Post on 15-Apr-2017
Waarom en hoe gebruik je HTTPS op je website!
HTTPS
• Senior Windows Systeembeheerder Hosting bij ORTEC B.V.• Regionale Coördinator – Joomla Certificering Programma voor
de Joomla gebruikersgroepen.• Eigenaar Connecting Connections
– Joomla! Junkie– Sinds Mambo betrokken bij en bezig met Joomla!– Extensie vertaler RSJoomla!, Hikashop, Freestyle-Joomla– Organisator/Ondersteuner verschillende Joomla evenementen.
Wilco Alsemgeest
https://twitter.com/conconnl
https://twitter.com/conconnl
https://www.facebook.com/conconnl/
HTTPS
Principes van TLS / SSL Verkrijgen van een SSL Certificaat
Welke SSL Certificaten zijn er beschikbaar? Wat heb ik ervoor nodig? Hoe te verkrijgen? Hoeveel tijd kost het?
Implementatie en onderhoud Goed om te weten! Plaatjes!
HTTPS
Definities Wat is TLS / SSL? Wat zijn certificaten? Waarom is het noodzakelijk? Hoe wordt de beveiligde verbinding geregeld? Wat zijn de afhankelijkheden?
Principes van TLS / SSL
HTTPS
DNS – Domain Name System TLS / SSL – Transport Layer Security – Secure Sockets Layer (Voorganger) CA – Certificaat Autoriteit (Sub) Domeinnaam (TLD)
Principes van TLS / SSL - Definities
HTTPS
Transport Layer Security (TLS) en zijn voorganger Secure Sockets Layer (SSL),zijn standaard cryptografische protocollen voor het beschikbaar stellen van communicatie beveiliging tussen leverancier en cliënt.
Principes van TLS / SSL – Wat is TLS / SSL ?
HTTPS
Alle browsers hebben de mogelijkheid om te communiceren met beveiligde web servers met behulp van de TLS / SSL protocol.
Om deze beveiligde verbinding op te kunnen zetten, heeft de browser een Root CA Publieke SSL Certificaat nodig (voor geïnstalleerd) en de server een SSL certificaat nodig dat uitgegeven is door een Root CA.
Principes van TLS / SSL – Wat zijn certificaten?
HTTPS
Websites die een SSL Certificaat gebruiken kunnen herkend worden aan het gebruik van de HTTPS protocol i.p.v. HTTP.De “S” staat voor (Secure) beveiligd, wat betekendgecodeerd door zowel de browser en web server.
Doordat de netwerk communicatie is gecodeerd van begin tot eind, is er geen mogelijkheid om de gebruikersnaam en wachtwoord combinaties op te vangen.
Principes van TLS / SSL – Waarom is het noodzakelijk?
HTTPS
Wanneer een browser een website probeert te openen wat beveiligd is door TLS / SSL, de browser en de web server bouwen een TLS connectie op doormiddel van een procesgenaamd “Handshake”.
Essentieel worden er drie sleutels gebruikt om de TLS connectie op te zetten:De publieke, de privé en de sessie sleutels.Alles gecodeerd met de publieke sleutel kan alleen gedecodeerd worden met de privé sleutel en andersom.
Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?
HTTPS
Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?
HTTPS
1. Browser verbindt met de website beveiligd met TLS / SSL (HTTPS) en vraagt de server zich te identificeren.
2. De server verstuurd een kopie van de SSL Certificaat inclusief de Publieke Sleutel.
3. Browser controleert het certificaat tegen de lijst van vertrouwde Certificaat Autoriteiten en kijkt tevens of deze verlopen of teruggetrokken is. Het adres van de website wordt ook met het certificaat vergeleken.
De browser maakt en versleuteld een sessie sleutel met behulp van de server Publieke Sleutel.
Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?
HTTPS
4. De server decodeert m.b.v. de Privé Sleutel de sessie sleutel en stuurt een bevestiging versleuteld met de sessie sleutel terug om een beveiligde sessie te starten.
5. Server en Browser versleutelen nu alle data met de sessie sleutel.
Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?
HTTPS
SSL certificaten zijn gekoppeld aan de ‘common name’ geregistreerd in de DNS meestal is dit de volledige domeinnaam, maar dit kan ook een wildcard naam zijn (bijv. *.domein.nl)
Principes van TLS / SSL – Wat zijn de afhankelijkheden?
HTTPS
Welke SSL Certificaten zijn er beschikbaar? Soorten certificaten: Domeinnaam certificaten SAN/UC/Multi-domein certificaten Wildcard certificaten
Validatie methoden: Domain validatie (DV) (Voor alle soorten) Organisatie validatie (OV) (Voor alle soorten) Uitgebreide validatie (EV) (Alleen voor domein en Multi-Domein)
Verkrijgen van een SSL Certificaat
HTTPS
Wat heb ik ervoor nodig? Een uniek IP adres of “Server Naam Indicatie” (SNI) functionaliteit. Correcte contact informatie in WHOIS database, bijv. SIDN voor .NL. Bedrijf/Organisatie validatie documenten.
Verkrijgen van een SSL Certificaat
HTTPS
Hoe te verkrijgen? Er zijn verschillende methoden voor het verkrijgen van een certificaat en
alle methoden resulteren in dezelfde certificaat. Een IT partner kan ondersteunen bij het verkrijgen van een SSL certificaat. Het is mogelijk om een certificaat bij verschillende leveranciers te
verkrijgen.Root leveranciers:
(Marktleider) (Nummer 2, Marktleider) (Oudste SSL leverancier) (Snelst groeiende SSL leverancier)
Verkrijgen van een SSL Certificaat
HTTPS
Hoeveel tijd kost het?Afhankelijk van het type certificaat en welke leverancier er gebruikt wordt, kost het verkrijgen van minuten tot weken.
Een domein validatie certificaat duurt minuten. Een organisatie validatie certificaat kan een paar uur tot een paar
dagen duren. Een uitgebreide validatie certificaat kan een
paar dagen tot een paar weken duren.
Verkrijgen van een SSL Certificaat
HTTPS
Hoe implementeer ik een Certificaat? Hosting leverancier. ICT Partner Hosting beheerpaneel (DirectAdmin, Plesk,
Cpanel en andere) Welk onderhoud is er nodig?
Certificaat vernieuwen / verlengen. Certificaat vervangen / upgraden.
Implementatie en onderhoud
HTTPS
SHA-1 encryptie is achterhaald en zal waarschuwingen veroorzaken in de browser sinds 01 Januari 2016
HTTP Strict Transport Security (HSTS) HTTP/2 (Het nieuwe internet), meeste browsers accepteren alleen HTTP
met TLS 1.2 als vereiste. Browsers gaan waarschuwing geven bij websites zonder HTTPS
Goed om te weten!
HTTPS
Systeem - Algemene Instellingen – Forceer HTTPS .htaccess aanpassing (Afhankelijk van Hosting provider)
Joomla & HTTPS!
HTTPS
Plaatjes
HTTPS
Plaatjes
HTTP
HTTPS
HTTPS