Tips en Tricks

Voor optimaal gebruik van een SSL certificaat, is er meer nodig dan de aanschaf van een certificaat en de installatie ervan. Het komt vaak voor dat de installatie niet goed is uitgevoerd en dat de serverinstellingen niet optimaal zijn. Hierdoor blijft een website, en hiermee de uitgewisselde gegevens, kwetsbaar. Hieronder een aantal tips dat het gebruik van SSL een stuk veiliger maakt.

De private key

De private key is alleen bekend bij de eigenaar van het certificaat. In verkeerde handen kan hier misbruik van gemaakt worden - het ontsleutelen en afluisteren van dataverkeer. Zorg er dus voor dat de private key op een veilige plek wordt bewaard, maak een -wachtwoordbeveiligde- back-up en vernieuw de private key (en hiermee het certificaat) regelmatig.

Controleer de installatie van het certificaat

Met de SSLCheck controleer je gemakkelijk:

  • Of het certificaat, en het bovenliggende root- en intermediate certificaat, correct geinstalleerd zijn. De rootcertifcaten zorgen ervoor dat het certificaat vertrouwd wordt door browsers en applicaties.
  • De eigenschappen van het certificaat. De huidige norm is minimaal 2048 bit RSA, of als bezoekers geen verouderde browsers gebruiken, ECC. Het algoritme voor ondertekening moet SHA-2 zijn. Voldoet een certificaat niet aan deze vereisten? Via een gratis heruitgifte is dit aan te passen.

Protocollen

Zorg dat de server alleen de meest recente versies van het TLS Protocol ondersteunt. De protocollen waar SSL Certificaten hun naam aan ontlenen, SSL versie 1 en 2, zijn inmiddels onveilig. Zet SSLv2 en SSLv3 daarom uit in je server configuratie zodat alleen de nieuwere TLS protocollen gebruikt kunnen worden en je aanvallen zoals Poodle voorkomt.

Ciper Suites

Een SSL/TLS protocol kent verschillende cipher suites om een versleutelde verbinding op te zetten. Een cipher suite bepaalt hoe het verkeer tussen een server en een client wordt versleuteld en verwerkt. Een aantal van deze cipher suites zijn inmiddels zwak en onveilig bevonden. Het is daarom belangrijk om onveilige cipher suites op je server uit te schakelen.

Perfect Forward Secrecy

Naast de protocollen kun je instellen welke algoritmes er gebruikt mogen worden voor de communicatie met de browsers. Een van de dingen die een goed algoritme ondersteunt is Perfect Forward Secrecy (PFS). PFS zorgt ervoor dat de tijdelijke sessie key die wordt aangemaakt voor de communicatie tussen de browser en de server later niet meer te decoderen is met de private key. Dit betekent dat al het verkeer wat iemand nu zou afluisteren in de toekomst niet meer kan worden ontcijferd als iemand toegang krijgt tot de gebruikte private key.

Beveilig de hele website met SSL

Zorg ervoor dat de gehele website wordt beveiligd met SSL, niet alleen de pagina's waarop klanten gegevens achterlaten. Zo kunnen er tijdens het schakelen van onbeveiligde naar beveiligde pagina's binnen de website geen gegevens onderschept worden. Daarnaast voorkomt het browserwaarschuwingen. Google stimuleert het gebruik van SSL op de hele website door dit te belonen met een hogere ranking. Wees zorgvuldig met de configuratie om er zeker van te zijn dat de aanpassing niet ten koste van vindbaarheid en prestaties van de website gaan.

OCSP Stapling

Voor het controleren van de status van een certificaat worden CRL en OCSP gebruikt, hierbij wordt de status opgevraagd bij de CA. Je kunt je webserver deze statusinformatie ook zelf laten doorgeven. De webserver maakt dan contact met de OCSP servers en krijgt een digitaal ondertekend antwoord van de OCSP servers dat wordt gecachet. De webserver geeft dan bij het bezoeken van de website de OCSP informatie gelijk door aan de browser, waardoor deze zelf niet de informatie hoeft op te vragen. OCSP stapling maakt het laden van een website een stuk sneller.

Public Key pinning

Met public key pinning (HPKP) koppel je een specifiek certificaat (of uitgever) aan een specifieke website. Hierdoor kan de eigenaar van de website aangeven dat maar één specifiek certificaat voor de website vertrouwd mag worden, of dat alleen een certificaat uitgegeven door een bepaalde CA vertrouwd mag worden. Dit verkleint de kans op man-in-the-middle aanvallen aanzienlijk.

Veilige verbindingen forceren

Een stap verder dan zorgen dat de hele website via https:// bereikbaar is, is het gebruik van https:// afdwingen. Hiervoor zijn meerdere technieken, zoals het instellen van een redirect van http:// naar https://. Om te voorkomen dat een bezoeker alsnog omgeleid wordt naar een onbeveiligde pagina, kun je daarnaast HTTP Strict Transport Security aanzetten. Wanneer een bezoeker naar je beveiligde website is geweest ontvangt de browser de HTTP Strict Transport Security header en onthoudt vervolgens dat de website alleen via SSL bezocht mag worden.

Check het resultaat

Op https://www.ssllabs.com/ssltest/

Heb je nog geen SSL certificaat? Vraag deze dan eerst online aan.

Certificaat aanvragen

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.