TLS-versleuteling (HTTPS)

Wij bieden gratis TLS certificaten aan, die aangeboden zijn door Let's Encrypt, zodat u van HTTPS gebruik kunt maken.

HTTPS staat voor HyperText Transfer Protocol over SSL, de beveiligde variant van HTTP. Tegenwoordig hebben we het meestal over de opvolger van SSL; "TLS", maar functioneel zijn deze technieken bijna hetzelfde. Het verschil zit alleen in de implementatie die net anders, maar veel veiliger is. TLS heeft twee belangrijke taken:

1. Authenticatie: Er op kunnen vertrouwen dat de server waarmee verbonden wordt de juiste server is
2. Versleuteling: De versleuteling die TLS biedt zorgt ervoor dat de communicatie tussen de browser en de server privé blijven

Let's Encrypt TLS kan voor een domein worden ingeschakeld door in te loggen als beheerder in het Service Centre. Ga vervolgens naar Hosting > TLS Instellingen en schakel TLS aan voor het desbetreffende (sub)domein.

Inhoud

• TLS aanzetten
  • TLS activeren
  • TLS Forceren
  • HSTS Strict Transport Security
• Van GlobalSign SSL naar Let's Encrypt
  • A record wijzigen
  • TLS Let's Encrypt aangezetten

TLS aanzetten

Via het Service Centre kan Let's Encrypt TLS certificaten eenvoudig worden aangezet voor verschillende (sub)domeinen.

TLS activeren

TLS kan aangezet worden voor een subdomein (iets.jouwdomein.nl) of een domein (jouwdomein.nl).In dit voorbeeld zullen we TLS aanzetten voor het domein 'greenblog.nl' en het subdomein 'test.greenblog.nl'.

Log in als beheerder in het Service Centre en selecteer links in het drop down menu het domein waarvoor u TLS wilt aanzetten (in dit voorbeeld: 'greenblog.nl'). Ga vervolgens naar Hosting > TLS Versleuteling. Selecteer 'TLS aan' bij het gewenste (sub)domein.

Bezoek vervolgens die (sub)domein via https:// (bijvoorbeeld https://greenblog.nl) en controleer of de website nog naar behoren functioneert. Controleer of in de adresbalk een groen slotje verschijnt: dit geeft aan dat de verbinding met de website versleuteld en veilig is.

Als er iets niet helemaal goed is, is het mogelijk dat er geen slotje, een oranje slotje, of een slot met een waarschuwingsdriehoek zichtbaar is. Dit betekent vaak dat (een gedeelte van) de webpagina niet via TLS verzonden is.

Afbeeldingen van externe bronnen worden bijvoorbeeld niet altijd automatisch via een TLS-verbinding opgehaald wanneer er 'http://' voor de link naar het plaatje staat. Het kan dus zijn dat er geen groen slotje te zien is omdat externe afbeeldingen niet over een beveiligde verbinding gaan.

Klik op het icoontje links van de URL in de balk om te zien welk onderdeel van de website nog niet over TLS verzonden worden. Of geef een overzicht weer van alle bestanden die worden geladen door te klikken op de F12 toets op het toetsenbord, naar de tab "network" van de developer tools te gaan en de pagina te verversen.

Ziet alles er goed uit? Dan kan de https-verbinding worden geforceerd.

TLS Forceren

Belangrijk: Verander in het geval een WordPress-site eerst, het WordPress-adres en Siteadres in de wp-admin instellingen van 'http://…' naar 'https://…'.

Ga weer naar het Service Centre, Hosting > TLS instellingen en zet bij het juiste (sub)domein de knop onder 'Forceer TLS' aan. Alle bezoekers van de website worden nu automatisch via de beveiligde TLS verbinding naar de website gestuurd.

HSTS Strict Transport Security

Het is belangrijk om te weten dat TLS twee taken heeft: de eerste is het beveiligen van de verbinding door middel van versleuteling. De andere, minder bekende taak van TLS is controleren of de server waarmee verbonden wordt authentiek is. Met andere woorden: bezoekers beschermen tegen het maken van verbindingen met frauduleuze servers.

HTTP Strict Transport Security (HSTS) is een manier om de browser van de website bezoekers te vertellen dat deze website altijd TLS zal ondersteunen. Wanneer in een volgend bezoek geen TLS wordt aangeboden zal de browser die verbinding weigeren.

Als HSTS aan staat, onthoudt de browser elke keer dat deze de website bezoekt dat TLS nog minstens 6 maanden beschikbaar zal zijn.

Dat betekent dus ook dat als HSTS uitgeschakeld wordt, TLS nog minstens 6 maanden aan moet blijven, is dat niet zo dan zal de website niet weergegeven worden. Dus test de website eerst goed met TLS en zet na een tijdje, als alles goed werkt, HSTS aan door op de knop te klikken in het Service Centre.

Van GlobalSign SSL naar Let's Encrypt

Hieronder staan de stappen die om te nemen om van betaald GlobalSign SSL certificaat over te stappen naar een TLS certificaat van Let's Encrypt.

We raden aan eerst alle stappen door te lezen. Tijdens het process zal de website enkele minuten offline zijn, dat is helaas niet te voorkomen.

A record wijzigen

1. Log in in het Service Centre, selecteer het domein waarop het Let's Encrypt TLS ingesteld moet worden
2. Ga naar Hosting > DNS Records.
3. Noteer het huidige IP adres bij het A-record dat we straks gaan aanpassen en bewaar het goed.
4. Verander de bestemming van het betreffende A record naar het IP-adres van het hostingpakket. Dit IP-adres is terug te vinden boven de DNS settings tabel. De website raakt nu tijdelijk offline. Voer de volgende stappen zo snel mogelijk na de vorige stappen uit.

TLS Let's Encrypt aangezetten

1. Ga binnen het Service Centre naar Hosting > TLS Instellingen
2. Zet voor het gewenste (sub)domein TLS aan door op 'TLS aan' te klikken
3. Als TLS in de oude situatie altijd werd geforceerd kan dit weer zo ingesteld worden door 'Forceer TLS' aan te zetten.
4. Controleer of de website weer online is via een https:// verbinding.
5. Stuur support een e-mail vanaf het bij ons bekende e-mailadres met daarin het verzoek om het SSL-certificaat per eerst volgende mogelijkheid stop te zetten.
6. Als er iets mis gaat bij stap 2, 3 of 4 en de site niet (via https) bereikbaar is, verander dan het A-record terug naar de originele IP adres. Binnen een aantal minuten zou de oude configuratie weer moeten werken. Meld het probleem bij de helpdesk.