel vanwege privacy overwegingen wenselijk. Het gebruik van een geldig certificaat en HTTPS bevestigt de tevens authenticiteit van de bron en garandeert die integriteit van de gepubliceerde informatie i.e. die pagina met informatie over de verschuldige belasting tarieven of geldige aftrekposten is ook de daadwerkelijk informatie gepubliceerd door de belastingdienst.

Zonder HTTPS encryptie is het technisch trivial om content live aan te passen.

Ik hoef niet eens direct van echt kwade opzet uit te gaan: een scenario waar de aanbieder van "gratis WiFi" die dit kosten-dekkend wil maken door advertenties aan elke opgevraagde pagina toe te voegen is niet ondenkbaar. Een banner en link naar concurrent Bol toegevoegd op elke pagina van Wehkamp lijkt grappig, maar vergelijkbaar een advertentie en dus een impliciete aanbeveling voor een commercieel pakket op belastingdienst.nl/Downloads is verre van gewenst voor een dergelijke overheidsdienst.

Dat is een risico dat je ook op een site met algemene publieke informative af kunt dekken door gebruik te maken van HTTPS en zelfs het goedkoopste certificaat. De extra CPU load op de webserver is verwaarloosbaar en samen met de marge op het certificaat zie ik voor veel hosters een mooie mogelijkheid om extra toegevoegde waarde te bieden.

Hoi Jeroen,

Om te beginnen ben ik het er mee eens dat de kritiek op de overheidssites en webshops niet helemaal terecht is: de https:// verbinding zorgt ervoor dat de gegevens die bezoekers achterlaten versleuteld worden verzonden. Op pagina's waar bezoekers geen gegevensachterlaten, is dat dus geen must. Dit is ook geheel volgens de regels zoals die bijvoorbeeld voor webshops gelden (WBP).

Wat betreft het adviseren van klanten heb ik nog wat aanvullingen:

Zodra een certificaat bedrijfsgegevens bevat zorgt het (zoals Herman al aangaf) naast de versleuteling van gegevens voor een identiteitsgarantie. Deze garantie is het sterkst bij EV certificaten die de eigenaar van een site direct in de adresbalk tonen. Dit kan voor webshops omzetverhogend werken maar bijvoorbeeld ook voor overheidswebsites de betrouwbare uitstraling verhogen (Niet voor niets geeft de overheid zelf alleen SSL certificaten inclusief bedrijfsgegevens uit). Overigens is een EV certificaat wel iets goedkoper dan de genoemde € 1.000, nl. vanaf ca. € 100 per jaar.

Daarnaast is het zowel qua beveiliging als uit commercieel oogpunt tegenwoordig zonde het certificaat niet op alle pagina's te gebruiken. De extra laadtijd die het oplevert weegt niet op tegen de voordelen zoals het niet meer hoeven schakelen tussen beveiligde en onbeveiligde pagina's en het feit dat Google https sites beloont met een hogere positie in de zoekresultaten. Klanten op kosten jagen is hiervoor niet nodig, een eenvoudig domein gevalideerd a € 9 per jaar is hiervoor al voldoende. Wel is het zaak dit zorgvuldig in te stellen, meer hierover: https://www.sslcertificaten.nl/knowledgebase/FAQ/Beveilig_de_hele_website_met_SSL_-_waar_moet_je_op_letten

Nuance is natuurlijk altijd mooi ! :-)

Nog een aantal extra punten om mee te nemen in de discussie over SSL / HTTPS:

De meeste klanten kiezen niet voor een certificaat omdat het verplicht is (zie CBP richtsnoer), maar omdat Google vindt dat deze websites hoger moeten scoren. Bovendien zou het vertrouwen wekken bij de klant en dus tot hogere conversie leiden. Het is dus een commerciële afweging en niet echt een principiële.
zie http://googlewebmastercentral.blogspot.nl/2014/08/https-as-ranking-signal.html

Daarnaast zien we in de praktijk ook veel verkeerd geïnstalleerde certificaten. Denk aan SHA-1 of incomplete chains. Maar ook verouderde technieken zoals SSLv3. In dat geval creëer je een schijnveiligheid of maak je het zelfs erger (denk aan browserfouten).

Ik denk dat de kosten van een SSL certificaat beperkt zijn (en anders moet je heel even shoppen). Er zit een duidelijke meerwaarde in om verkeer tussen client en server te beveiligen. Dat maakt misbruik minder eenvoudig en verhoogt de betrouwbaarheid.

Het enige grote (kosten-)issue is dat nu nog voor oude Windows versies extra ip-adressen nodig zijn. Als dat marktaandeel afneemt, zullen de kosten nog lager worden omdat er geen dedicated ip-adres meer nodig is.

Mijn advies is om als het enigszins mogelijk is er gewoon een certificaat op te zetten.

Waarom zouden alleen requests waar gebruikers gegevens achterlaten versleuteld moeten zijn? Het is ook niet wenselijk dat je browsegedrag op publieke sites af te luisteren is.

Ik denk dat de conclusie is dat het niet uitmaakt of je een SSL certificaat neemt voor de encryptie, de authenticatie, de wetgeving of gewoon commerciële overwegingen. Een SSL certificaat is altijd beter dan geen SSL certificaat. En voor de kosten hoef je het niet te laten.

Ik denk dat de enige overweging die je hoeft te maken is of je in plaats van een simpel certificaat zoals een DV certificaat beter voor een OV of EV certificaat kan kiezen voor redenen die voor jou of je klanten van belang zijn.

Wat heel veel webshops helaas ook fout duren is dat ze het inloggen en invoeren van adres- en betaalgegevens wel netjes via HTTPS doen naar daarna vrolijk weer terug switchen naar HTTP.... maar ik blijf wel ingelogd?!? Hoe? Juist, door middel van cookies. En via HTTP worden die in clear-text verstuurd en loopt de klant het risico op session hijacking. Mijn advies is al jaren: HTTPS everywhere (and always), de overhead is nihil en de kosten nagenoeg ook.