Goed organiseren en beheren van uw SSL certificaten

Evidos publiceert een artikel over het belang van SSL(certificaat) beheer.

Inleiding

Het niet beschikbaar zijn van uw online diensten kan leiden tot grote schade.  De nieuwe versies van de webbrowsers blokkeren uw website en tonen beveiligingswaarschuwingen als u de beveiliging (SSL) niet juist instelt op de website. Meer dan de helft  van de website bezoekers haken af bij beveiligingswaarschuwingen, het goed organiseren en beheren van uw SSL certificaten is essentieel.

Wat is SSL?

SSL staat voor Secure Sockets Layer en is de meest gebruikte manier om elektronische transacties via het internet te beveiligen en Internet fraude tegen te gaan.
In de browser verandert uw adres van http://www.mijnwebsite.nl naar https://www.mijnwebsite.nl en in de browser balk is een slotje terug te vinden.
Een beveiligde website kunt u activeren door een digitaal identiteitsbewijs te installeren op de webserver. Dit identiteitsbewijs wordt ook wel certificaat genoemd en is gebaseerd op versleutelingstechnieken (PKI). In het identiteitsbewijs staan de volgende identificerende gegevens:

– Webadres van de server
– Uitgifte datum
– Verloop datum
– Uitgevende instantie

Bij het bezoeken van een website is het belangrijk dat een browser de volgende controles automatisch uitvoert om fraude te voorkomen:
1. Komt het adres dat de eindgebruiker intypt overeen met het adres in het identiteitsbewijs

2. Is het identiteitsbewijs verlopen
3. Is het identiteitsbewijs uitgegeven door een betrouwbare instantie
4. Is het identiteitsbewijs niet aangemerkt als geblokkeerd

Extended Validation SSL

Extended Validation SSL certificaten (EV SSL) zijn de nieuwe internationale standaard op het gebied van SSL beveiliging. EV SSL certificaten worden uitgegeven conform de Extended Validation richtlijn waarin strenge eisen worden gesteld aan de controle van de organisatie die het SSL certificaat aanvraagt en het domein waarvoor het certificaat wordt aangevraagd. De groene adresbalk zorgt er bovendien voor dat bezoekers in één oogopslag zien dat uw website veilig en vertrouwd is.

In het verleden moest de eindgebruiker de aanvullende beveiligingscontroles handmatig aanzetten, in de nieuwste browsers, Internet Explorer 6 en 7, Firefox 3, Opera en Chrome, staan deze strikte controles standaard aan. Deze browsers hebben al een gezamenlijk marktaandeel van 85%.

Doordat deze beveiligingscontroles standaard aanstaan worden direct beveiligingswaarschuwingen getoond en is de website onbereikbaar. Het is eenvoudig om zelf een test uit te voeren en de problematiek te ervaren. Pas de datum/tijd van uw PC aan door het jaar op 2015 te zetten. Bezoek vervolgens de beveiligde website van uw organisatie of ga naar https://www.google.com
Op dit moment zijn er ongeveer 800.000 publiekelijk bekende SSL certificaten in omloop. Verschillende steekproeven wijzen erop dat ongeveer 20% van alle beveiligingscertificaten een probleem geven. 50% van de website bezoekers haakt af bij beveiligingswaarschuwingen. Veelal zijn dit klanten die midden in de afronding van een transactie zitten waardoor veel omzet wordt misgelopen.

Wat moet ik doen als organisatie?

Na het lezen van dit artikel kunt u direct op zoek naar de SSL certificaten van uw organisatie en controleren of er problemen zijn, vaak ontbreekt het echter aan een duidelijk overzicht. Grotere organisaties beheren vaak wel tientallen certificaten.

Bij veel bedrijven is er geen eenduidig certificaatbeleid en vaak is onduidelijk bij wie deze verantwoordelijkheid ligt.
Het gebruik van certificaten gaat verder dan alleen SSL certificaten en zal in de toekomst toenemen door toepassingen als; Webservices security, documenten waarmerken, werkplek toegang en meer websites waar SSL verplicht zal zijn vanuit regelgeving.
Het is belangrijk om de rol voor certificaatbeheer, PKI Officer, goed te beleggen binnen de organisatie.
De taken van een PKI Officer:
1. Centraal verzamel punt voor het beheren van de verschillende identiteitverstrekkers
2. Duidelijke kennis over welk type certificaat in een bepaald project noodzakelijk is:

 • SSL, Handtekening, CodeSigning, Windows login
 • Interne CA of Externe CA
 • Persoonlijk certificaat of services certificaat
 • Gewenste vertrouwensniveau (PKIO, QC)

3. Goed bewaken van de certificaatlevensloop

 • Verloopdatum van het certificaat
 • Sleutel lengte
 • Geblokkeerde certificaten
 • Back-up procedure in geval van calamiteiten

4. Faciliteren van het aanvraagproces

 • Aanvragen dient te gebeuren door een bevoegde aanvrager
 • Sleutel ceremonie

5. Aanspreekpunt in het geval van security calamiteiten rondom certificaten

 • Voorbeelden van dergelijke incidenten in de afgelopen tijd zijn het “MD5 hash collision” en het “Debian bug ssl” Informatie over deze twee incidenten is te vinden via google en bovenstaande termen.

6. Inkoop, duidelijk overzicht van de verschillende leveranciers, mogelijkheden voor raamcontract om zo kosten te besparen.

In veel organisaties zijn de bovenstaande taken versnipperd belegt. De rol PKIOfficer zou een goede plek hebben binnen de audit/ quality afdeling. Vaak zie je dat er ook een link is naar de centrale IT afdeling, netwerk services, inkoop of personeelszaken. De manier van inrichten verschilt per organisatie.

Om de continuïteit van uw online dienstverlening te garanderen is het van belang om uw (SSL)certificaatbeheer goed te organiseren. Evidos helpt organisaties bij het opzetten van goed certificaatbeheer.


Terug naar overzicht

App Store
Google Play

Meer weten?
Neem dan contact met ons op, wij vertellen u graag meer.