Terug naar overzicht
Zoetermeer, 5 mei 2017   -   © AD Hosting

HTTPS en dan nog veiliger

http - https - https’er - https’erst

Voor https op uw website is een SSL certificaat nodig, welke u tegen minimale kosten kunt afnemen bij AD Hosting. Hiermee wordt dan al het verkeer tussen de webserver en de internetbrowser geëncrypt zodat dit niet meer is af te luisteren. Klantgegevens of inlogs zijn dan in principe veilig. Trouwens, gebruikt u gratis WiFi hotspots? Dan is het zeker aan te raden om alleen nog maar https websites te bezoeken.

Echter bent u er dan nog niet, want ook met een SSL certificaat kan uw website nog steeds benaderd worden via http. De webbezoeker moet geforceerd worden om https te gebruiken. Dit kunt u vaak in uw CRM instellen en op onze Support pagina vindt u ook nog wat codes hiervoor.
Let er vooral op dat u geen 'onveilige' bronnen gebruikt op uw webpagina’s, zoals externe afbeeldingen of script-libraries. Hierdoor wordt uw complete website als onveilig gezien, door alle browsers. Gebruik binnen uw pagina’s daarom nooit http:// referenties.

Met deze instellingen zullen web-bezoekers uw website adres intikken (bijvoorbeeld adhosting.nl) welke de browser opent als http. De forceer codes vertellen vervolgens dat de website via https geopend moet worden, en alles is geëncrypt.

In veel gevallen is dit al goed genoeg. De bezoeker ziet een slotje, de Chrome browser vindt het veilig en ook Google geeft de site een net iets hogere ranking. Via het slotje kan de bezoeker ook uw gegevens controleren.
Maar biedt u een publieke service en vindt u veiligheid erg belangrijk, dan is dit niet genoeg. Neem de website van uw bank als voorbeeld. Als u naar de url van uw eigen bank gaat, dan heeft deze een EV certificaat (extended validation) en in de browser een groen slotje met bedrijfsnaam. Super veilig? Helaas niet altijd. Bent u ergens met gratis WiFi (restaurant, vakantieadres, etc) dan bepalen zij wat u ziet en kan men een nagemaakte bank-site tonen. Deze is dan alleen via http te zien, maar het verschil zal maar door weinig mensen gezien worden. Vooral wanneer men niet weet dat het eigenlijk https zou moeten zijn. Dit is dus een gevaarlijke situatie!

Hiervoor is een oplossing, namelijk de browser laten weten dat de website https moet zijn. Dit kan ingesteld worden door de volgende regels in de .htaccess:
<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=10886400" env=HTTPS
</IfModule>
De browser zal de website dan langere tijd (10886400 seconden = 18 weeks) direct openen in https. De misbruiker met neppe site heeft er geen certificaat voor waardoor de browser direct een ‘onveilig’ waarschuwing geeft.

Weer een stapje veiliger, maar helaas werkt dit alleen maar voor de browsers die uw website al een keer hebben geopend. Nieuwe webbezoekers kunnen dan nog steeds een neppe http site voorgeschoteld krijgen op publieke WiFi netwerken.
Om dit op te lossen werken de meeste grote browsers samen met een lijst. In deze lijst staan alle domeinnamen welke https moeten zijn en deze lijst zit hardcoded in de browser. Dus ook al heeft u zelf nog nooit www.uwbank.nl geopend, uw browser weet vooraf al dat deze met https geopend moet worden. De kwaadwillende WiFi aanbieder kan dus geen alternatieve site aanbieden.

Wilt u dit ook? Dat is dan snel en eenvoudig te regelen! U dient uw site dan aan te melden bij: https://hstspreload.org/
Maar let op, er zijn enkele belangrijke voorwaarden:
  • De website en alle subdomeinen mogen alleen maar via https te benaderen zijn (voeg ‘includeSubDomains’ toe aan de header)
  • Het is nooit meer mogelijk om af te stappen van https omdat uw domein hardcoded in browsers gezet wordt

Overweeg dus goed of u dit wilt.
Uiteraard kan AD Hosting u helpen met deze keuze en het instellen. Heeft u een EV certificaat bij AD Hosting aangeschaft dan verzorgen wij dit geheel gratis.



Terug naar overzicht