Wat zijn de voordelen van de verschillende soorten SSL-certificaten?

Waar je een paar jaar geleden SSL-certificaten vooral tegenkwam bij grote webshops en andere belangrijke online-spelers, wil tegenwoordig iedereen met een website er wel een. Waarom is het koppelen van een SSL-certificaat aan je website zo belangrijk, en wat zijn de verschillen tussen de certificaten?

Een SSL-certificaat helpt je bezoekers een veilige en betrouwbare omgeving te bieden wanneer ze je website bezoeken. Dit gebeurt aan de hand van twee functies:

1. Een SSL-certificaat zorgt ten eerste voor de versleuteling van (inlog)gegevens en betalingsverkeer die heen en weer gaan tussen de browser van je websitebezoekers en je website.
2. Daarnaast worden er bij het aanvragen van een SSL-certificaat twee soorten controles uitgevoerd:
   • De controle dat de aanvrager van een SSL-certificaat daadwerkelijk de rechtmatige eigenaar is van de te beveiligen domeinnaam (domeincontrole).
   • De controle dat de organisatie achter de domeinnaam daadwerkelijk bestaat en legitiem is (identiteitscontrole)

Let op: enkel het hebben van een SSL-certificaat zorgt er niet automatisch voor dat je website volledig veilig en betrouwbaar is. Je zal ook moeten letten op het implementeren van veilige code, scripts of (WordPress-)plug-ins en het regelmatig updaten hiervan. Als je website bijvoorbeeld op versie 5.6 of 7.0 van PHP draait, is het nu tijd om over te stappen naar de veiligere versie 7.2.

Drie belangrijke voordelen van SSL

De voordelen van een SSL-certificaat reiken anno 2018 verder dan alleen het bieden van een veilige en betrouwbare omgeving voor je websitebezoekers. Kijk maar eens naar de volgende punten.

1. Browserwaarschuwingen voor websites zonder SSL-certificaat

SSL is een hot topic! Bedrijven als Google en Mozilla hebben de afgelopen jaren enorm veel energie gestoken in het informeren van het publiek over het belang van SSL-certificaten en online-veiligheid. Zo tonen de browsers Google Chrome en Firefox waarschuwingen zodra gebruikers op een website zonder SSL-certificaat belanden. Om je website in deze browsers betrouwbaar over te laten komen, is er geen ontkomen aan het instellen van een SSL-certificaat.

Vanaf oktober zelfs rode tekst bij invoervelden in Google Chrome.

2. Algemene verordening gegevensbescherming (AVG/GDPR)

Zodra je persoonsgegevens verzamelt op je website, is de nieuwe privacywetgeving AVG automatisch van toepassing op jou. Dit is al snel het geval: het hebben van formulieren of het plaatsten van cookies is een sterke aanwijzing dat er persoonsgegevens je kant op zullen komen. De AVG bepaalt dat je zorgvuldig moet omgaan met deze persoonsgegevens. Dit houdt onder andere in dat je website op grond van deze wetgeving moet beschikken over een SSL-certificaat.

3. Hogere positie in Google

Een SSL-certificaat levert je ten slotte ook nog eens hogere posities in de Google-zoekresultaten op. Google plaatst de kanttekening dat het hebben van een SSL-certificaat vooralsnog een kleine rol speelt in de vraag of je een hogere positie verdient, maar alle kleine beetjes helpen. Er wordt overigens niet uitgesloten dat SSL-certificaten in de toekomst een belangrijkere rankingfactor kunnen worden.

SSL-certificaten bij TransIP: Comodo en Let’s Encrypt

TransIP werkt samen met twee certificaatautoriteiten (CA’s) die SSL-certificaten afgeven: Comodo en Let’s Encrypt. Comodo is een populaire CA die in zijn 20-jarige bestaan een betrouwbare reputatie heeft opgebouwd. Net als de meeste CA’s levert het zijn SSL-certificaten tegen betaling. Bekijk hieronder de verschillende Comodo-pakketten die beschikbaar zijn. Deze worden in de loop van het artikel verder uitgelegd.

Drie verschillende SSL-certificaten van Comodo.

Let’s Encrypt is een jongere CA die het sinds zijn start in april 2016 wat anders aanpakt: zijn SSL-certificaten zijn helemaal gratis. In plaats van inkomsten te genereren uit het verlenen van certificaten, gebeurt dit aan de hand van grote sponsorcontracten en donaties.

Als het op het versleutelen van gegevens aankomt, is er geen reden om een gratis SSL-certificaat van Let’s Encrypt links te laten liggen. Zowel Let’s Encrypt als Comodo versleutelen websiteverkeer even goed.

Ook maakt het voor de hiervoor besproken voordelen voorlopig niet uit of je voor een SSL-certificaat van Comodo of Let’s Encrypt kiest. Beide certificaten zorgen ervoor dat je bezoekers geen browserwaarschuwingen zien, je voldoet aan de privacywetgeving en kans maakt op een hogere Google-positie.

Toch zijn er ook enkele belangrijke verschillen tussen Comodo en Let’s Encrypt.

Verschillende soorten validatie

Zoals hierboven besproken, worden er bij het aanvragen van een SSL-certificaat meerdere controles uitgevoerd. Dit gebeurt via TransIP op twee verschillende manieren.

Domain Validation (DV)

Dit is de lichtste vorm van validatie. Een CA controleert via domeingegevens of je als aanvrager van een SSL-certificaat de echte eigenaar van de te beveiligen domeinnaam bent. Dit gebeurt bijvoorbeeld via het sturen van een verificatiemailtje naar het e-mailadres dat in de Whois-database staat of het aanmaken van een DNS-record (dit doet TransIP automatisch voor je).

Deze vorm van validatie vindt plaats bij het aanvragen van een SSL-certificaat via Let’s Encrypt en via de twee goedkoopste Comodo-pakketten van € 15,- en € 75,- per jaar. Het prijsverschil tussen deze twee pakketten zit hem in de mogelijkheid om een domeinnaam én subdomeinen te koppelen aan één SSL-certificaat (ook wel een wildcard-certificaat genoemd).

Extended Validation (EV)

Comodo biedt in tegenstelling tot Let’s Encrypt ook een uitgebreide validatie aan. Deze validatievorm controleert niet alleen of je de eigenaar bent van een domeinnaam, maar ook de identiteit van de organisatie achter die domeinnaam. Naast een kijkje in de Whois-database worden er dubbelchecks uitgevoerd met bijvoorbeeld de gegevens uit de Kamer van Koophandel. De verantwoordelijke van een website telefonisch benaderen, hoort ook bij het proces. Bekijk deze lijst van Comodo voor een overzicht van alle controlestappen. De extra controles brengen wel mee dat de aanvraag van een EV-certificaat meerdere dagen in beslag neemt.

Voor de uitgebreide validatie kan je terecht bij het grootste pakket van Comodo dat € 129,- per jaar kost. Het is aan jou om te beslissen of je de uitgebreide validatie nodig hebt. Het heeft bijvoorbeeld een toegevoegde waarde wanneer je producten of diensten verkoopt via je website en extra vertrouwen wilt uitstralen. Dankzij de uitgebreide validatie garandeer je jouw bezoekers in ieder geval met volle overtuiging dat ze te maken hebben met een partij waarvan de identiteit gecontroleerd is.

Andere verschillen tussen Comodo en Let’s Encrypt

Naast het feit dat er via Comodo een uitgebreidere validatie mogelijk is, bestaan er nog enkele andere verschillen die voor jou relevant kunnen zijn.

Meer dan alleen een slotje naast je domeinnaam

Elk SSL-certificaat zorgt ervoor dat er een slotje naast je domeinnaam verschijnt om aan je websitebezoekers te laten zien dat je gebruikmaakt van een versleutelde verbinding. Bij een EV-certificaat van Comodo wordt in tegenstelling tot DV-certificaten dit slotje in veel browsers visueel aantrekkelijker gemaakt. Zo wordt naast het slotje ook vaak de officiële naam van je organisatie genoemd om de legitimiteit van je website richting je bezoekers nog eens extra te benadrukken. Daarnaast maken sommige browsers een gedeelte van de adresbalk groen om beter de aandacht te trekken. Hou er wel rekening mee dat in mobiele browsers dit visuele verschil tussen EV- en DV-certificaten minder merkbaar is.

Een EV-certificaat van Comodo. (Design verschilt per browser)

Een DV-certificaat van bijvoorbeeld Let’s Encrypt. (Design verschilt per browser)

Eén SSL-certificaat voor meerdere subdomeinen

Het Comodo-pakket van € 75,- maakt het mogelijk om één SSL-certificaat voor meerdere subdomeinen aan te vragen. Handig in het geval je naast www.jouwsite.nl ook nog een subdomein hebt voor je blog op blog.jouwsite.nl. Bij TransIP is dit nog niet mogelijk met een Let’s Encrypt-certificaat.

Een SSL-certificaat van Comodo is langer geldig

Betaalde SSL-certificaten van Comodo zijn een jaar geldig terwijl de termijn voor Let’s Encrypt 90 dagen bedraagt. Aangezien we bij TransIP automatisch je Let’s Encrypt-certificaat verlengen, is dit verschil voor de meeste mensen verwaarloosbaar. Als je echter gebruikmaakt van externe nameservers, zal een automatische verlenging niet slagen en is er elke 90 dagen werk aan de winkel om je Let’s Encrypt-certificaat succesvol te verlengen. Een jaarlijkse handmatige verlenging van een Comodo-certificaat kan in deze situatie wat meer ademruimte bieden.

Compatibiliteit met oudere browsers

Aangezien Let’s Encrypt een nog relatief jonge CA is, bestempelen sommige oudere browsers zijn certificaten onterecht als onbetrouwbaar. Dit heeft Let’s Encrypt weten te omzeilen door de hulp in te roepen van de veel oudere CA IdenTrust en Let’s Encrypt-certificaten te laten ‘cross-signen’ door deze partij. Een browser die Let’s Encrypt niet kent, maar IdenTrust wel, vertrouwt dan toch indirect Let’s Encrypt-certificaten. Op deze manier wordt Let’s Encrypt door bijna alle browsers ondersteund. Enkele uitzonderingen zijn oude browsers van Android, Blackberry, Nintendo 3DS en Playstation. Tenzij je veel verkeer vanuit deze browsers krijgt, is de browsercompatibiliteit niet iets om je zorgen over te maken.

Afhankelijk van sponsors en donaties

Hoe succesvol Let’s Encrypt op dit moment ook is, het blijft een non-profitorganisatie die elk jaar afhankelijk is van sponsors en donaties. Het is dus maar de vraag of er over 5 jaar nog steeds gratis SSL-certificaten bestaan. Als je iemand bent die van zekerheid op de lange termijn houdt, dan is een commerciële partij wellicht een logischere keuze. Voorlopig valt er in ieder geval niets te klagen over de toekomst van Let’s Encrypt.

Enkel encryptie of meer?

Wil jij de drie voordelen zoals in het begin van dit artikel benoemd zo goedkoop mogelijk meepakken en aan je websitebezoekers garanderen dat hun gegevens versleuteld worden? Dan kan in het merendeel van de gevallen niets op tegen een gratis SSL-certificaat van Let’s Encrypt.

Er zijn echter wel enkele verschillen die het kiezen voor een betaald SSL-certificaat van Comodo het overwegen waard maken. Zo biedt Comodo een uitgebreide validatie aan waardoor je aan websitebezoekers laat zien dat je identiteit is gecontroleerd en ze met de juiste partij zakendoen. Daarnaast bestaan er enkele ander verschillen die in sommige situaties relevant voor je kunnen zijn.