Het Extended Validation SSL Certificaat
Enige tijd geleden heeft het Extended Validation SSL certificaat zijn intrede gedaan op de markt. Dit nieuwe type certificaat heeft tot doel om een grotere veiligheid van gegevens te garanderen dan de bestaande SSL certificaten. Het verschil zit niet zozeer in de encryptiemethoden die gebruikt worden, maar vooral in de manier waarop de gebruiker het certificaat krijgt gepresenteerd en de wijze waarop het verstrekt wordt door de verschillende Certificate Authorities.
SSL certificaten zijn in het leven geroepen om ervoor te zorgen dat privacy-gevoelige informatie op een veilige manier over het internet wordt verstuurd, zodat deze informatie niet in handen van kwaadwillenden kan vallen. De gegevens worden daarom versleuteld tussen de webserver en de browser van de eindgebruiker zodat het ‘afluisteren’ van de verbinding geen bruikbare informatie oplevert. Bij het verstrekken van een SSL certificaat wordt verder gecontroleerd of de houder van een domein overeenkomt met de aanvrager, met als doel de geldigheid van de organisatie te controleren. Het grote verschil tussen een regulier SSL certificaat en een Extended Validation certificaat zit hem vooral in dit laatste.
Voor een regulier SSL certificaat wordt de verantwoordelijkheid voor deze controle gelegd bij de service provider die het certificaat voor de klant aanvraagt. De Certificate Authority heeft geen actieve rol bij de controle van de legaliteit van de aanvragende partij. De bezoeker is dus nog steeds afhankelijk van de provider. De beveiligde verbinding is weliswaar gegarandeerd, maar de betrouwbaarheid van de achterliggende partij is niet altijd even vanzelfsprekend. De bezoeker ziet aan het SSL icoontje dat de site beveiligd is, en gaat er veelal vanuit dat het dus wel klopt. Phishing websites maken hier gebruik van.
Bij het aanvragen van een Extended Validation certificaat wordt er buiten de service provider om rechtstreeks contact opgenomen door de Certificate Authority met de aanvrager. Niet alleen via e-mail, maar ook per post en telefoon. De houdergegevens van het domein worden actief gecontroleerd, en met het genoemde contactpersoon en het fysieke bezoekadres van het bedrijf wordt actief contact opgenomen. Anonieme, slecht traceerbare postbussen zullen geen certificaat kunnen registreren. Van de overhandigde papieren wordt de rechtsgeldigheid gecontroleerd. Dit alles garandeert dat de aanvrager een valide organisatie is. Wij als service provider ondersteunen de aanvrager hier uiteraard in, maar kunnen deze controle niet beïnvloeden of manipuleren.
Daarnaast wordt de bezoeker duidelijk getoond dat de getoonde website niet met een regulier, maar met een Extended Validation SSL certificaat is beveiligd en met welk bedrijf men écht te maken heeft. In de adresbalk van de browser verschijnt een overduidelijke melding van de bedrijfsnaam en de adresbalk kleurt groen. Alle toonaangevende browsers ondersteunen deze certificaten inmiddels in hun nieuwste versies. De precieze manier van tonen verschilt wel iets per browser.
De kosten van een Extended Validation certificaat zijn weliswaar hoger dan van een regulier certificaat, maar leveren ook echt een meerwaarde. Het gebruik van een dergelijk certificaat geeft een duidelijk signaal naar de bezoeker dat de eigenaar van de website de veiligheid van zijn bezoekers serieus neemt. Inmiddels zien we dat steeds meer bedrijven voor hun online diensten kiezen voor het gebruik van dit nieuwe certificaat, met name in de financiële sector.
Mocht u meer willen weten over Extended Validation certificaten en hoe het aanvragen ervan in zijn werk gaat, bekijk dan onze website of neem contact op met onze servicedesk.