Functionaliteit SSL, TLS

In verband met de digitale technologie is het niet langer een kwestie van records à la Olympia volgens het motto "sneller, hoger, verder". De prestaties van eindapparaten, de steeds snellere overdrachtsnelheden of de verscheidenheid aan handige apps zijn één ding. Een ander ding is dat wanneer we op het internet surfen, gebruik maken van sociale media en andere diensten, we bijna elke seconde feiten over onszelf onthullen, die niet in ieders handen zouden moeten komen. Dit omvat adressen, bankrekeningen, creditcardnummers en andere gevoelige gegevens.

Het sleutelwoord van het uur is eerder: veiligheid. Of: Hoe kan ik er actief en passief voor zorgen dat de gegevens die ik via het internet openbaar maak en over de hele wereld verstuur, worden beschermd tegen ongeoorloofde toegang door derden? Hier komen functies als SSL en TLS, encryptiemethoden die ervoor zorgen dat ik veilig kan reizen in de digitale wereld, goed van pas.

Hoe een SSL Certificaat werkt

SSL (Secure Sockets Layer) is een protocol voor de authenticatie en encryptie van verbindingen op het internet. De oorspronkelijke SSL-procedure is nu verouderd en vervangen door TLS (Transport Layer Security). De term SSL is echter tot op de dag van vandaag gemeengoed gebleven.

Om uit te leggen hoe het werkt, laten we als voorbeeld de volgorde van een klant in een onlinewinkel. Een gecodeerde SSL-verbinding wordt altijd tot stand gebracht door de klant (hier de klant). De eerste stap is de zogenaamde handshake, waarbij een encryptieparameter voor de sessie wordt gegenereerd. De server van de winkel antwoordt dan door zijn openbare sleutel met zijn SSL-certificaat naar de klant te sturen. Dit stuurt op zijn beurt de Certificaat geauthenticeerd op basis van een lijst van bekende CA's - Certificate of Certification Authority = certificeringsautoriteit voor digitale certificaten. Als de CA niet bekend is, openen de meeste browsers een venster dat de gebruiker de mogelijkheid biedt het certificaat op eigen verantwoordelijkheid te aanvaarden of te weigeren.

Nu genereert de client een symmetrische sleutel, die met de publieke sleutel van de server wordt versleuteld en teruggestuurd. Dan kennen zowel de client als de server de code voor het versleutelen van de gebruikersgegevens en wordt de beveiligde verbinding tot stand gebracht.

Verschillen tussen gemeenschappelijke SSL-certificaten

Er zijn verschillende varianten van SSL-certificaten, afhankelijk van de behoeften van de aanvrager en ook variërend in prijs. Factoren zijn bijvoorbeeld de coderingssterkte (de standaardwaarden zijn 128 Bit of 256 Bit), het type validatie en de browsercompatibiliteit of -acceptatie.

Domein gevalideerde certificaten (Domein Validatie)

Domeingevalideerde certificaten hebben de breedste spreiding. Met behulp van gereguleerd e-mailverkeer controleert de certificeringsinstantie of de aanvrager van een SSL-certificaat werkelijk de eigenaar van het domein is. Na bevestiging wordt het certificaat binnen zeer korte tijd afgegeven. Deze variant wordt vooral gebruikt voor kleine websites, blogs, forums, mailservers en intranettoepassingen en is het goedkoopste alternatief.

Organisatie Gevalideerde certificaten (Organisatievalidatie)

Het proces is iets ingewikkelder met een door de organisatie gevalideerd certificaat. Hier wordt niet alleen het domein gecontroleerd, maar ook de identiteit. De website-exploitant - meestal een bedrijf - moet met bepaalde documenten bewijzen dat hij echt de domeineigenaar is. De identiteitscontrole voor het certificaat verschilt van aanbieder tot aanbieder. Normaal gesproken is een uittreksel uit het handelsregister vereist, wordt een vergelijking met de bankgegevens uitgevoerd en wordt er een telefonisch contact tussen de aanvrager en de aanbieder tot stand gebracht. De door de organisatie gevalideerde certificaten zijn geschikt voor bedrijfswebsites, webwinkels en webmail.

uitgebreide validatie

Een derde versie is de Extended Validation. Websites die op deze manier gecertificeerd zijn, zijn te herkennen aan het groene lettertype in de adresregel van de browser. Deze visuele feedback geeft aan dat de verbinding bijzonder betrouwbaar is. Wie zijn betalingstransacties via internetbankieren verwerkt, weet dit van banken en spaarbanken. De certificeringsinstantie gaat hier op een vergelijkbare manier te werk als bij door de organisatie gevalideerde certificaten, maar controleert bovendien of de aanvrager werkelijk een werknemer van het betreffende bedrijf is en de bevoegdheid heeft om een Extended Validation Certificate te verkrijgen.

EV-certificaten worden over het algemeen versleuteld met 256 bit en bereiken de hoogst mogelijke acceptatie door alle browsers. Naast het reeds genoemde groene lettertype staat op de adresregel ook de naam en het hoofdkantoor van het bedrijf.

Welke certificeringsinstantie is de juiste?

Er zijn een groot aantal Certificaatautoriteiten (CA's) in verschillende landen, dus het is gemakkelijk voor een potentiële klant om het spoor bijster te raken. Vaak is het niet mogelijk om te achterhalen welk bedrijf of welke overheidsinstelling erachter zit. Critici spreken nu van een "certificeringsloterij", die weinig transparantie en betrouwbaarheid biedt. In ieder geval is de Bundesdruckerei met haar dochteronderneming D-Trust volledig in Duitse handen. Veel andere instanties werken met US-Amerikaanse tussencertificaten, maar sinds de affaire met de geheime dienst NSA, op zijn laatst, moet men zich afvragen of de eigen gegevens wel echt beschermd worden door deze certificaten.

Google geeft de voorkeur aan pagina's met SSL-codering

In 2014 kondigde Google aan dat de zoekmachine nu een algoritme heeft dat SSL-gecertificeerde pagina's een voorkeursbehandeling geeft en ze een hogere ranking geeft dan pagina's zonder certificaat. Onder kenners in die tijd werd deze stap als ronduit sensationeel beschouwd, omdat Google meestal volledig zwijgt over de aard en de werking van zijn algoritmen. Het bedrijf heeft zich echter steeds meer toegelegd op het verbeteren van de veiligheid van het internet. Dit was waarschijnlijk de reden voor de publieke verklaring.

Een blik in de toekomst van encryptie

Een toekomstgericht project met betrekking tot encryptie is "Let's Encrypt", dat wordt aangestuurd door de Californische Internet Security Research Group (ISRG). Dit moet het in de toekomst mogelijk maken voor elke website-exploitant om zijn domein op een eenvoudige manier en volledig gratis van een SSL-certificaat te voorzien, dat door de gangbare browsers als betrouwbaar wordt beschouwd en geaccepteerd. Gecodeerde HTTPS-verbindingen kunnen zo al snel de webstandaard worden en zorgen voor meer veiligheid en gegevensbescherming. Leden van de ISRG zijn de Mozilla Foundation, Cisco, Akamai en de Electronic Frontier Foundation.

Huidige artikelen