Wat is een website-beveiligingscertificaat en waarom zou u erom geven?

Advertentie

Ooit de fout gezien: 'Er is een probleem met het beveiligingscertificaat van deze website' en vroeg je je af wat het betekende? Ik leg uit wat een beveiligingscertificaat is en hoe het werkt, zodat u zonder zorgen weer verder kunt browsen.

Internetbeveiliging is vrij complex, dus dit artikel geeft slechts een eenvoudig overzicht van het onderwerp voor niet-technische lezers, en tips voor wat te doen bij beveiligingsfouten.

Waarom beveiligingscertificaten belangrijk zijn

Wanneer u een website bezoekt waar u zich moet aanmelden en een account moet beheren, is het belangrijk dat uw account details blijven tussen u en uw serviceprovider, zodat uw geld, identiteit en persoonlijke informatie blijven veilig. Uw online serviceprovider kan uw bank, een online winkel of e-commercewebsite, PayPal, uw e-mail of uw privéblog zijn.

Wanneer u dit soort websites bezoekt, zult u merken dat de URL begint met een slotpictogram en 'https: // ”in plaats van alleen“ http://”.

HTTPS (HyperText Transfer Protocol Secure) geeft aan dat de website wordt beschermd door Secure Socket Layer / Transport Layer Security. Gegevens die tussen u en de website worden verzonden, zijn gecodeerd, zodat de informatie privé is en de website wordt geïdentificeerd als zijnde wie hij beweert te zijn. Net zoals hoe u uw identiteit verifieert (door middel van gebruikersnaam en wachtwoord en andere informatie waar ze om kunnen vragen, zoals in

tweefactorauthenticatie Wat is tweefactorauthenticatie en waarom u deze moet gebruikenTwee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt veel gebruikt in het dagelijks leven. Betalen met een creditcard vereist bijvoorbeeld niet alleen de kaart, ... Lees verder ), moet de website dat ook doen. De website bewijst dat deze wordt beheerd door de echte eigenaren door een veiligheidscertificaat te tonen aan uw internetbrowser, die u vervolgens aangeeft dat de site legitiem is met het slotsymbool.

Als u die dingen niet ziet wanneer u zich op een beveiligde site zou moeten bevinden of als u een waarschuwing ziet, betekent dit dat de website nep kan zijn. Op een dergelijke site stuurt u mogelijk uw gegevens naar de verkeerde mensen, waardoor u het slachtoffer wordt van een man-in-the-middle-aanval Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, dan is dit het artikel voor jou. Lees verder . U kunt op het slotsymbool klikken voor meer details, als het niet groen wordt weergegeven of als er een geel waarschuwingsmerkteken op staat.

Beveiligingssymbolen verschillen: controleer Google-uitleg voor degenen die in Chrome worden gebruikt, terwijl Internet Explorer-gebruikers dat wel zouden moeten doen raadplegen Sleutel van Microsoft. De beveiligingsknoppen van de Safari-browser verschijnen aan het einde van de URL, zoals uitgelegd door Apple.

Site-eigenaren, browsers en certificaatautoriteiten

Eigenaars van e-commerce websites betalen een derde partij, een Certificate Authority (CA) genaamd, om te verifiëren wie het bedrijf is en of de transacties authentiek zijn.

Webbrowsers, zoals Google Chrome, Firefox en Internet Explorer, houden lijsten bij van certificaatautoriteiten die zij als betrouwbaar beschouwen. Wanneer u toegang krijgt tot een veilige website, presenteert de site het beveiligingscertificaat aan uw browser. Als het certificaat up-to-date is en van een vertrouwde certificeringsinstantie, mag u inloggen en uw transacties zonder waarschuwing voltooien.

Als u een veilige website start, kunt u uit veel verschillende CA's kiezen. Ze kunnen Norton, GoDaddy, Microsoft en tal van anderen zijn. Het is hun taak om te verifiëren dat u de eigenaar bent van de site waarvoor ze een certificaat afgeven, ook wel domeinverificatie genoemd. U kunt dit doen door een e-mail te sturen met instructies voor het bijwerken van de domeinnaam van uw website Server (DNS) -instellingen of bestanden op uw webserver naar het e-mailadres dat aan de website is gekoppeld domein. Het idee is dat alleen de persoon die die e-mail heeft ontvangen, de exacte instructies heeft om de website bij te werken en dit kan doen.

Betere beveiliging

Er zijn andere, strengere soorten certificaten die een CA kan aanbieden (die meer kosten) om te verifiëren wie u en uw zaken zijn, zoals Extended Validation, die honderden dollars kan kosten (grote bedrijven betalen soms duizenden). Uitgebreide validatie omvat het verifiëren van informatie zoals de juridische identiteit van de website-eigenaar, de bedrijfsnaam, het fysieke adres, de registratie en het rechtsgebied van oprichting. Dit websitebeveiliging is een belangrijke maatstaf voor vertrouwen als u een bedrijf runt Wat is een website-beveiligingscertificaat en waarom zou u erom geven? Lees verder .

Wanneer u een site bezoekt die uitgebreide validatie heeft ondergaan, bevatten moderne browsers de bedrijfsnaam in het groen in de URL-balk, om u te laten weten dat u met het juiste bedrijf te maken hebt.

Gratis certificaatautoriteiten

Er zijn gratis certificaatautoriteiten, maar omdat de service gratis is, hebben ze niet dezelfde beveiligingslagen en branding als de grote namen. Bovendien missen ze vaak de alomtegenwoordigheid van browserherkenning. Dat betekent dat als u een gratis beveiligingscertificaat krijgt, u van uw websitelezers kunt horen dat hun browser geeft een waarschuwing wanneer ze uw site bezoeken dat de certificeringsinstantie van uw site is niet vertrouwd. U kunt gratis domeinverificatie krijgen van StartSSL (zonder identiteitsvalidatie), en daarmee wordt uw site gewist door Mozilla-browsers, Safari en Internet Explorer. U krijgt echter niet de groene balk voor de Extended Validation-pakketten, die ongeveer $ 200 kosten. Het bedrijf is echter gevestigd in Israël en moet uw verificatiedocumenten enkele jaren bewaren.

CACert is een gratis, door de gemeenschap aangestuurde certificeringsinstantie. Vrijwilliger CACert-verzekeraars ontmoeten site-eigenaren om uw ID-documenten persoonlijk te bekijken. Helaas worden de certificaten van CAcert niet vertrouwd in grote browsers en worden ze slechts in een paar open-source besturingssystemen geleverd.

Het gebruik van CACert en StartSSL biedt echter de codering van uw site, dus als u eenvoudige gebruikersinteractie op uw site heeft (zoals een forum of een wiki), zijn deze gratis services wellicht precies wat u nodig heeft.

Wat te doen als u een certificaatwaarschuwing ziet

Het belangrijkste dat u moet doen wanneer u die browserwaarschuwing krijgt, is controleren op details. U kunt erachter komen waarom het certificaat is afgewezen en zelf beslissen of u wilt doorgaan en de site toch wilt gebruiken. Als het certificaat is verlopen, is de website-eigenaar mogelijk vergeten het op tijd te vernieuwen. Als u deze fout vaak ziet, moet u de datum van uw computerklok controleren en ervoor zorgen dat deze correct is.

Als het beveiligingscertificaat echter is ingetrokken, betekent dit dat de site het certificaat op frauduleuze wijze gebruikt en dat u het niet mag vertrouwen. U kunt ook de waarschuwing krijgen dat de certificeringsinstantie niet wordt vertrouwd. Als u denkt dat u CACert's model van peer-to-peer-verificatie of StartSSL-domeinverificatie begrijpt en vertrouwt, kunt u dat zien uw browser om die CA's te vertrouwen. Er zijn andere soorten waarschuwingen en fouten, dus houd je ogen open en lees de details.

Wanneer u een certificaatwaarschuwing ziet van een site die u vertrouwt, kunt u ook proberen de Twitter-feed van de website te controleren, vaak met updates over de site, downtime, beveiliging en andere problemen.

Als ze geen updates hebben en als u daartoe in staat bent, kan het helpen om contact op te nemen met de website-eigenaar en te vragen wat er aan de hand is. Mogelijk bespaart u de website-eigenaar en andere gebruikers veel verdriet, in het geval dat ze niet al op de hoogte zijn van de certificaatwaarschuwing.

Kortom, wees waakzaam (omdat phishing Nieuwe phishing-zwendel gebruikt griezelig nauwkeurige Google-inlogpaginaJe krijgt een Google Doc-link. U klikt erop en meldt u aan bij uw Google-account. Het lijkt veilig genoeg, toch? Blijkbaar verkeerd. Een geavanceerde phishing-configuratie leert de wereld een nieuwe online beveiligingsles. Lees verder zijn er), maar wees ook nieuwsgierig. Ga verder en ontdek waarom u beveiligingswaarschuwingen ziet.

Bent u ooit een waarschuwing voor een beveiligingscertificaat tegengekomen? Neem je de tijd om erachter te komen waarom je het ziet? Waar maak je je het meest zorgen over en heb je tips voor wat je eraan kunt doen?