Secure we can!
07-07-2017 22:07 - De kranten staan bol van de berichten over cyberaanvallen, gehackte computers en gekaapte gebruikersaccounts. Toch wordt er nog veel te weinig gedaan aan beveiliging van gegevens die gebruikers over internet sturen bij het bezoeken van een website. Ten onrechte, want beveiliging van het verkeer naar uw website is zo geregeld.
De installatie van een zogenaamd SSL-certificaat is een goede eerste stap om de gegevens van de bezoekers op uw website te beschermen. Een SSL-certificaat resulteert in het bekende ‘groene slotje’ in de adresbalk. Het slotje geeft aan dat het verkeer tussen de gebruiker (client) en de website (server) versleuteld (ge-encrypt) verstuurd wordt en dus alleen leesbaar is voor de ontvanger en de verzender. Daardoor kan internetverkeer niet willekeurig afgetapt en gelezen worden.
Aftappen van internetverkeer is al lang geen rocket-science meer en kan relatief eenvoudig gebeuren via onbeveiligde (en beveiligde!) wifi-hotspots. Ook worden speciaal voor dat doel ‘open’ wifi-hotspots neergezet met netwerknamen als ‘kpn’ of ‘WIFI in de trein’; bijvoorbeeld in de buurt van een terrasje. Als beveiligingsinstellingen niet goed staan, maken smartphones en laptops vaak automatisch verbinding met dat soort netwerken. Al het dataverkeer van de nietsvermoedende terrasbezoeker kan zo worden ondervangen en bijvoorbeeld inloggegevens kunnen worden misbruikt.
Ook interne computer-netwerken zijn kwetsbaar voor het aftappen van gegevens. Als er iemand (bijvoorbeeld een schoonmaker) in een uithoek van een bedrijfsgebouw (onder het systeemplafond) een wifi-zendertje in het bedrijfsnetwerk weet te pluggen en het bedrijfsnetwerk niet goed is afgeschermd, kan daarmee eenvoudig het surfgedrag van alle werknemers worden afgetapt.
Een end-to-end encryptie zoals een SSL/HTTPS verbinding beschermt de bezoekers van uw website tegen dit soort inbreuk op hun privacy en veiligheid. Zeker als u een contactformulier op uw website heeft staan of andere input van gegevens van uw bezoekers vraagt, is het noodzaak dat u uw website tegen dit soort ‘man in the middle’ aanvallen beschermd.
Soms wordt het aftappen van gegevens door de beheerder van het netwerk zelf gedaan. Bijvoorbeeld om te onderzoeken waar werknemers in een bedrijf zich mee bezig houden.
Hoe dan ook, eigenlijk wilt u nooit dat er iemand mee kan lezen in het contact tussen u en de bezoekers op uw website. Dat geld helemaal als u een enigszins privacy gevoelige taak vervult in de samenleving, zoals bijvoorbeeld een huisartsenpost, school, thuiszorgorganisatie of advocaat. Maar ook als u alleen maar een email-adres of een telefoonnummer van iemand vraagt en bewaart, moet u uw website kritisch scannen op dataveiligheid. Dat bent u volgens ‘De Wet bescherming persoonsgegevens’ verplicht.
Als u nog geen SSL-certificaat op uw website heeft geïnstalleerd, bent u niet de enige. Een korte rondgang langs een aantal websites waar ik als ‘gewone’ internetgebruiker regelmatig gebruik van maak, geeft een dramatisch beeld:
De website van de PO-school van mijn zoon, is onbeveiligd. Een bericht dat ik via het contactformulier verstuur, kan door kwaadwillenden onderschept en gelezen worden. De website van het plaatselijke verzorgingshuis idem dito. Ook de website van een advocaat gespecialiseerd in scheidingszaken en de website van een bekende notaris in de stad met daarop een prachtig ‘offerte aanvraag formulier’ zijn niet beveiligd. De website van de zwemschool met daarop een inlog voor het volgen van de vorderingen werkt zonder SSL-certificaat, evenals de website van de lokale energiecoöperatie… en ga zo maar door. De gemeente Zutphen spant de kroon. Je krijgt van gemeente Zutphen een keurig SSL certificaat aangeboden, als je tenminste de moeite neemt om in de adresbalk netjes ‘https://’ voor de domeinnaam te typen. Ik ben benieuwd hoeveel mensen dat zullen doen en hoeveel mensen überhaupt weten dat dat een mogelijkheid is. De burger even automatisch doorverwijzen naar de beveiligde verbinding is voor gemeente Zutphen blijkbaar een brug te ver…
Naschrift: inmiddels heeft gemeente Zutphen de website zo aangepast dat er wel automatisch verwezen wordt naar een https-verbinding. Blijkbaar is ons blog gelezen. Tijd voor les 2: Stop toch eens met die Analytics-ziekte. (blog volgt)
Het blijkt dus voor heel veel bedrijven en instanties erg moeilijk om in lijn met de Wet Bescherming Persoonsgegevens de boel op orde te brengen. En voordat ik mij er goed in verdiept had, dacht ik ook dat zo'n certificaat duur en ingewikkeld is. We hadden daarom maar één server laten inrichten met één certificaat op één sub-domein, waar we veel geld voor moesten betalen. Overal waar op onze websites gevraagd werd om input van gegevens door de gebruiker (contact en inschrijfformulieren, bestelmodule, fileserver), werd dat door die ene server afgehandeld
Inmiddels weten we beter. Een SSL certificaat hoeft niet duur te zijn en als je eenmaal weet hoe het werkt, heb je het binnen een kwartier geregistreerd en geïnstalleerd. Er is dus voor de advocaat, de notaris en de zwemschool en het verzorgingshuis, geen enkele reden om er nog langer mee te dralen. Trek je webontwikkelaar aan zijn staart en installeer dat certificaat!
Zo installeer je een SSL certificaat
In dit voorbeeld gaan we uit van de veel gebruikte webserver administratiesoftware DirectAdmin.
1) Zoek een SSL certificerings bedrijf.
Wij zijn bij Xolphin.nl uitgekomen. Een gerenommeerd bedrijf dat certificaten van verschillende uitgevers aanbiedt.
2) Kies een certificaat
Er zijn heel veel verschillende type certificaten. In veel gevallen voldoet de goedkoopste. Het Comodo PositiveSSL certificaat kost 8 euro per jaar en beveiligd het dataverkeer in principe net zo goed als het Symantec Secure Site Pro EV-certificaat van € 850,00 per jaar. Het verschil tussen die twee zit hem in andere opties, zoals het tonen van de eigenaar van de website.
3) Geneer een Certificate Signing Request
In DirectAdmin kan je via Geavanceerd -> SSL certificaten, met de optie ‘vraag een certificaat aan’ een ‘Certificate Signing Request’ aanmaken. Deze CRS geef je door in de aanvraag bij het certificeringsbedrijf.
4) Doe de validatie en plaats het certificaat.
Als je een Comodo PositiveSSL certificaat hebt aangevraagd, krijg je na de validatie, van Xolphin een mapje toe gemaild met een reeks bestandjes. Het was mij in eerste instantie niet helemaal duidelijk waar wat nu precies voor nodig was. Maar je moet er het volgende mee doen:
- open het bestandje [domeinnaam].crt in een text-editor en kopieer-plak de inhoud in DirectAdmin -> Geavanceerd -> SSL certificaten, in het veld ‘Plak een zelf gegenereerd certificaat en sleutel’. Maar let op: Plak het certificate onder de tekst ‘END RSA PRIVATE KEY’, want de private key moet blijven staan.
- open alle drie de bestandjes in het mapje ‘Root Certificates’ in een text-editor. Plak de inhoud van de drie bestandjes onder elkaar (zonder dat er witregels ontstaan). Ga naar DirectAdmin -> Geavanceerd -> SSL certificaten en klik op het linkje ‘Klik Hier om de CA root certificaat te plakken’. Kopieer en plak nu de drie certificaten en klik de optie ‘Gebruikt een CA cert.’ aan en klik op Opslaan.
In principe is je website nu voorzien van een werkend SSL-certificaat.
5) Zorg dat je bezoeker gebruik maakt van de https-verbinding.
Nu je een SSL certificaat geïnstalleerd hebt, is het ook de bedoeling dat de bezoekers van je website hier gebruik van gaan maken. Je kunt dit makkelijk forceren door een stukje php-code aan het begin van het laden van je website uit te laten voeren.
_________________
if ($_SERVER['HTTPS']!="on")
{
$redirect= "https://www.mijnwebsite.nl".$_SERVER['REQUEST_URI'];
header("Location:$redirect");
exit;
}
__________________
Hiermee zorg je ervoor dat als er geen https-verbinding actief is, de gebruiker doorgestuurd wordt naar wel een https-verbinding. Om dit goed te laten werken moet je mogelijk de optie aanvinken in DirectAdmin -> Domeininstellingen -> Gebruik een symbolic link van private_html naar public_html.
