Wat is een SSL-certificaat en waarom is het belangrijk?

SSL staat voor Secure Sockets Layer; het is de standaardtechnologie voor het beveiligen van een internetverbinding en het beschermen van gevoelige gegevens die tussen twee systemen worden verzonden. De twee systemen kunnen server-naar-client zijn (bijvoorbeeld een winkelwebsite en browser) of server-naar-server (bijvoorbeeld een applicatie met persoonlijk identificeerbare informatie of salarisgegevens).

Inhoudsopgave

Wat is een TLS-certificaat?

TLS staat voor Transport Layer Security, een bijgewerkte en veiligere versie van SSL. TLS is een cryptografisch protocol dat een gecodeerde sessie tussen applicaties via internet tot stand brengt.

TLS-certificaten bevatten doorgaans de volgende informatie:

• De onderwerp-domeinnaam
• De onderwerporganisatie
• De naam van de uitgevende CA
• Aanvullende of alternatieve onderwerpdomeinnamen, inclusief subdomeinen, indien van toepassing
• Datum van uitgave
• Vervaldatum
• De publieke sleutel (de privésleutel blijft echter geheim.)
• De digitale handtekening van de CA

Hoe werkt TLS?

TLS maakt gebruik van een combinatie van symmetrisch en asymmetrisch cryptografie, omdat dit een goede onderhandeling biedt tussen prestaties en beveiliging bij het veilig verzenden van gegevens.

Meer informatie over TLS-handshake:

Certificaatbeheer | Gebruik | Beveiliging | Woordenlijst encryptie (encryptionconsulting.com)

Standaard SSL-handshake

De communicatie via SSL begint altijd met de SSL-handshake. De SSL-handshake stelt de browser in staat de webserver te verifiëren, de openbare sleutel te verkrijgen en een beveiligde verbinding tot stand te brengen vóór de daadwerkelijke gegevensoverdracht.

De volgende stappen zijn betrokken bij de standaard SSL-handshake:

1. Klant Hallo

   De server communiceert met de client via SSL. Dit omvat het SSL-versienummer, coderingsinstellingen en sessiespecifieke gegevens.

2. Server Hallo

   De server reageert met een 'server hello'-bericht. Dit bericht bevat het SSL-versienummer van de server, coderingsinstellingen, sessiespecifieke gegevens, een SSL-certificaat met een openbare sleutel en andere informatie die de client nodig heeft om via SSL met de server te communiceren.

3. authenticatie

   De client verifieert het SSL-certificaat van de server bij de CA (Certificate Authority) en authenticeert de server. Als de authenticatie mislukt, weigert de client de SSL-verbinding en genereert een uitzondering. Als de authenticatie slaagt, gaat de client verder met de volgende stap.

4. decryptie

   De client maakt een sessiesleutel aan, versleutelt deze met de openbare sleutel van de server en verstuurt deze naar de server. Als de server om clientauthenticatie heeft gevraagd (meestal bij server-servercommunicatie), verstuurt de client zijn eigen certificaat naar de server.

5. Versleuteling met sessiesleutel

   De server decodeert de sessiesleutel met zijn privésleutel en stuurt de bevestiging, gecodeerd met de sessiesleutel, naar de client.

Aan het einde van de SSL-handshake beschikken zowel de client als de server over een geldige sessiesleutel. Deze sleutel gebruiken ze om de oorspronkelijke gegevens te versleutelen of ontsleutelen.

Welke soorten SSL-certificaten zijn er?

Er zijn tegenwoordig verschillende typen SSL-certificaten beschikbaar, afhankelijk van het validatieniveau en het aantal domeinen dat ze beveiligen. SSL-certificaten op basis van validatieniveau:

1. Domein gevalideerd certificaat

   Het Domain Validated (DV)-certificaat vereist het laagste validatieniveau, omdat DV-certificaten vooral bedoeld zijn om de communicatie tussen de webserver en de browser van het domein te beveiligen. De CA controleert alleen of de eigenaar controle heeft over het domein.

2. Organisatie gevalideerde certificaten

   Het Organization Validated (OV)-certificaat vereist een validatie op gemiddeld niveau, waarbij de CA de rechten van een organisatie controleert om het domein en de informatie van de organisatie te gebruiken. Het OV-certificaat verhoogt het vertrouwensniveau van de organisatie en haar domein.

3. Uitgebreide gevalideerde certificaten

   Het Extended Validated (EV)-certificaat vereist een validatie op hoog niveau, waarbij de CA strenge achtergrondcontroles op de organisatie uitvoert volgens de richtlijnen. Dit omvat verificatie van het juridische, fysieke en operationele bestaan ​​van de entiteit.

SSL-certificaten op basis van het aantal domeinen:

1. Enkel domeincertificaat

   Single Domain Certificaten beveiligen één volledig gekwalificeerde domeinnaam of subdomeinnaam.

2. Wildcard SSL-certificaat

   Wildcard-certificaten dekken één domeinnaam en een onbeperkt aantal subdomeinen daarvan

3. Multi-domein SSL-certificaat

   Het Multi-Domain SSL-certificaat beveiligt meerdere domeinen met hetzelfde certificaat met behulp van de SAN-extensie. Het is speciaal ontworpen om Microsoft Exchange- en Office Communication-omgevingen te beveiligen.

Hoe weten bezoekers dat mijn site een SSL-certificaat heeft?

Hieronder staan ​​een aantal visuele aanwijzingen die aangeven dat een website een SSL-certificaat heeft:

• Hangslot links van een URL
• Een https URL-prefix in plaats van http
• Een vertrouwenszegel
• Een groene adresbalk (wanneer een EV SSL-certificaat is uitgegeven)

Hoe gebruikt SSL/TLS zowel asymmetrische als symmetrische encryptie?

SSL maakt gebruik van symmetrische encryptie om gegevens te versleutelen tussen de browser en de webserver, terwijl asymmetrische encryptie wordt gebruikt om gegenereerde symmetrische sleutels uit te wisselen die de identiteit van de client en de server valideren.

Verschil tussen SSL- en TLS-certificaten

Het verschil tussen SSL- en TLS-certificaten is klein, maar de belangrijkste verschillen zijn:

Ter vergelijking	SSL	TLS
Afkorting	SSL staat voor “Secure Socket Layer”.	TLS staat voor “Transport Layer Security.”
Cipher-suites	SSL-protocol biedt ondersteuning voor Fortezza-ciphersuite	Cipher suites Het SSL-protocol biedt ondersteuning voor de Fortezza-cipher suite. Dankzij het standaardisatieproces van TLS is het veel eenvoudiger om nieuwe cipher suites te definiëren, zoals RC4, Triple DES, AES, IDEA, etc.
Versie	Er zijn drie versies van SSL uitgebracht: SSL 1.0, 2.0 en 3.0	Er zijn vier versies van TLS uitgebracht: TLS 1.0, 1.1, 1.2 en 1.3
Versiestatus	Alle versies van SSL zijn kwetsbaar bevonden en zijn allemaal verouderd.	TLS 1.0 en 1.1 zijn "kapot" en zijn sinds maart 2020 verouderd. TLS 1.2 is de meest gebruikte protocolversie
Veilige communicatie	SSL is een cryptografisch protocol dat expliciete verbindingen gebruikt om veilige communicatie tussen de webserver en de client tot stand te brengen	TLS is ook een cryptografisch protocol dat veilige communicatie tussen de webserver en de client via impliciete verbindingen mogelijk maakt. Het is de opvolger van het SSL-protocol.
Meestergeheim	SSL creëert een master secret, het berichtdigest van het pre-master secret wordt gebruikt	TLS gebruikt een pseudowillekeurige functie om het hoofdgeheim te genereren

Hoe controleer ik een SSL-certificaat in Chrome en Firefox?

Elke sitebezoeker kan de onderstaande stappen volgen om certificaatinformatie in Chrome te verkrijgen:

• Klik op het hangslotpictogram in de adresbalk van de website
• Klik op Certificaat (Geldig) in de pop-up
• Controleer de geldigheidsdatums om te controleren of het SSL-certificaat actueel is

Iedere bezoeker van de site kan de onderstaande stappen volgen om certificaatinformatie in Firefox te verkrijgen:

• Klik op het hangslotpictogram in de adresbalk van de website
• Om de details van het certificaat te bekijken, klikt u op 'meer informatie'

Voor meer informatie over het certificaat klikt u gewoon op “Certificaat bekijken”.

Hoe vindt u uw SSL-certificaat?

Er zijn twee methoden om de geïnstalleerde SSL-certificaten op uw website te vinden. In een Windows Server-omgeving worden de geïnstalleerde certificaten opgeslagen in certificaatopslagplaatsen. Deze containers bevatten één of meer certificaten. Deze containers zijn:

• Persoonlijk: bevat certificaten die zijn gekoppeld aan de persoonlijke sleutels waartoe de gebruiker toegang heeft.
• Vertrouwde root Certificeringsinstanties, dat alle certificaten in de opslag van Third-Party Root Certification Authorities bevat, plus rootcertificaten van klantorganisaties en Microsoft
• Tussenliggende certificeringsinstanties, waaronder certificaten die zijn uitgegeven aan ondergeschikte certificeringsinstanties.

U kunt de certificaatarchieven handmatig op uw lokale computer controleren:

• Stap 1: Open Microsoft Management Console (MMC)

  Uitvoeren > typ mcc > EnterOfOpen opdrachtprompt > typ mcc > Enter

• Stap 2: Klik op Bestand in het menu > selecteer Snap-in toevoegen/verwijderen

• Stap 3: Kies Certificaten in de lijst Beschikbare modules en selecteer vervolgens Toevoegen.

• Stap 4: Selecteer Computeraccount > klik op Volgende.

• Stap 5: Selecteer Lokale computer > klik op Voltooien.

• Stap 6: Klik in het venster ‘Snap-ins toevoegen of verwijderen’ op OK.

• Stap 7: Om uw certificaten in de MMC-module te bekijken, selecteert u een certificaatarchief in het linkerdeelvenster. De beschikbare certificaten worden weergegeven in het middelste deelvenster.

• Stap 8: Dubbelklik op een certificaat. Het venster Certificaat verschijnt, waarin de verschillende kenmerken van het geselecteerde certificaat worden weergegeven.

Certificaatbeheertool

Dit is een andere methode om de geïnstalleerde certificaten te bekijken door Windows te starten Certificaatbeheertool.

• Stap 1: Ga naar uw lokale computer > open de opdrachtconsole > typ certlm.msc (het certificaatbeheerprogramma voor het lokale apparaat wordt weergegeven)
• Stap 2: Onder Certificaten – Lokale computer > vouwt u de map uit voor het type certificaat dat u wilt bekijken

Hoe kunt u bepalen of de site die u bezoekt SSL-certificaten gebruikt?

Naast het controleren van uw eigen certificaat, is het belangrijk om te kunnen bepalen of de site die u bezoekt SSL-certificaten gebruikt. Hieronder staan ​​een paar punten waarmee u rekening moet houden om te controleren of de site certificaten gebruikt:

1. Let op de "https" in de URL van de website die u bezoekt. De "s" geeft aan dat deze website een SSL-certificaat gebruikt.
2. Als u Firefox gebruikt, klikt u op het hangslot in de adresbalk. In de vervolgkeuzelijst ziet u nu beveiligde verbinding. Deze beveiligde verbinding geeft aan dat SSL correct is geconfigureerd.

Hoe controleer ik of een SSL-certificaat geldig is?

De geldigheidsduur van SSL-certificaten ligt over het algemeen tussen de één en drie jaar. De geldigheidsduur van het certificaat is volledig afhankelijk van het bedrijfsbeleid, kostenoverwegingen, enz. Er zijn verschillende tools beschikbaar om de geldigheid van SSL-certificaten te controleren. In dit artikel laten we zien hoe u dit zelf kunt doen.

• Optie 1: Dit proces is tijdrovend

  Uitvoeren > certlm.msc > open Certificaten Lokale computer

  Controleer de lijst met certificaten in de winkel om er zeker van te zijn dat alleen de legitieme certificaten zijn geïnstalleerd.

• Optie 2: Download het Windows sysinternals-hulpprogramma

  Gebruik het Windows Sysinternals-hulpprogramma genaamd sigcheck > Downloaden

  Zodra het is gedownload en geïnstalleerd > voer de opdracht uit sigcheck -tv

  Sigcheck downloadt de lijst met vertrouwde Microsoft-rootcertificaten en levert alleen uitvoer voor geldige certificaten.

Hoe stel ik SSL-certificaten in op Linux?

Installeer een SSL-certificaat op Linux (Apache)-servers: 

1. Upload het certificaat en de sleutelbestanden via S/FTP.
2. Meld u aan bij de server via SSH (als rootgebruiker).
3. Voer root-wachtwoord in
4. Verplaats het certificaatbestand en het sleutelbestand naar /etc/httpd/conf/ssl.crt.

   4.1. [Het is belangrijk om de bestanden te beveiligen door de rechten te beperken. Met 'chmod 0400' beperkt u de rechten voor de sleutel op een veilige manier.]

5. Om de instellingen voor de virtuele hostconfiguratie voor het domein te bewerken, gaat u naar etc/httpd/conf.d/ssl.conf..
6. Start Apache opnieuw
7. Test het SSL-certificaat met verschillende browsers.
8. Bezoek de site met de beveiligde https-URL om te controleren of het SSL-certificaat correct werkt. Voorbeeld: www.encryptionconsulting.com/

Hoe stel ik SSL-certificaten in Windows in?

Hieronder volgen de stappen voor het installeren van een SSL-certificaat op Windows Server 2016: 

1. Sla het SSL-certificaatbestand .cer op op de server (waar de CSSR is aangemaakt) (bijvoorbeeld mijndomein.cer).
2. Windows startmenu > typ Internet Information Services (IIS) > Openen
3. Klik op de aansluitingen menuboom > lokaliseren en Klik aan de servernaam
4. Server naam Home pagina > Actie Menu > Klik volledig certificaataanvraag
5. In de Certificaataanvraag voltooien wizard > op de Geef het antwoord van de certificeringsinstantie op pagina > Bestandsnaam met het antwoord van de certificeringsinstantie > Klik op het vakje en selecteer de .cer filet
6. Type A Vriendelijke naam voor het certificaat (de vriendelijke naam wordt gebruikt om het certificaat te identificeren door de CA en de vervaldatum toe te voegen).
7. Selecteer een certificaat winkel voor het nieuwe certificaat: Selecteer in de vervolgkeuzelijst Webhosting.
8. Certificaat Succesvol geïnstalleerd.
9. Om het certificaat nu aan een geschikte site toe te wijzen > ga naar Internet Information Services (IIS)-beheerder > Menu Verbindingen > vouw de naam uit van de server waarop het certificaat is geïnstalleerd > vouw uit Locaties > selecteer de sites om het SSL-certificaat te beveiligen

   9.1.1 Op de website Homepagina > Acties menu > Site bewerken.. klik bindingen link

10. Sitebinding Venster > klikken Toevoegen
11. In de Sitebindingen toevoegen venster, doe het volgende:

    Type: In de vervolgkeuzelijst > Selecteren https

    IP-adres: Selecteer het IP-adres van de website of selecteer Alles Niet-toegewezen.

    Haven: Type poort 443De poort waarover het verkeer beveiligd is door SSL is poort 443.

    SSL-certificaat: Selecteer in de vervolgkeuzelijst uw nieuwe SSL-certificaat (bijv. mijndomein.com).

12. Het SSL-certificaat is nu succesvol geïnstalleerd.
13. Bezoek de site met de beveiligde https-URL via verschillende browsers om te controleren of het SSL-certificaat correct werkt.

Hoe verleng je een SSL-certificaat?

Het verlengen van een certificaat is technisch gezien het aanschaffen van een nieuw certificaat voor
het domein en het bedrijf. Volgens de industrienormen worden certificaten geleverd met
een vervaldatum. Wanneer het certificaat verloopt, is het niet langer geldig. Dus,
Wanneer u een certificaat “verlengt”, moet de certificeringsinstantie een nieuw certificaat uitgeven
om het verlopen certificaat te vervangen, en het nieuwe certificaat moet op de
server.

Er zijn twee procedures om het certificaat te verlengen:

• Een zelfondertekend certificaat verlengen
• Een certificaat van een CA verlengen

Een zelfondertekend certificaat verlengen

• Klik op uw Windows-server op de startmenu > ga naar Systeembeheer > klik op Internet Information Services (IIS).
• Klik op de naam van de server in de kolom Verbindingen > Dubbelklik op Servercertificaten.

• In de Acties kolom aan de rechterkant > klik op Zelfondertekend certificaat maken

• Voer een willekeurige in vriendelijke naam En klik vervolgens op OK.

• Het zelfondertekende certificaat is aangemaakt, is 1 jaar geldig en staat vermeld onder Servercertificaten.

• Koppel nu het zelfondertekende certificaat aan de site. Ga naar aansluitingen (linkerkolom)> vouw de locaties map > klik op de website waaraan u het certificaat wilt koppelen > Klik op bindingen in de rechterkolom onder Acties.

• Klik op bindingen > Op de site Bindingenvenster > klik op de Toevoegen
• Verander het type naar https > Selecteer het SSL-certificaat dat u zojuist hebt geïnstalleerd > Klik op OK.

• De binding voor poort 443 wordt nu vermeld.

• Voeg nu uw zelfondertekende certificaat toe aan de vertrouwde basiscertificeringsinstanties. Open Microsoft-beheerconsole (MMC), maak een certificaatmodule voor het lokale computeraccount (zie de stappen in de Hoe vindt u uw SSL-certificaat? sectie hierboven)
• Onder Certificaten > vouw Persoonlijk uit > Klik op de map Certificaten > Klik met de rechtermuisknop op het zelfondertekende certificaat > Kopiëren

• Onder Trusted Root Certification Authorities map > klik op de map Certificaten > Klik met de rechtermuisknop in het witte gebied onder de certificaten en klik pasta.

Een certificaat van een CA verlengen

In dit voorbeeld laten we u zien hoe u het rootcertificaat van uw CA kunt verlengen.

• Ga naar de Microsoft Management Console (MMC) van uw Windows-server > start de module Certificeringsinstantie > klik met de rechtermuisknop op de naam van de certificeringsinstantie > Alle taken > CA-certificaat vernieuwen.

• Er verschijnt een waarschuwing over het installeren van een CA-certificaat, waarin we worden geïnformeerd dat Active Directory-certificaatservices moet gestopt worden. Selecteer Ja.

• Op de Venster CA-certificaat vernieuwen, U kunt ervoor kiezen om het bestaande CA-sleutelpaar te gebruiken of een nieuw sleutelpaar te genereren voor certificaatvernieuwing. De standaardoptie is om het huidige openbare en privésleutelpaar te hergebruiken.

• Om te controleren of het certificaat is vernieuwd, klikt u met de rechtermuisknop op de naam van de certificeringsinstantie > Eigenschappen > Algemeen

Hoe kan Encryption Consulting helpen?

Encryption Consulting biedt een gespecialiseerde oplossing voor het beheer van de levenscyclus van certificaten CertSecure ManagerVan detectie en inventarisatie tot uitgifte, implementatie, verlenging, intrekking en rapportage. CertSecure biedt een allesomvattende oplossing. Intelligente rapportgeneratie, waarschuwingen, automatisering, automatische implementatie op servers en certificaatregistratie voegen extra lagen van verfijning toe, waardoor het een veelzijdige en intelligente tool is.

Conclusie

Een website heeft een SSL/TLS-certificaat nodig om gebruikersgegevens te beveiligen, het eigendom van de website te verifiëren, te voorkomen dat aanvallers een nepversie van de website creëren en het vertrouwen van de gebruiker te winnen. SSL/TLS-certificaten verifiëren dat een client communiceert met de juiste server die eigenaar is van het domein. Dit helpt domeinspoofing en andere soorten aanvallen te voorkomen.