Secure Sockets Layer (SSL)

Categorie: Lexicon|

Wat is een SSL?

Een Secure Sockets Layer (SSL) is een encryptieprotocol dat zorgt voor de beveiligde communicatie tussen systemen. Meestal gaat het hierbij om een verbinding tussen een webbrowser en de server die de bezochte website gebruikt, maar het kan ook gaan om bedrijfssoftware die communiceert met externe servers. Een SSL-verbinding is vooral belangrijk wanneer er gevoelige gegevens doorgegeven worden, zoals bij internetbankieren, of aankopen via e-commerce.

Weetje! Al sinds 1999 worden de encryptieprotocollen ontworpen onder de naam Transport Layer Security (TLS). De nieuwste versie heet dan eigenlijk ook TLS 1.3. Ondanks de naamsverandering, wordt er echter meestal nog steeds gesproken van SSL.

Wat zegt het SSL-certificaat over de beveiliging?

Vanuit functioneel opzicht is encryptie niet nodig voor de goede werking van webformulieren en online diensten. De informatie kan als platte tekst naar de server gestuurd worden, vergelijkbaar met een gewone brief per post. Het probleem hiermee is echter dat een hacker die op de verbinding inhaakt de informatie zomaar kan lezen en gebruiken. Websites met een SSL-certificaat verzekeren de gebruiker van zowel een extra beveiligde verbinding, als een encryptie van de ontsloten data.

Een website met SSL-certificaat kan herkend worden aan deze kenmerken:

  • De URL begint met “https://” in de plaats van “http://”
  • Net voor de URL verschijnt een groen slotje, gevolgd door “veilig”. Als je op dit slotje klikt, zie je volgend informatievierkantje.

ssl certificaat

Let op! In september 2018 veranderde het groene slotje en de melding ‘veilig’ uit Google Chrome. Er is sindsdien nog uitsluitend een grijs slotje te zien. Op termijn is het de bedoeling dat het slotje helemaal verdwijnt. De reden hiervoor is dat ook malafide websites steeds makkelijker een SSL-certificaat kunnen installeren. SSL zorgt ervoor dat er geen derden ‘meereizen’ op de verbinding, maar verzekert niet altijd de identiteit van de ontvanger. Google wil gebruikers dus ook wijzen op de noodzaak om het webadres steeds goed te controleren.

Websites of software met een SSL-certificaat maken gebruik van een combinatie van twee sleutels: een private en een publieke. Deze sleutels vormen een uniek sleutelpaar. Als er één ontbreekt, kan de communicatie tussen server en website of software niet onderschept worden. Het paren van sleutels wordt op drie manieren toegepast

1. Encryptie

De publieke sleutel (public key) wordt gegenereerd door de server die de informatie vanuit een webapplicatie of software zal ontvangen. Dit is bijvoorbeeld de server die een bank gebruikt om klantgegevens op te slaan en transacties uit te voeren. Deze server deelt de publieke sleutel met de website(s) of software waarin een gebruiker gegevens ingeeft. Aan de hand van de publieke sleutel kan de applicatie of software de informatie coderen. De eindgebruiker merkt hier niets van. Hij of zij geeft gewoon platte tekst in. Op de achtergrond wordt deze echter meteen omgezet naar de code achter het sleutelpaar.

De private sleutel (private key) wordt gebruikt om de informatie weer te decoderen. Enkel de server beschikt over de private sleutel die gepaard is aan de publieke sleutel. Het kan dus zijn dat de server informatie uit meerdere webapplicaties of softwareprogramma’s met de publieke sleutel haalt. Een voorbeeld hiervan is een groothandelaar die met verschillende partners samenwerkt. Hierbij komt het regelmatig voor dat partners vanuit hun eigen systeem contact- of financiële gegevens doorgeven aan de server van de groothandelaar. Als zij dit via een eigen webapplicatie met SSL-certificaat doen, krijgen ze hiervoor de publieke vergrendelsleutel. Doordat de partners echter niet de private ontgrendelsleutel in hun bezit hebben, kunnen ze nooit de gecodeerde informatie van andere partners ontgrendelen.

2. Verificatie van de serveridentiteit

Om nog zekerder te zijn van de identiteit van de ontvangende server, verifiëren sommige SSL-verbindingen de identiteit al voor er gegevens worden uitgewisseld. In dit geval vraagt de website of software de server om zich te identificeren aan de hand van een ‘handtekening’ gegenereerd door de private sleutel. Deze handtekening wordt dan afgetoetst aan de hand van de publieke sleutel die in het bezit is van de website of software. De handtekening is beperkt geldig, bij elke verificatie van de serveridentiteit genereert de private sleutel een nieuwe handtekening. Hierdoor is een gestolen handtekening zinloos, en kunnen malafide servers ze niet gebruiken om zich voor te doen als de originele server.

Let op! Niet alle SSL-verbindingen gebruiken sleutelparen voor de verificatie van de ontvangende server. Soms wordt de informatie enkel geëncrypteerd. Hoewel in principe nog steeds enkel de juiste server de informatie kan lezen, blijft voorzichtigheid geboden bij het invullen van webformulieren. Controleer steeds goed het webadres en sla het eventueel op in favorieten. Ook bij de aanschaf en het gebruik van bedrijfssoftware zoals een ERP-, HRM– of documentbeheersysteem is het voor bedrijven interessant om zich erg goed te informeren over de authenticatiemethode voor externe servers.

3. Verificatie van de gebruiker

Gebruikersidentificatie is vooral belangrijk bij toepassingen zoals online bankieren. Dit kan door gebruik te maken van een gewone gebruikersnaam en wachtwoord. Net zoals bij de verificatie van de serveridentiteit, is dit echter niet de veiligste manier. Wanneer een wachtwoord onderschept wordt, kan het namelijk gebruikt worden tot de echte gebruiker het manueel verandert. Vandaar dat ook hiervoor sleutelparen gebruikt worden. In dit geval beschikt de gebruiker over private sleutel om de handtekening te generen, en kan de server deze verifiëren aan de hand van de publieke sleutel. Aangezien het vaak particulieren zijn die dit soort toepassingen gebruiken, kennen zij de sleutel echter niet actief. Het genereren van een handtekening gebeurt in dit geval meestal door systemen zoals een kaartlezer waarin gebruikers voor hen bekende codes (klantnummer en pincode) ingeven. De kaartlezer genereert een unieke handtekening aan de hand waarvan de gebruiker zich dan identificeert. Hetzelfde systeem wordt ook gebruikt voor andere soorten digitale handtekeningen, zoals het online ondertekenen van een contract of transactie.

Waardeer dit artikel:

Gerelateerde artikelen:

product information managementProduct Information Management (PIM) e-commerceE-commerce digitale handtekeningDigitale handtekening

Plaats een reactie

Uw e-mail adres wordt niet weergegeven. Verplichte velden zijn gemarkeerd *