Veilige websites: TLS-encryptie wordt verplicht
GDPR-conforme vereisten voor gegevensoverdracht
De nieuwe General Data Protection Regulation (GDPR) staat voor de deur en dit betekent dat TLS-encryptie verplicht is voor alle bedrijfswebsites. Iedereen die zijn persoonlijke gegevens niet beveiligt, handelt immers in strijd met de regelgeving en kan waarschuwingen of boetes tegemoet zien. TLS-encryptie is een belangrijke indicator voor gebruikers om te herkennen of een website veilig is. TLS, kort voor Transport Layer Security, is de versleuteling van gegevens tussen de gebruiker en de websitebeheerder. De term SSL wordt ook vaak gebruikt, waarbij SSL staat voor Secure Sockets Layer en de voorloper is van TLS. Beide hebben echter hetzelfde doel - persoonlijke gegevens versleutelen.
Hoe werkt de versleuteling?
Encryptie wordt uitgevoerd met behulp van een openbare sleutelprocedure. Gegevens worden gecodeerd door de verzender en weer gedecodeerd door de ontvanger. Wanneer een gebruiker de website opent, wordt er een certificaat teruggestuurd. De browser van de gebruiker kan zo de identiteit van de server controleren en zorgen voor versleutelde inhoud. De verificatie van de bezochte website wordt uitgevoerd door een zogenaamde vertrouwensketen tussen de browser van de gebruiker en de server van de bezochte website.
Hoe herken je versleuteling?
Een succesvolle versleuteling is te herkennen aan een groene adresbalk of een slotje naast de URL. Hierdoor kan de gebruiker zien dat de betreffende websitebeheerder een geldig certificaat heeft en dat de gegevens dus beschermd zijn tegen toegang en manipulatie door derden. De afkorting HTTPS duidt ook op versleuteling. Het betekent dat het gebruik van HTTP via SSL- of TLS-encryptie verloopt. Als een website niet is versleuteld, wordt deze weergegeven met een omcirkelde "i" of als "niet veilig".
Wat zijn de voordelen van TLS-encryptie?
Het belangrijkste voordeel voor gebruikers, maar ook voor websitebeheerders, is de versleuteling van gegevens. Dit resulteert in een groter vertrouwen van de gebruiker. Door deze vertrouwelijkheid garandeert de websitebeheerder de gebruiker dat bijvoorbeeld creditcardgegevens of wachtwoorden niet door derden kunnen worden gelezen. TLS-certificaten spelen ook een belangrijke rol bij SEO. Websitebeheerders kunnen profiteren van zoekmachinecertificaten. Google, Bing en dergelijke houden namelijk rekening met encryptie en geven gecertificeerde websitebeheerders een betere positie in de zoekresultaten.
Waarom is encryptie verplicht?
Volgens de nieuwe Algemene Verordening Gegevensbescherming, die op 25 mei 2018 van kracht is geworden, moeten alle persoonsgegevens worden versleuteld volgens de "stand van de techniek". Om dit te garanderen is het gebruik van TLS-encryptie verplicht. De meeste websitebeheerders hebben contactformulieren of de mogelijkheid om nieuwsbrieven te bestellen. In beide gevallen worden persoonlijke gegevens verzameld. Volgens de wet moeten deze gegevens veilig worden verzonden en worden beschermd tegen derden. Het Beierse Staatsbureau voor Toezicht op Gegevensbescherming (BayLDA) heeft het beveiligingsniveau van meer dan 2.000 Beierse bedrijven al gecontroleerd. Veel bedrijven voldeden niet aan de vereisten voor gegevensbescherming en werden daarom vermaand door de BayLDA.
Welke soorten certificaten zijn er?
Er zijn verschillende certificaten. Afhankelijk van het soort website dat je beheert, kun je kiezen uit drie verschillende opties. Met alle drie de certificaten worden de gegevens die worden verzonden tussen de browser van de gebruiker en de webserver versleuteld.
1. domein gevalideerd (DV)
Het DV-certificaat is de certificering met de laagste eisen. Alleen het e-mailadres wordt geverifieerd, maar de identiteit wordt niet gecontroleerd. Informatie wordt alleen via het domein weergegeven. Het woord "Secure" verschijnt naast de URL samen met een groen slotje.
2. organisatie validatie (OV)
De OV-certificering verschilt niet van de DV-certificering in de weergave van de browserbalk. Als de gebruiker echter meer informatie over het certificaat geeft door op de groene adresbalk te klikken, wordt informatie over de eigenaar van het domein weergegeven. De identiteit van de eigenaar wordt hier gecontroleerd.
3. uitgebreide validatie (EV)
EV-encryptie heeft de sterkste authenticatie van alle drie de certificaten. Hier kan de gebruiker zien dat het om het EV-certificaat gaat. De URL-regel in de browser is groen gemarkeerd. De bedrijfsnaam wordt ook weergegeven en de gebruiker kan er zeker van zijn dat het om een legaal en geregistreerd bedrijf gaat.
Conclusie
Wij raden u aan zo snel mogelijk te zorgen voor versleutelde verzending van uw website om de persoonlijke gegevens van uw gebruikers te beschermen en mogelijke boetes te voorkomen. Als u meer wilt weten over de mogelijkheden en het juiste gebruik van certificaten, kunt u te allen tijde contact met ons opnemen.
TSL encryptie: Wie is er bekend mee?
Heb je nog vragen over TSL-encryptie, wil je je website veiliger maken en heb je professionele hulp nodig? Wij ondersteunen u graag. Neem gewoon vrijblijvend contact met ons op!
