Soorten domein validatie voor SSL certificaten

De aanvraag van een domein gevalideerd SSL certificaat moet goedgekeurd/gevalideerd worden.
Dit kan op één van de volgende manieren:

Per e-mail
Deze kan alleen maar verstuurd worden aan 1 van de volgende adressen:
admin@{{domeinnaam}}
administrator@{{domeinnaam}}
hostmaster@{{domeinnaam}}
webmaster@{{domeinnaam}}
postmaster@{{domeinnaam}}

Via DNS
Er wordt door ons een TXT file aangeleverd, deze moet in de DNS van het domein worden gezet.
Als dit gedaan is kunnen wij de validatie aanvragen.
Zie ook: DNS validatie SSL

Via een FILE
Er wordt door ons een tekst file aangeleverd, deze moet naar de main directory van de website geupload worden.
Als dit gedaan is kunnen wij de validatie aanvragen.
Zie ook: File validatie SSL

https:// afdwingen

Korte uitleg

Het activeren van HTTPS betekent dat je website vanaf dat moment op twee url’s benaderbaar is: http://www.domein.nl en https://www.domein.nl.
Google ziet deze twee url’s als wezenlijk verschillend. Gevolg: je pagina’s zijn bereikbaar via twee verschillende url’s, waardoor je risico loopt op duplicate-content minpunten. Zorg er dus voor dat je altijd een goede redirect instelt die alle http:// links doorstuurt naar https://.

Een website default naar https redirecten

Dit kan niet rechtstreeks in de interface van cPanel worden ingesteld.
Om de redirect in te stellen voeg je de volgende code toe aan de .htaccess file:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domeinnaam.nl/$1 [R,L]

Let wel op, als er al Rewrite Rules zijn, dan staat RewriteEngine al op On, dus dan moet je die regel niet meenemen.

Voorkom dat je likes, tweets en +1’s verliest

Als je op je website social sharing knoppen hebt staan is het verstandig om vooraf een aanpassing te doen. Social media zien de HTTP en HTTPS url’s als verschillend. Als je voorheen altijd HTTP links hebt gebruikt heb je waarschijnlijk de nodige likes, tweets en +1’s vergaard. Schakel je de site over naar HTTPS, dan zul je merken dat je Like button opeens naar 0 terugspringt. Er zijn immers nog geen likes voor de HTTPS versie van de pagina.

Dit is op te lossen, door alle pagina’s vóór de HTTPS migratie te voorzien van een og:url tag met daarin de HTTP link naar de pagina.

Voorkom certificaat fouten

Zorg ervoor dat de werking van Stylesheets, images en javascript is nagekeken op juiste werking voordat je overgaat naar HTTPS.

File validatie SSL

Als je een certificaat bij Site4U hebt aangevraagd met File validation krijg je van ons een File aangeleverd.

File validation voor Geotrust:

Geotrust controleert of het aangeleverde tekstbestand bestaat op http(s)://{{domeinnaam}}/.well-known/pki-validation/fileauth.txt
(NB domeinnaam ZONDER www.)

File validation voor Sectigo/Comodo:

Sectigo/Comodo controleert of het aangeleverde tekstbestand met specifieke naam en inhoud bestaat op http(s)://{{domeinnaam}}/{{filename}}.txt
(NB domeinnaam ZONDER www.)

Je moet dus de .txt file downloaden en die moet letterlijk (dus met dezelfde naam als de download die ook een code is) in de /.well‐known/pki‐validation directory van de HTTP server geplaatst worden.
Bijvoorbeeld:
http://{{domeinnaam}}/.well‐known/pki‐validation/C7FBC2039E400C8EF74129EC7DB1842C.txt
De inhoud van de txt file is: C7FBC2039E400C8EF74129EC7DB1842C

Mail validatie SSL

Als je een certificaat bij Site4U aanvraagt en wilt laten valideren per e-mail kun je kiezen uit de volgende e-mail adressen:

admin@{{domeinnaam}}
administrator@{{domeinnaam}}
hostmaster@{{domeinnaam}}
webmaster@{{domeinnaam}}
postmaster@{{domeinnaam}}

Vanwege de AVG kunnen e-mailadressen uit de whois niet langer worden gebruikt.

Er wordt een e-mail verstuurd naar het opgegeven e-mail adres. In de e-mail staat een link waarmee je de aanvraag goed kunt keuren.

DNS validatie SSL

Als je een certificaat bij Site4U hebt aangevraagd krijg je van ons een DNS entry.
Die vul je in in de DNS als volgt:

DNS validatie voor Geotrust:

Voorbeeld 

voorbeeld.nl. IN TXT “2018021213521369l3nbh2sw5xo8ucxljyg49up8o7125rqqcf4btc3jtmghelfk”

Als volgt in DNS zetten:

 

DNS validatie voor Sectigo/Comodo:

Voorbeeld 

_7310EE0D38B7CD8EC9A607D08C24D5BD.voorbeeld.nl CNAME
9CD619EE94D722A6AC60A4237329EE93.0A6ADACCFF3AA135E48E389020D07A0A.comodoca.com

Als volgt in DNS zetten:

SSL check

Als je een certificaat wilt checken klik dan hier (externe link).

SSL leveranciers

Er zijn verschillende merken SSL certificaten. Deze hebben allemaal hun eigen productportfolio, maar bieden meestal zowel EV, bedrijfs- en domeinvalidatie certificaten aan in verschillende uitvoering zoals enkel domein, wildcard of multidomein. Encryptie voor ceritificaten is voor alle leveranciers gelijkwaardig, maar elk merk heeft weer eigen reputatie.

  • Verisign
    Verisign (nu onderdeel van Symantec) is een  van de eerste en grootste leveranciers van certificaten. Zeer goede naamsbekendheid over de hele wereld. Certificaten zijn vrij prijzig.
  • Geotrust 
    Geotrust is onderdeel van Verisign, en de een na grootste leverancier van SSL certificaten in de wereld.
  • Thawte
    is opgericht door Mark Shuttleworth in Zuid-Afrika. Thawte was de eerste leverancier die SSL certificaten kon leveren buiten de USA. Ook Thawte is tegenwoordig onderdeel van Verisign maar functioneert net als Geotrust als zelfstandig merk.
  • RapidSSL
    is het budgetmerk van Geotrust. RapidSSL levert alleen domain validated certificicaten. RapidSSL is voordelig, maar niet erg geschikt als je veel waarde hecht aan het controleren van de identiteit van de eigenaar van het certificaat.
  • Sectigo (voorheen Comodo)
    is een van oorsprong Engels bedrijf, gespecialiseerd in Security oplossingen. Sectigo heeft een zeer uitgebreid productaanbod aan certificaten tegen zeer aantrekkelijke prijzen.
  • TrustWave
    is een Amerikaanse SSL Provider met vestigingen wereldwijd, in Nederland relatief onbekend, maar met interessant geprijsde SSL certificaten.

Daarnaast zijn er ook gratis certificaten:

  • Let’s Encrypt
    Op de meeste Linux servers is het mogelijk om Let’s Encrypt certificaten te genereren. Dit is een certificaat dat gegevens versleuteld, maar geen schadeuitkering doet.
    Let’s Encrypt certificaten worden automatisch via de DNS gevalideerd bij elke automatische verlenging.
  • Auto SSL
    Op onze Linux Shared hosting is het mogelijk om Auto SSL aan te laten zetten voor je account. Dit is een certificaat dat gegevens versleuteld, maar geen schadeuitkering doet.
    Auto SSL certificaten worden automatisch via de DNS gevalideerd bij elke automatische verlenging.

Verschillende soorten SSL (single, wildcard, multi domain)

SSL certificaten bestaan vaak in verschillende uitvoeringen:

  • Enkele hostnaam.
    Bijvoorbeeld www.mijndomein.nl. Dit is de meest gebruikelijke uitvoering van een SSL certificaat. Alleen de hostnaam wordt beschermd. Als het certificaat wordt aangevraagd voor bv www.mijndomein.nl is het ook geldig voor mijndomein.nl.
  • Wildcard certificaten.
    Hiermee worden meerdere hostnamen onder een domein beschermd via SSL, bv www.mijndomein.nl, support.mijndomein.nl, nogeensite.mijndomein.nl. Deze certificaten zijn een stuk duurder dan enkele certificaten en zijn dus vooral zinvol als je meerdere namen wilt beschermen via SSL. EV certificaten zijn niet verkrijgbaar in een wildcard variant.
  • Multi domein certificaten.
    Dit soort certificaten worden (nog) niet zoveel gebruikt, maar voor bepaalde toepassingen zijn ze erg nuttig. Op een certificaat kan je meerdere hostnamen registreren zoals bv mail.domein.nl, mailserver.anderdomein.nl en server.intranet.nl. Op dit type certificaten worden meestal minimaal vijf namen geregistreerd met een meerprijs per extra domein. Soms is het voordeliger om meerdere losse SSL certificaten aan te schaffen. Als je maar één IP nummer beschikbaar hebt of als het noodzakelijk is om meerdere identiteiten te hebben onder één ipnummer (bijvoorbeeld bepaalde Microsoft Exchange functionaliteit) is dit soort certificaten nuttig.

Validatie procedures voor SSL certificaten

Het is voor bezoekers van je website prettig om te weten wie de echte eigenaar van een site is. In sommige gevallen is het zelfs essentieel om dit te weten omdat bezoekers geen zaken willen doen met onbekenden, zoals bij telebankieren, overheidsinstanties en veel e-commerce activiteiten. Om de houder van een SSL certificaat te controleren zijn er verschillende validatie procedures.

  • Domein validatie
    Bij dit soort certificaten wordt na aanvraag een bevestigingsverzoek gestuurd naar de houder van het bijbehorende domein. Met deze procedure wordt dus alleen gecontroleerd of de domeinnaamhouder daadwerkelijk het SSL certificaat wil aanvragen. Maar omdat iedereen domeinen kan aanvragen zonder hele sterke controles zegt het heel weinig over het bedrijf wat achter het domein zit. Als de identiteit van de houder erg belangrijk is zijn dit soort certificaten dus niet geschikt. Je kan er wel net zo goed je gegevens mee versleutelen als met andere soorten certificaat, maar het zegt dus weinig over de identiteit van de website eigenaar. Deze certificaten zijn wel prima geschikt voor intranetten, simpele webformulieren en webmail. Deze aanvraagprocedure is vanwege de eenvoudige controle heel snel.
    Lees er meer over op onze Wiki pagina Soorten domein validatie voor SSL certificaten
  • Bedrijfs validatie
    Bij deze certificaten moet de aanvrager aantonen dat het bedrijf of instantie dat bij de domeinnaam hoort ook daadwerkelijk bestaat en op hetzelfde adres gevestigd is als in de domein informatie. Vaak wordt er informatie van een bedrijfsregister (zoals bv de Nederlandse Kamer van Koophandel) gevraagd. Deze procedure duurt langer omdat er soms papieren opgevraagd worden en/of controles uitgevoerd worden op bepaalde bedrijfsgegevens.
  • Extended validatie
    Dit is de meest uitgebreide controle procedure. Naast bovenstaande gegevens wordt er gecheckt of de aanvrager gemachtigd is om de aanvraag te doen, en wordt dit bevestigd door iemand die tekeningsbevoegd is namens het bedrijf. Er worden telefonisch een aantal zaken geverifieerd en het telefoonnummer van het bedrijf moet voorkomen in een onafhankelijke bron, zoals telefoonboek of website. Vanwege de uitgebreide controles duurt deze procedure het langst.

– Uitleg SSL certificaten

Voor het beveiligen van websites zijn SSL certificaten noodzakelijk.

Het SSL certificaat (Secure Socket Layer) is een beveiligingsprotocol dat hacken of het downloaden van informatie van uw website voorkomt.
SSL certificaten bieden vele voordelen, waaronder het waarborgen van een veilige omgeving voor klanten. Zij kunnen privé-informatie (wachtwoorden, emailadressen, factuur gegevens, creditkaart nummers) veilig delen via tussen hun computer en de webomgeving zonder dat een derde partij hiertussen kan komen en deze gevoelige informatie kan gebruiken.

SSL certificaten hebben twee belangrijke doelen:

  • Encryptie (versleuteling) van het dataverkeer.
    Bij verkeer tussen website en browser worden er soms gevoelige gegevens heen en weer verstuurd. Denk hierbij niet alleen aan creditcard gegevens, maar ook aan login gegeven voor bijvoorbeeld telebankieren, intranetten, webmail, verzekeringen of formulieren waar je privacy gevoelige gegevens invult voor allerlei andere partijen. Door het gebruik van beveiligde verbindingen via SSl kunnen derden deze gegevens niet meer eenvoudig onderscheppen.
  • Vertrouwen.
    Meestal doe je alleen zaken met partijen die je kent of vertrouwt. Maar hoe herken je dat op internet? Een SSL certificaat verstrekt informatie over de houder van het certicaat. Er zijn verschillende vormen van validatie van de houder van een certificaat. Afhankelijk van de validatie procedure kan je met meer of minder zekerheid zeggen dat de houder zich niet als iemand anders voordoet. Dit is voor bv telebankieren of een overheidsinstantie erg belangrijk, en bij e-commerce activiteiten schept het ook veel vertrouwen als precies duidelijk is met wie je zaken doet. Voor logins op een intranet of bv webmail is de controle op identiteit van de houder minder belangrijk.

Een beveiligde website verhoogt het vertrouwen van de klant.