Het installeren van een SSL-certificaat zorgt voor een versleutelde verbinding tussen de browser van de bezoeker en de website. Maar het is minstens zo belangrijk dat SSL/TLS op de webserver goed is geconfigureerd. De configuratie vormt de basis van het certificaat en die configuratie hebben we onderzocht.
SSL Labs score
Wat is het?
Waarom is het belangrijk?
Bij een verouderde of onveilige configuratie van SSL of TLS, is de basis onveilig. Een SSL-certificaat is dan geinstalleerd op een onveilige configuratie en in het ergste geval is de beveiligde verbinding te omzeilen, ondanks het SSL-certificaat.
Het is voor de werking van jouw SSL-certificaat dus van groot belang dat je erop kunt vertrouwen dat je hostingprovider SSL/TLS goed heeft geconfigureerd op de server.
Hoe hebben we het getest?
SSL Labs biedt een online test waarmee je de kwaliteit van de SSL-beveiliging van een server kunt meten. Na het invoeren van de domeinnaam van de hostingprovider is het even wachten op het resultaat. Je kunt scoren van A+ t/m F, waarbij A+ voor zeer goed staat en F voor slecht.
Een bijzondere score is de kwalificatie T. Dit betekent dat het SSL-certificaat niet te vertrouwen is en dat er daarom geen basis is om verdere controles van de server te doen. Als er geen certificaatvertrouwen is, maakt de daadwerkelijke beveiligingsklasse niet uit, omdat hackers de verbindingsbeveiliging kunnen ondermijnen. De T is dus eigenlijk een diskwalificatie, een rode kaart.
We hebben de domeinnaam van de hostingprovider als graadmeter genomen. Natuurlijk test je daarmee alleen de webserver waar de website van de hostingprovider op staat. Mogelijk zijn de webservers waar ze klanten op plaatsen beter of juist slechter geconfigureerd. Dat valt zo niet te zeggen, maar de manier waarop hun eigen webserver is geconfigureerd is veelzeggend omdat hostingproviders daarmee aangeven hoe nauw ze het nemen met de onderliggende veiligheid. Je kunt wel een mooi slotje op je site hebben, maar als de basis onveilig is, dan doet dat afbreuk aan de werkelijke waarde van het slotje.
Op deze website kun je de hostingproviders selecteren die een score A+ hebben gekregen.
Meer informatie
Wat test SSL Labs?
Wanneer je een domeinnaam in SSL Labs invoert, start je een analyse die bestaat uit vier stappen.
- Het SSL-certificaat wordt gecontroleerd op geldigheid en betrouwbaarheid.
- Ondersteuning van de server voor SSL protocollen.
- Support van de server voor uitwisseling van de sleutel.
- Ondersteuning van de codering (cipher).
In elk van bovenenstaande onderdelen kan een bepaald aantal punten behaald worden. Deze punten worden worden gecombineerd, waarna een eindscore ontstaat tussen de 0 en 100. 0 punten scoren bij een bepaald onderdeel is een ernstige misconfiguratie of kwetsbaarheid. Dit wordt zo zwaar aangerekend dat de eindscore ook meteen 0 is. Ten slotte wordt de eindscore omgezet naar een letter. De laagste score is F en de hoogste A+.
Op de website van SSL Labs staat meer informatie over hoe de score precies tot stand komt.