Waarom en hoe gebruik je HTTPS op je website!

HTTPS

• Senior Windows Systeembeheerder Hosting bij ORTEC B.V.• Regionale Coördinator – Joomla Certificering Programma voor

de Joomla gebruikersgroepen.• Eigenaar Connecting Connections

– Joomla! Junkie– Sinds Mambo betrokken bij en bezig met Joomla!– Extensie vertaler RSJoomla!, Hikashop, Freestyle-Joomla– Organisator/Ondersteuner verschillende Joomla evenementen.

Wilco Alsemgeest

https://twitter.com/conconnl

https://twitter.com/conconnl

https://www.facebook.com/conconnl/

HTTPS

Principes van TLS / SSL Verkrijgen van een SSL Certificaat

Welke SSL Certificaten zijn er beschikbaar? Wat heb ik ervoor nodig? Hoe te verkrijgen? Hoeveel tijd kost het?

Implementatie en onderhoud Goed om te weten! Plaatjes!

HTTPS

Definities Wat is TLS / SSL? Wat zijn certificaten? Waarom is het noodzakelijk? Hoe wordt de beveiligde verbinding geregeld? Wat zijn de afhankelijkheden?

Principes van TLS / SSL

HTTPS

DNS – Domain Name System TLS / SSL – Transport Layer Security – Secure Sockets Layer (Voorganger) CA – Certificaat Autoriteit (Sub) Domeinnaam (TLD)

Principes van TLS / SSL - Definities

HTTPS

Transport Layer Security (TLS) en zijn voorganger Secure Sockets Layer (SSL),zijn standaard cryptografische protocollen voor het beschikbaar stellen van communicatie beveiliging tussen leverancier en cliënt.

Principes van TLS / SSL – Wat is TLS / SSL ?

HTTPS

Alle browsers hebben de mogelijkheid om te communiceren met beveiligde web servers met behulp van de TLS / SSL protocol.

Om deze beveiligde verbinding op te kunnen zetten, heeft de browser een Root CA Publieke SSL Certificaat nodig (voor geïnstalleerd) en de server een SSL certificaat nodig dat uitgegeven is door een Root CA.

Principes van TLS / SSL – Wat zijn certificaten?

HTTPS

Websites die een SSL Certificaat gebruiken kunnen herkend worden aan het gebruik van de HTTPS protocol i.p.v. HTTP.De “S” staat voor (Secure) beveiligd, wat betekendgecodeerd door zowel de browser en web server.

Doordat de netwerk communicatie is gecodeerd van begin tot eind, is er geen mogelijkheid om de gebruikersnaam en wachtwoord combinaties op te vangen.

Principes van TLS / SSL – Waarom is het noodzakelijk?

HTTPS

Wanneer een browser een website probeert te openen wat beveiligd is door TLS / SSL, de browser en de web server bouwen een TLS connectie op doormiddel van een procesgenaamd “Handshake”.

Essentieel worden er drie sleutels gebruikt om de TLS connectie op te zetten:De publieke, de privé en de sessie sleutels.Alles gecodeerd met de publieke sleutel kan alleen gedecodeerd worden met de privé sleutel en andersom.

Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?

HTTPS

Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?

HTTPS

1. Browser verbindt met de website beveiligd met TLS / SSL (HTTPS) en vraagt de server zich te identificeren.

2. De server verstuurd een kopie van de SSL Certificaat inclusief de Publieke Sleutel.

3. Browser controleert het certificaat tegen de lijst van vertrouwde Certificaat Autoriteiten en kijkt tevens of deze verlopen of teruggetrokken is. Het adres van de website wordt ook met het certificaat vergeleken.

De browser maakt en versleuteld een sessie sleutel met behulp van de server Publieke Sleutel.

Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?

HTTPS

4. De server decodeert m.b.v. de Privé Sleutel de sessie sleutel en stuurt een bevestiging versleuteld met de sessie sleutel terug om een beveiligde sessie te starten.

5. Server en Browser versleutelen nu alle data met de sessie sleutel.

Principes van TLS / SSL – Hoe wordt de beveiligde verbinding geregeld?

HTTPS

SSL certificaten zijn gekoppeld aan de ‘common name’ geregistreerd in de DNS meestal is dit de volledige domeinnaam, maar dit kan ook een wildcard naam zijn (bijv. *.domein.nl)

Principes van TLS / SSL – Wat zijn de afhankelijkheden?

HTTPS

Welke SSL Certificaten zijn er beschikbaar? Soorten certificaten: Domeinnaam certificaten SAN/UC/Multi-domein certificaten Wildcard certificaten

Validatie methoden: Domain validatie (DV) (Voor alle soorten) Organisatie validatie (OV) (Voor alle soorten) Uitgebreide validatie (EV) (Alleen voor domein en Multi-Domein)

Verkrijgen van een SSL Certificaat

HTTPS

Wat heb ik ervoor nodig? Een uniek IP adres of “Server Naam Indicatie” (SNI) functionaliteit. Correcte contact informatie in WHOIS database, bijv. SIDN voor .NL. Bedrijf/Organisatie validatie documenten.

Verkrijgen van een SSL Certificaat

HTTPS

Hoe te verkrijgen? Er zijn verschillende methoden voor het verkrijgen van een certificaat en

alle methoden resulteren in dezelfde certificaat. Een IT partner kan ondersteunen bij het verkrijgen van een SSL certificaat. Het is mogelijk om een certificaat bij verschillende leveranciers te

verkrijgen.Root leveranciers:

(Marktleider) (Nummer 2, Marktleider) (Oudste SSL leverancier) (Snelst groeiende SSL leverancier)

Verkrijgen van een SSL Certificaat

HTTPS

Hoeveel tijd kost het?Afhankelijk van het type certificaat en welke leverancier er gebruikt wordt, kost het verkrijgen van minuten tot weken.

Een domein validatie certificaat duurt minuten. Een organisatie validatie certificaat kan een paar uur tot een paar

dagen duren. Een uitgebreide validatie certificaat kan een

paar dagen tot een paar weken duren.

Verkrijgen van een SSL Certificaat

HTTPS

Hoe implementeer ik een Certificaat? Hosting leverancier. ICT Partner Hosting beheerpaneel (DirectAdmin, Plesk,

Cpanel en andere) Welk onderhoud is er nodig?

Certificaat vernieuwen / verlengen. Certificaat vervangen / upgraden.

Implementatie en onderhoud

HTTPS

SHA-1 encryptie is achterhaald en zal waarschuwingen veroorzaken in de browser sinds 01 Januari 2016

HTTP Strict Transport Security (HSTS) HTTP/2 (Het nieuwe internet), meeste browsers accepteren alleen HTTP

met TLS 1.2 als vereiste. Browsers gaan waarschuwing geven bij websites zonder HTTPS

Goed om te weten!

HTTPS

Systeem - Algemene Instellingen – Forceer HTTPS .htaccess aanpassing (Afhankelijk van Hosting provider)

Joomla & HTTPS!

HTTPS

Plaatjes

HTTPS

Plaatjes

HTTP

HTTPS

HTTPS