Wat zijn SSL en https?
De Secure Sockets Layer (SSL) (en Transport Layer Security (TLS)) is momenteel het meeste gebruikte beveiligingsprotocol. Het is in principe een protocol dat zorgt voor een veilig verbinding tussen twee apparaten op het Internet of een intern netwerk. In de op het Internet gerichte wereld van vandaag wordt SSL gewoonlijk toegepast wanneer een webbrowser een veilige verbinding nodig heeft met een webserver over het onveilige Internet. Technisch gezien is SSL een transparant protocol, waarvoor bij het opzetten van een veilige sessie weinig interactie van de eindgebruiker nodig is. Bijvoorbeeld: in het geval van een browser worden gebruikers aan de hand van een hangslot geattendeerd op het gebruik van SSL of, in het geval van Extended Validation SSL, zowel een hangslot als een groene adresbalk. Dit is de sleutel tot het succes van SSL: het is allemaal buitengewoon eenvoudig voor eindgebruikers.
Extended Validation (EV) SSL-certificaten (zoals GlobalSign ExtendedSSL):
Standaard SSL-certificaten (zoals GlobalSign DomainSSL en OrganizationSSL):
In tegenstelling tot HTTP URL's die beginnen met "http://" en die standaard poort 80 gebruiken, beginnen HTTPS URL's met "https://" en wordt standaard poort 443 gebruikt.
HTTP is onveilig en kwetsbaar voor spionageaanvallen die, indien kritieke informatie, zoals creditcardgegevens en accountaanmeldingen worden opgepikt, de aanvallers toegang kunnen geven tot online accounts en vertrouwelijke informatie. Door te zorgen dat gegevens verzonden of gemeld worden via een browser die HTTPS gebruikt, wordt de informatie versleuteld en beveiligd.
Hoe wordt SSL gebruikt in de hedendaagse wereld met e-commerce / werkstromen en diensten online? (edit allen maal voor ons?)
- Voor het beveiligen van online creditcardtransacties. Alleen al in 2006 waren er 210 miljoen gebruikers die gezamenlijk online meer dan $130 miljard uitgaven via hun PC / laptop / PDA en mobiele telefoons. Voor al deze transacties had SSL gebruikt moeten worden!
- Voor het beveiligen van aanmeldingen bij het online systeem, verzenden van vertrouwelijke informatie via webformulieren of beschermde omgevingen op websites.
- Voor het beveiligen van webmail en applicaties zoals Outlook Web Access, Exchange en Office Communications Server.
- Voor het beveiligen van werkstroom- en virtualisatietoepassingen, zoals Citrix Delivery Platforms of cloud computing platformen.
- Voor het beveiligen van de verbinding tussen een e-mailclient, zoals Microsoft Outlook en een e-mailserver zoals Microsoft Exchange
- Voor het beveiligen van bestandsoverdracht via https en FTP(s), bijvoorbeeld eigenaren van websites die hun website bijwerken met nieuwe pagina's, of het verzenden van grote bestanden.
- Voor het beveiligen van aanmeldingen en activiteiten bij hosting-configuratieschermen, zoals Parallels, cPanel en andere.
- Voor het beveiligen van intranetverkeer, zoals interne netwerken, file sharing, extranetten en verbindingen met databases.
- Voor het beveiligen van aanmeldingen bij netwerken en ander netwerkverkeer met SSL VPN's, zoals VPN Access Servers of toepassingen zoals Citrix Access Gateway.
Al deze toepassingen hebben een aantal dingen gemeen:
- De gegevens die worden verzonden over het Internet of netwerk moeten vertrouwelijk worden behandeld, m.a.w. men wil niet dat zijn creditcardnummer, accountaanmelding, wachtwoord of persoonlijke informatie wordt blootgesteld via het Internet.
- De gegevens moeten integraal blijven, d.w.z. dat, nadat de creditcardgegevens en het bedrag dat van de creditcard wordt afgeboekt zijn verzonden, een hacker het afgeboekte bedrag en de bestemming van de betaling niet kan veranderen.
- Uw organisatie moet uw klanten / extranetgebruikers verzekeren dat u bent wie u zegt dat u bent en niet iemand die pretendeert uw organisatie te zijn.
- Uw organisatie is verplicht te voldoen aan alle regionale, nationale of internationale voorschriften op het gebied van privacy, beveiliging en integriteit van gegevens.
