Alles over SSL (TLS) voor jouw Magento webshop

Geschreven door Mats van de Seijp.

SSLVoor een webshop is het van levensbelang dat jouw klanten veilig kunnen winkelen. Een beveiligde verbinding tussen de klant en jouw webshop is hiervoor essentieel. Daarmee laat je zien dat je de gegevens en privacy van je klant belangrijk vind, en bouw je het vertrouwen op met de klant zodat hij jou uiteindelijk de koop gunt.

 

Om dit goed in te richten loop je echter al snel tegen termen als HTTPS, (full) SSL, TLS, certificaten en CDN aan. In deze blog leggen wij je uit wat deze termen nou precies betekenen, wat een certificaat is en hoe je deze aanvraagt en configureert op jouw Magento shop.

 

Wat is HTTPS, SSL en TLS?

HTTPS staat voor ‘HyperText Transfer Protocol Secure’ en is de veilige variant van HTTP. Het is het protocol voor communicatie tussen een webclient (de browser die de klant gebruikt) en een webserver (waar jouw Magento shop op draait). De laatste letter, de “S” (Secure), verschijnt in de URL wanneer een website is beveiligd met een SSL (TLS) certificaat.

Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) is een techniek waarmee de verbinding tussen de bezoeker van een website en de server waar de website is ondergebracht wordt beveiligd middels encryptie. Vaak wordt er gedacht dat SSL alleen nodig is als een bezoeker gegevens verstuurt via de website, maar SSL doet veel meer! SSL zorgt dat kwaadwillende niet kunnen meelezen met wat de bezoeker naar jouw website verstuurt. Maar het voorkomt ook dat informatie die naar de website verstuurd wordt, of vanaf jouw Magento shop verzonden wordt, aangepast kan worden.

Transport Layer Security (TLS)

Transport Layer Security (TLS) is een verbeterde en veiligere versie van SSL. Omdat SSL echter nog steeds de meest gebruikte term is zie je TLS maar weinig voorbij komen. Maar wanneer je een SSL certificaat aanschaft, koopt je in werkelijkheid een TLS certificaat zodat je van de best beveiligde optie gebruikt maakt.
Met HTTPS en SSL (TLS) ben je dus zeker van:

  • Encryptie
    • De gegevens tussen de server (waar jouw webshop op draait) en je bezoekers worden versleuteld verzonden. Kwaadwillende kunnen niet met bezoekers meekijken of informatie stelen terwijl deze de webshop bezoeken;.
  • Data integriteit
    • De gegevens die heen en weer gestuurd worden tussen de server en bezoekers kunnen onderweg niet veranderd worden zonder dat het gemerkt wordt;.
  • Authenticatie
    • Klanten weten zeker dat ze jouw website bezoeken. Er kan geen partij tussenkomen die de klant stiekem naar een andere website leidt.

Veiligheid voor de gebruikers staat bij Google hoog in het vaandel en Google pusht daarom sinds medio 2014 al websites om SSL (TLS) te gebruiken. Sinds 2017 heeft het ontbreken ervan ook serieuze impact op de SEO en geven veel browsers ook een pop-up met “dit is geen veilige site”. Een veilige SSL -verbinding is dus echt een must.

Waar kan ik een SSL (TLS) certificaat krijgen?

Voor een SSL certificaat kun je kiezen voor een Certificate Authority(CA). Deze bedrijven beloven alleen certificaten uit te geven aan gevalideerde eigenaren van domeinen. Doordat de CA vertrouwd is, kun je de klant van de CA ook vertrouwen. Enkele merken van SSL certificaten zijn RapidSSL, AlphaSSL, GeoTrust en Thawte. SSL certificaten verkrijg je meestal tegen betaling. Je hebt echter ook een gratis SSL certificaat. Hiervoor kun je Let’s Encrypt gebruiken. Het opzetten hiervan is echter wel voor de gevorderde gebruiker en kan alleen worden gebruikt voor Domain Validation (we leggen verderop het verschil tussen de verschillende validatie types uit). Voor het managen van certificaten voor ontwikkelomgevingen is Let’s Encrypt ideaal, omdat de bijgeleverde tools het mogelijk maken de certificaten automatisch te laten verlengen.

Waar moet je op letten bij het configureren van een SSL (TLS) certificaat?

HTTPS of full HTTPS?
Full HTTPS, ook wel full SSL genoemd, will zeggen dat alle pagina’s van jouw webshop HTTPS zijn (bijvoorbeeld, i.p.v. alleen de check-out pagina). Het betekent ook dat alle resources binnen een pagina (extern ingeladen fonts, de afbeeldingen, etc) via SSL worden ingeladen. Dit biedt meerdere voordelen:

  • 1. Je houdt Google te vriend. HTTP pagina’s worden immers steeds slechter gewaardeerd door de grote zoekmachine. Op SEO gebied is dat dus zeker aan te raden. Je kunt er meer over lezen in de blog van Google.
  • 2. Het stelt je in staat HTTP2 aan te bieden. HTTP2 stelt de browser in staat om meerdere resources (css, js) tegelijk te laden over 1 verbinding, i.p.v. voor ieder bestand een aparte verbinding op te zetten. Dit komt de performance (snelheid) van jouw Magento shop ten goede, wat weer beter is voor de SEO en gebruiksvriendelijkheid.
  • 3. Voor alle pagina’s op jouw webshop gelden de voordelen van SSL (TLS); Encryptie, data integriteit en authenticatie.
  • 4. Er loopt geen data meer over HTTP. Dit betekent dat jouw klanten geen waarschuwingen van hun browser kunnen krijgen (zoals hieronder). Een killer voor het vertrouwen in een webshop.


waarschuwing als SSL ontbreekt

Verschillende validatie niveaus

SSL (TLS) voorziet in meerdere niveaus waarop de aanvrager van een certificaat geverifieerd wordt, en dit vertaalt zich in uitgebreidere vertrouwenssymbolen in de browser.

Domein validatie (DV)
De simpelste vorm van validatie waarbij alleen gekeken wordt of de aanvrager in het bezit is van het domein waarvoor de aanvraag wordt gedaan. Wij raden deze vorm af voor webshops.

Organisatie validatie (OV)
OV certificaten wekken meer vertrouwen doordat de organisatie meegegeven wordt bij de aanvraag, en die wordt op een basis manier geverifieerd. Daardoor wordt de organisatie (bedrijfsnaam) ook weergegeven als informatie over het SSL certificaat wordt opgevraagd. De organisatie naam wordt echter niet pro-actief in de browserbalk meegegeven. Dit is een goede certificaat vorm voor beginnende en kleinere webshops.

Extended Validation (EV) certificaten

Extended Validation (EV) certificaten doen er nog een schepje bovenop om de gebruiker te overtuigen dat men op een veilige website surft. EV certificaten eisen namelijk meer dan alleen het kunnen aantonen van eigenaarschap van een domeinnaam. Zo worden onder andere ook de KvK gegevens gecontroleerd van de webshop. In de adresbalk krijg je dan naast het bekende groene slotje ook jouw bedrijfsnaam erbij. Wij raden deze certificaten aan voor de grotere webshops.

Extended Validation EV Certificaten in browser


SSL (TLS) op de server

Het is belangrijk dat de configuratie van de SSL verbinding op de server goed is ingesteld. Heb je een managed server, dan zal de hoster dit voor je bijhouden. Beheer je de server zelf, dan zal je dit zelf moeten doen.

Naast het configureren van de SSL op de server is het ook verstandig de server zelf up to date te houden. Oudere SSL pakketten kunnen kwetsbaar zijn voor bijvoorbeeld, Heartbleed, een ernstig lek in een veel gebruikt SSL pakket.

Tot slot wil je verifiëren of de SSL instellingen goed geconfigureerd zijn, want door een verkeerde configuratie kunnen oude en/of zwakke sleutels nog steeds toegestaan zijn wat inbreuk mogelijk maakt. Dit moet ook regelmatig, bijvoorbeeld jaarlijks, gecontroleerd worden aangezien hackers steeds slimmer worden en noodgedwongen de SSL standaard zich verder ontwikklen. Zo staat TLS 1.3 voor de deur, dat weer veiliger maar ook sneller is. SSL labs is een goede tool om te controleren of de SSL omgeving correct geconfigureerd is. Ideaal gezien scoor je daar met je website A+.

SSL (TLS) op CDN

Veel webshops maken gebruik van een Content Delivery Network (CDN). Een CDN als Cloudflare biedt de optie om een eigen certificaat te installeren, of deze te laten genereren. Let hierbij wel op dat het certificaat zowel bij de CDN als de server in gebruik moet zijn, zodat het verkeer tussen klant, CDN en server volledig versleuteld kan verlopen.
Tot slot
SSL is dus een must voor elke Magento webshop. Maar komt veel bij kijken om dit op de juiste manier te configureren, om zo veiligheid te bieden en SEO te behouden.
Bij het installeren van een SSL certificaat wil je dus letten op:

  • 1. Ga voor Full HTTPS zodat pagina’s van jouw Magento shop zijn beveiligd
  • 2. Extended Certification (EV) certificaten geven nog meer vertrouwen aan jouw klanten
  • 3. Gebruik SSL Labs om te checken of jouw SSL certificaat goed is ingesteld op de server
  • 4. Zorg dat je SSL certificaat geldig is
  • 5. Houd je server up to date
  • 7. Bij het gebruiken van een CDN, zorg er dan voor dat het certificaat zowel bij de CDN als de Server in gebruik is.
  • 8. Redirects. Laat de webserver (Apache/nginx) redirecten en niet Magento zelf voor een beter SEO behoud.

Heb je hulp nodig bij het aanvragen of opzetten van jouw SSL certificaat? Of wil je zeker weten dat er in het Magento CMS en templates geen broken SSL’s zijn en dat alle redirects goed geconfigureerd staan? SupportDesk helpt je hier graag mee. Neem vrijblijven contact met ons op voor meer informatie.

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens