Hoe goed wil jij je website beveiligd hebben?

keys

Een domme vraag denk je misschien, want iedereen wil toch maximale websitebeveiliging?

Neen!

Je website tot de tanden wapenen komt met een prijs. Lees hier verder waarom.

Wat is SSL of TLS?

Als het gaat om websitebeveiliging heb je misschien al eens gehoord over SSL-certificaten. Maar soms hoor je ook TLS. Wat is nu het verschil?

Surprise: er is geen verschil. TLS is niet meer dan de nieuwere versie van SSL.

De geschiedenis:

  • SSL 1.0 – nooit gebruikt in de realiteit
  • SSL 2.0 – uitgebracht in 1995 en vervallen in 2011 wegens zware beveiligingsproblemen
  • SSL 3.0 – uitgebracht in 1996 en vervallen in 2015 wegens zware beveiligingsproblemen
  • TLS 1.0 – uitgebracht in 1999.
  • TLS 1.1 – uitgebracht in 2006.
  • TLS 1.2 – uitgebracht in 2008.
  • TLS 1.3 – uitgebracht in 2018.

Je kan je afvragen waarom toch die naamsverandering van SSL naar TLS? Want iedereen blijft vrolijk de term SSL gebruiken, ook al bestaat TLS al 21 jaar :)

Wil je meer weten over SSL? Lees zeker de volgende artikels:

Het probleem

Nu worden we iets technischer. Als jij je website wil testen op zijn veiligheid, kan je dat doen op een speciale website: Qualys SSL Labs Server test.

Je website krijgt daar een score.

Dus laten we allen voor de hoogste score gaan. Top idee! Wat ons betreft wel, absoluut. Wij nemen je graag mee naar een veiligere wereld.

Alleen, er is iets belangrijk dat je moet weten. Nieuwere versies toelaten is geen enkel probleem. Het addertje onder het gras is dat als je oudere versies gaat uitschakelen (zoals b.v. TLS 1.0), je problemen kan krijgen bij je bezoekers. Bezoekers met oudere systemen zoals Windows 7 kunnen dan jouw website niet meer bekijken.
 

De oplossing!

Omdat we bij Level27 vooral kijken naar oplossingen, hebben we een systeem bedacht dat jij kan kiezen welk beveiligingsniveau je wil.

Jij hebt de touwtjes in handen!

  • Wil je je site maximaal beveiligen, dan ga je een groep van bezoekers moeten teleurstellen. Je denkt misschien dat dat ok is, maar wat als je een webshop hebt waarbij 20% van je kopers nog met Windows 7 werkt? Dan ga je mogelijk inkomsten missen. Dus in dit geval ga je waarschijnlijk wat veiligheid opofferen in ruil voor wat vriendelijkheid voor je bezoekers.
  • Als je een app hebt die gebruikt (en getest) wordt voor de financiële sector, wil je misschien voor maximale beveiliging gaan. In dit geval ga je voor de maximumscore in SSL Labs en offer je de oude bezoekers op.

We kunnen kiezen uit A+, A, B en C. Er zijn natuurlijk nog slechtere ratings (tot en met F), maar het spreekt voor zich dat we ons daar niet mee willen bezighouden! Dus dingen als SSL 3.0 ga je bij ons niet terugvinden.

C: het laagste niveau bij Level27

Ons laagste bod. Dieper gaan wij niet. Maximale compatibiliteit voor oudere systemen. Commodore 64 zeg je? Windows 95? Sorry, dat gaat te ver!

Wat doen we hier:

  • TLS 1.0, 1.1. Geen TLS 1.2 en 1.3. Ook de heel oude SSL 2.0 en 3.0 niet.
  • Oudste ciphers voor maximale browser-ondersteuning. Ik zet de lijst hier niet in, want een echte techneut houdt zich niet bezig met oude ciphers :)
  • Geen HSTS headers. Je kan de headers ook nog zelf zetten als je dat wil, maar als je ambitie zo laag is, ga je dit echt niet doen.
  • Geen automatische redirect naar HTTPS, maar je kan het wel aanzetten. Als je het aanzet, wordt het een klassieke 301-redirect.

 

ssl_c

B: relax

De teugels zijn nog steeds los. We laten onze ambitie varen voor een betere ondersteuning voor oudere bezoekers.

Wat doen we hier:

  • TLS 1.1, 1.2 en 1.3. Alle oudere versies zijn weg.
  • Meer ciphers voor meer browser-ondersteuning. Ook deze lijst is geheim.
  • Geen HSTS headers. Je kan de headers ook nog zelf zetten als je dat wil.
  • Geen automatische redirect naar HTTPS, maar je kan het wel aanzetten. Als je het aanzet, wordt het een klassieke 301-redirect.
ssl_b

A: de norm, de standaard

Dit is een verstandige keuze. Een A-rating is zeker niet slecht en je hebt een behoorlijke ondersteuning.

Wat doen we hier:

  • Enkel TLS 1.2 en 1.3. Alle oudere versies zijn weg.
  • Enkel de sterkste ciphers. Voor de techneuten: ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  • Geen HSTS headers. Je kan de headers ook nog zelf zetten als je dat wil.
  • Geen automatische redirect naar HTTPS, maar je kan het wel aanzetten. Als je het aanzet, wordt het een klassieke 301-redirect.
ssl_a

A+: super paranoia mega beveiligd

Als je voor dit niveau gaat, is beveiliging jouw belangrijkste bekommernis. Het verleden boeit jou niet, je wil alleen maar vooruit. We gooien alles overboord en gaan voor de maximale score in SSL Labs, nl. de A+.

We brengen het zwaar geschut in stelling:

  • Enkel TLS 1.2 en 1.3. Alle oudere versies zijn weg.
  • Enkel de sterkste ciphers. Voor de techneuten: ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  • HSTS headers standaard. Je website mag niet meer op HTTP bekeken worden.
  • SSL stapling.
  • Standaard HTTP 308 redirects vanuit de HTTP-versie van de website. Dit type redirect is nieuwer en beter dan de gekende oude redirect (301).

Dit is niet de standaard, omdat je toch heel wat compatibiliteit op oudere systemen opgeeft. Je krijgt daar natuurlijk wel een A+rating voor in de plaats, dus dat is ook wat waard :)

ssl_a_plus

Vragen of opmerkingen?

Laat het ons zeker weten via onze chatbox!
We helpen je graag verder.

Deel deze blog via