Met SSL certificaten kom je in een zelfde soort bos terecht als met hosting, in dit artikel zal ik dan ook trachten uit te leggen wat SSL doet, Wat SSL kan en waar je rekening mee dient te houden als je een SSL certificaat gaat (laten) installeren op je webwinkel.
Allereerst, een webwinkel dient voorzien te zijn volgens de wet en regelgeving met een beveiliging van persoonlijke data. Dit is geen vrijblijvende ingreep, dit is een verplichte ingreep.
Stukje toelichting:
Om te voldoen aan de beveiligingsnorm van artikel 13 Wbp dienen verantwoordelijken zich, gegeven de huidige stand van de techniek en de normontwikkeling in eerdere uitspraken van het CBP, bij publicaties op internet te houden aan de volgende vijf verplichtingen:
1 Voorkom de onnodige publicatie van persoonsgegevens.
2 Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines.
3 Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen.
4 Beveilig het gegevenstransport door middel van het SSL protocol
5 Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden.
Bron: http://www.CBPweb.nl (pagina 34) (klik om pdf te openen)
Goed, nu we allemaal weten dat we een SSL certficaat nodig hebben als webwinkel eigenaar zijnde, wat hebben we allemaal nodig voor een succesvolle beveiliging?
De checklist:
- Een SSL certficaat
- Een hostingpakket/server met een "uniek" IP toegewezen aan de domeinnaam welke je wilt beveiligen
- SSH toegang op je hostingpakket, of een functie in het controlpanel (b.v. Direct Admin) om SSL te kunnen genereren en activeren.
De eerst logische stap is om te gaan kijken of je hosting geschikt is of geschikt kan gemaakt worden om SSL te gaan installeren. Indien je hier zelf de kennis niet van hebt kun je je hostingprovider om de volgende informatie vragen.
Indien je een antwoord terug ontvangt en welke negatief is met bijvoorbeeld punt 1 of punt 3 dan adviseer ik je om Hoe vind ik een geschikte hostingprovider eens te lezen.Beste Hostingprovider (vervangen door naam)
Ik zou graag mijn webwinkel met een SSL certficaat gaan beveiligen. Kunt u mij informeren over de volgende mogelijkheden.
1: Is mijn webhosting pakket geschikt voor een SSL certficaat te installeren?
2: Indien Ja op vraag 1, kan ik dit zelf uitvoeren en via welke weg (SSH of via controlpanel) Indien nee, kan ik deze door jullie laten installeren en wat zouden daar de kosten van zijn?
3: Kan ik een uniek IP aanvragen voor mijn hostingpakket, en wat zijn hier de -eventuele- kosten van per maand of per jaar.
Met vriendelijke groet
Achternaam, Naam
webwinkel.nl
Indien het antwoord positief is naar uw beleving, dan kunt u het hostingpakket klaar gaan laten maken voor de installatie van een SSL certficaat. En dan komt het volgende om de hoek kijken, welk SSL certficaat kunnen we nemen voor de beveiliging van een webwinkel. Net als bij hosting zijn er verschillende "smaken" bij het aanbod van SSL certificaten. Ieder zijn eigen doel en mogelijkheden.
De prijzen variëren tussen de 20/30 euro per jaar naar de 1000+ per jaar PER SSL certificaat, ligt aan het type certificaat wat je wenst/nodig hebt.
We verdelen de SSL certificaten even onder:
- SSL Certificaat zonder bedrijfsgegevens vermeld
Dit is een relatief goedkoop certificaat en binnen enkele uren te regelen, het domein word per email gevalideerd door de verstrekkende SSL merk leverancier.
- SSL Certificaat met bedrijfsgegevens vermeld
Dit type SSL certificaat is niet veel duurder dan zonder bedrijfgegevens, echter worden u bedrijfsgegevens gevalideerd en opgenomen in het certificaat. De bezoeker kan hierdoor de eigenaar van de website in het certificaat controleren.
- SSL Certificaat met bedrijfsgegevens én groene adresbalk (Ook wel EV SSL genoemd)
Dit Type certficaat zie je vaak bij Banken en overheid (deze zijn zelfs verplicht dit type te gebruiken) Je hebt dan een groene balk waar de bedrijfsgegevens gevalideerd zijn (tot telefoonnummer toe!) Het aanvraag proces varieert van 2 dagen tot 10 dagen (en ik heb al 3 weken meegemaakt), De KVK en aanvraag moeten identiek hetzelfde zijn en er word persoonlijk contact met je opgenomen. Het is een certificaat wat ook best wel in de prijzen loopt, zeker als je meerdere domeinnamen wilt valideren. (denk aan tussen de 150/750 euro per jaar, ligt aan hoeveelheid domeinnamen)
Elk hierboven beschreven certificaat kun je weer onderverdelen in 3 groepen. Namelijk:
- Standaard SSL certificaat
Eenvoudig SSL certificaat voor 1 domein, snel te regelen en weinig poespas. Vanaf een 20/30 euro ben je "SSL beveiligd"
- Multi Domein certificaat
Als je een webwinkel hebt met bijvoorbeeld webwinkelnaam.nl en webwinkelnaam2.nl of webwinkelnaam.be welke allemaal op dezelfde administratie draaien (en zelfde IP dus ook) heb je een multidomein SSL certificaat nodig. Met slechts 1 certificaat kun je dan meerdere domeinnamen SSL beveiligen. De kosten lopen hierdoor wel flink op. Gemiddelde prijs per domein in het certificaat is 50 euro extra. Dus als je 3 domeinnamen wilt valideren zit je snel aan de 125/150 euro.
- Wildcard SSL certificaat
Dan heb je nog de wildcard variant, een normaal certificaat zal http://www.webwinkelnaam.nl beveiligen maar niet submap.webwinkelnaam.nl. De internet technisch ziet namelijk submap.webwinkelnaam.nl als een "eigen domeinnaam" (Google ook overigens) Met een Wildcard SSL certificaat ben je dus in staat wel je submappen ook gevalideerd te hebben. Wat bijvoorbeeld handig is in een situatie als nl.webwinkelnaam.eu, de.webwinkelnaam.eu en fr.webwinkelnaam.eu (verschillende talen onder 1 domein in submappen)
De prijs van een wildcard start bij een 300 euro per jaar.
Note: een EV SSL certificaat is niet met wildcard te verkrijgen.
Meest bekende Merken van SSL zijn:
- Verisign (best prijzig merk)
- Comodo
- Thawte
Wist je datjes:
- Een ssl certificaat verloopt, (net als de apk van een auto), dus in tegenstelling van je domeinnaam en hosting welke je automatisch kan verlengen moet een SSL certificaat ieder jaar vervangen worden. Houd hier rekening mee omwille
* Ieder jaar herinstallatie kosten (indien je zelf niet uitvoert)
* Wacht niet tot laatste moment om een SSL te vervangen, anders komt het voor dat ineens je webwinkel onbeveiligd is (en de klanten errors krijgen) Zet het dus in je agenda, oulook agenda of iets anders wat jou eraan herinnert om tijdig het SSL weer te vervangen (weekje voor vervaldatum o.i.d.)
- Installatie kosten als je laat uitvoeren variëren in de markt van 30 tot 100 euro per installatie (ligt aan type SSL)
- Meest verkochte SSL certificaat is gewoon het eenvoudige Domain validated versie, dan ben je voor een kleine 100 euro per jaar inclu SSL, Installatie door derde en uniek IP beveiligd. Voor de meeste webshops (90+%) is dit een perfect certificaat.
- Heb je een keurmerk voor je webwinkel, maar geen SSL beveiliging? Zoek dan maar ook een ander keurmerk. Dan houden zij zich namelijk ook niet aan de wet en regelgeving. En dan cashen ze enkel bij je.
- Steeds meer consumenten worden zich bewust dat een webwinkel beveiligd moet zijn, het is zelfs een motivatie om wel bij jou te kopen en niet bij de concurrent zonder beveiliging. Gebruik je SSL dus ook als marketing punt en je hebt de investering in no-time weer terugverdiend. (Plaats prominent logo van ssl op de betaalpagina o.i.d. en in je footer)
- Als je al een webwinkel hebt met een reputatie in zoekmachines, beveilig dan niet alle paginas van je webwinkel maar enkel de noodzakelijke. Anders verlies je mogelijk ranking en reputatie.
Er is een eenvoudige vraag die je je zelf kan stellen om te weten welke paginas wel SSL beveiligd moeten zijn: "Waar kan een klant persoonlijke informatie invoeren en verwerken en waar word de betaling verwerkt"
Al deze paginas dienen beveiligd te zijn. Alle overige kunnen gewoon via HTTP protocol.
- Hoe herken je een beveiligde website
* Slotje in browser en een blauwe of groene kleur net voor de URL
* U ziet https:// ipv http:// in de url staan. (de s staat voor Secure)
Aandachtspuntje, Denk niet "ow dat vind ik te duur" en mij pakken ze toch niet en "Ja maar zoveel webwinkels die het niet hebben dus waarom zou ik het wel doen"
Ik kan je uit ervaring zeggen (ik zie het gebeuren bij klanten van ons) dat ze dus aangeschreven worden met een sanctie/boete van 4500 euro en hoger omdat ze het niet hebben beveiligd. Of als je webwinkel source gehackt word (zie osCommerce een jaar geleden welke massaal onderuit gehaald werd door een lek in de code) en je klanten liggen over straat en je word aangeklaagd... Dan kost het je meer als 4500 euro, een hoop slechte publiciteit en een slechte reputatie. Dus om ongeveer een 100 of laten we zeggen 300 euro te besparen zet je je eigen onderneming op het spel waar je dagelijks constant en hard aan werkt om op te bouwen. Trap niet in die paardenvlaai als je concurrenten die wel denken "dat overkomt mij niet" en speel save.
Nog een mooie opmerking die ik vaak hoor: Mijn betaalprovider heeft wel SSL dus ik heb die niet nodig. Dit is pertinent niet waar! Immers moet uw website de data eerst naar de betaalprovider sturen voor deze de betaling kan verwerken. (en de weg naar deze is zonder SSL onbeveiligd en dus niet in orde) Ook zal een betaalprovider niet de aanmeldprocedure als klant op uw webwinkel beveiligen.
Kortom een eigen SSL is noodzaak, Ga geen excuses zoeken om het niet te hoeven of willen doen.
Let op: een ssl certificaat maakt het technisch mogelijk om pagina's te beveiligen. Uw webwinkel software moet hier echter ook mee om kunnen gaan. De meeste opensource webwinkelsoftware is hier gelukkig allemaal op voorbereid. Maatwerk webwinkel zou ik adviseren om ook na te vragen bij de webbouwer (indien u dat zelf niet bent)
Note: Dit artikel schrijf ik uit eigen motivatie en ervaringen welke ik in het verleden heb opgedaan als webwinkel eigenaar maar ook als hoster van webwinkels. Alles kan uiteraard anders geïnterpreteerd worden dan bedoeld dus chroom niet als je vragen hebt. Mocht ik het antwoord niet weten zal ik dat ook aangeven. Ik hoop dat het een beetje duidelijk is, ik weet dat ik soms wat vaak naar vaktermen neig maar dat is in de hostingwereld bijna niet te vermijden.