SSL-certificaten (Secure Socket Layers) vertellen de bezoekers van uw website dat u bent wie u zegt dat u bent en zorgen voor een versleutelde verbinding tussen uw domein (eenvoorbeelddomein.nl) en uw bezoekers. Als uw domein geen geldig certificaat kan aanleveren schermt de browser de gebruiker af en wordt die gewaarschuwd dat de website niet betrouwbaar is. Veel dingen kunnen gebeuren om deze waarschuwing te genereren, maar meestal is het een verlopen SSL-certificaat.
In dit artikel bespreken we de achterliggende redenen waarom uw website een browserwaarschuwing kan afgeven, wat u kunt doen om deze waarschuwingen te voorkomen en hoe u snel meldingen kunt ontvangen wanneer uw website een SSL-gerelateerde error genereert.
De hoge kosten van browserwaarschuwingen voor SSL-certificaten
Als u geen HTTPS gebruikt verliest u bezoekers vanwege de privacywaarschuwingen van de browser en een lagere ranking in zoekmachines. De kern van HTTPS-verbindingen is het SSL/ TLS-certificaat om aan te tonen dat uw site veilig is. Als uw certificaat onjuist is geconfigureerd of verlopen is, geeft uw website browserwaarschuwingen weer (zoals hieronder) waardoor het verkeer op uw website tot een halt wordt gebracht.
We hebben allemaal wel eens deze beveiligingswaarschuwingen gezien. Er gaat iets mis met het SSL-certificaat van een website waardoor de browser de site blokkeert en de gebruiker wordt gewaarschuwd deze site niet te bezoeken. Uitgevers van deze browsers hebben de waarschuwingen zo ontworpen dat gebruikers ze niet snel negeren. Google heeft in feite uitgebreid onderzoek gedaan om het aantal overbodige waarschuwingen te verminderen en alleen waarschuwingsberichten in Chrome te produceren die mensen serieus nemen.
Voorafgaand deze studie observeerde Google dat slechts 30 procent van Chrome-gebruikers gehoor gaf aan de beveiligingswaarschuwingen. Daardoor bracht dus 70 procent van de gebruikers zichzelf in gevaar door voorbij de beveiligingswaarschuwing van de browser te navigeren. Het onderzoek van Google benaderde het probleem vanuit verschillende invalshoeken en vond uiteindelijk twee oplossingen om de respons van gebruikers te verbeteren.
- Vermindering van het aantal browserwaarschuwingen. Uit het onderzoek is gebleken dat dat de helft van de beveiligingswaarschuwingen te wijten was aan netwerk- of configuratieproblemen die niets met het SSL-certificaat te maken hadden. Google heeft daarom automatische processen in de Chrome-browser verwerkt om veel van deze waarschuwingen te evalueren en te verwijderen. Minder waarschuwingen betekent namelijk dat mensen ze serieuzer nemen wanneer ze wél verschijnen.
- Google heeft ook de waarschuwingsberichten uitgebreid getest en ontworpen waardoor gebruikers het moeilijk wordt gemaakt om de waarschuwingen te negeren.
Door het onderzoek en de aanpassingen Chrome heeft doorgevoerd zijn de statistieken nu omgedraaid. Nadat Google de wijzigingen had geïmplementeerd, keerde 68 procent van de Chrome-gebruikers die een SSL-gerelateerde waarschuwing ontvingen terug.
Wat betekenen de wijzigingen in Chrome voor uw bedrijf?
68 procent van uw gebruikers gaat nu rechtstreeks naar de concurrentie als ze een SSL-gerelateerde waarschuwing tegenkomen. Stel dat uw website 500.000 gebruikers per dag krijgt. Een verlopen certificaat kan u dan in een periode van 24 uur wel 350.000 gebruikers kosten. Als de waarschuwing slechts twee uur zichtbaar was voor uw gebruikers, bent u in die twee uur gemiddeld meer dan 40 duizend gebruikers kwijtgeraakt. Dat zijn een hoop potentiële conversies verloren.
SSL-certificaatwaarschuwingen zullen toch niet op mijn site gebeuren
Natuurlijk wel. Op een bepaald moment zal een fout in uw planning ervoor zorgen dat de geldigheid van het certificaat mislukt; het gebeurt altijd, zelfs op de grootste sites. Het certificaat van Microsoft Teams was bijvoorbeeld een paar maanden geleden verlopen. Microsoft heeft hun gebruikers op Twitter hierover moeten informeren.
We’ve determined that an authentication certificate has expired causing, users to have issues using the service. We’re developing a fix to apply a new certificate to the service which will remediate impact. Further updates can be found under TM202916 in the admin center.
— Microsoft 365 Status (@MSFT365Status) February 3, 2020
Problemen met SSL-certificaten veroorzaken overal problemen voor bedrijven. U kunt problemen met SSL-certificaten voorkomen door het onderhoud van SSL-certificaten proactief te benaderen. Laten we eerst enkele veelvoorkomende SSL-certificaatfouten bekijken.
6 oorzaken van SSL-certificaatgerelateerde fouten
Google’s artikel, Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors, beschrijft de bevindingen van een maandenlang onderzoek om de veelvoorkomende redenen voor SSL-certificaatwaarschuwingen te achterhalen.
Hieronder is een overzicht beschreven van de gevonden problemen. Raadpleeg het artikel voor meer gedetailleerde beschrijvingen.
- Verlopen certificaten. Een certificaat heeft een effectief voor een bepaalde periode met een begin- en einddatum. Als de datum is verlopen, geeft de browser een ongeldige certificaatwaarschuwing.
- Fout met niet-overeenkomende servernaam. Als geen van de hostnamen op het certificaat overeenkomt met de hostnaam die door de client is opgegeven, treedt er een certificaatfout op. De discrepanties komen typisch voort uit sub-domein verschillen. Als het certificaat bijvoorbeeld mijndomein.com vermeldt, maar niet www.domein.com, ontvangen gebruikers die de eerste gebruiken een waarschuwing vanwege de verkeerde combinatie. In het geval van wildcard-certificaten veroorzaakt sub.subdomain.mydomain.com een fout met een niet-overeenkomende naam omdat de hostnaam niet overeenkomt met de wildcard * .mydomain.com. Wildcard-certificaten ondersteunen slechts één niveau van sub-domeinen. U kunt vaak niet-overeenkomende servernaamfouten voorkomen door alternatieve onderwerpnamen te gebruiken (SAN) SSL-certificaten, waar u alle potentiële hostnamen kunt vermelden van waaruit uw site verwijst.
- Ongeldige certificeringsinstantie. De gemachtigde autoriteit garandeert dat het domein geldig is en dat de client de verbinding kan vertrouwen. De klant controleert of de autoriteit op de lijst staat van vertrouwde bronnen van de client. Zo ja, dan accepteert de client het certificaat. Als de provider niet op de lijst van vertrouwde autoriteiten staat, geeft de client een waarschuwing aan de gebruiker.
- Onvoldoende foutbemiddeling van de server. Een root-autoriteit machtigt intermediaire diensten om certificaten te garanderen en de keten van intermediaire services moet certificaten hebben die teruggaan naar de garanderende root-autoriteit. Als er een fout optreedt in de keten van tussenliggende certificaten tot aan de root, vertrouwt de client het certificaat niet.
- Fouten bij de client. Problemen met de client kunnen ertoe leiden dat een certificaat mislukt, zoals foutieve clientklokken of problemen met de antivirussoftware.
- Netwerkproblemen vanwege captive portals en ontbrekende TLS-proxy-roots kunnen browserwaarschuwingen veroorzaken.
SSL-certificaatwaarschuwingen vermijden
We hebben in de zes redenen hierboven vier serverfouten vermeld die u kunt beheren en twee fouten die u niet kunt beheren (nummers 5 en 6). Hoewel de browser sommige fouten door de vinger ziet, zoals naamafwijking (indien mogelijk), dient uw aandacht te worden besteed aan het voorkomen van andere fouten.
Stop niet-vertrouwde waarschuwingen vanwege verlopen SSL-certificaten
Veranderingen in personeel or verschuivingen in hun verantwoordelijkheden kunnen communicatiekanalen verbreken. Als e-mails worden verstuurd over verlenging wanneer de vervaldatum van een certificaat nadert, naar wie dan precies? Bij verandering in personeel kunnen de herinneringen naar een niet-bewaakt account gaan, naar iemand die niet langer verantwoordelijk is of u loopt de herinneringen mis omdat deze naar een vol en vaak verwaarloosd e-mailadres van een bepaalde afdeling wordt gestuurd, zoals support@uwdomein.com of webmaster@uwdomein.com.
De SSL-certificaatbewaking van Uptrends stuurt u meldingen over de aanstaande vervaldatum van het certificaat. U vertelt Uptrends hoeveel dagen van tevoren u een waarschuwing wenst en Uptrends houdt u op de hoogte. Gebruik uw Alert-definities om herinneringen in te stellen via uw telefoon, e-mail of gebruik een integraties met apps zoals Slack, PagerDuty of webhooks.
Even over de vervaldata van meerdere jaren
U kunt SSL-certificaten aankopen met een vervaldatum van twee, drie of zelfs vier jaar maar doe het alsjeblieft niet. Hoewel vervaldatums van meerdere jaren uw leven gemakkelijker maken omdat u uw certificaten minder vaak hoeft te verlengen, accepteren browsers ze mogelijk niet lang meer als geldig. Apple’s Safari-browser is de eerste die een vervaldatum van één jaar oplegt (meer informatie). Vanaf 1 september 2020 accepteert Safari geen certificaten meer die meer dan 398 dagen na de huidige datum verlopen. Uw driejarige certificaat duurt dus mogelijk nog 900 dagen voordat het verloopt, maar tenzij het certificaat is afgegeven vóór 1-9-2020 geeft Safari privacy waarschuwingen aan de gebruiker weer.
U denkt misschien dat u zich geen zorgen hoeft te maken over Safari, maar Google loopt niet ver achter met dezelfde beperking in Chrome. Google dringt er al een tijdje op aan om de beperking van één jaar verlooptijd van certificaten (ook Mozilla) op te leggen, dus u kunt binnenkort aankondigingen van andere browsers verwachten. De certificeringsinstanties hebben abonnementsplannen ingevoerd die uw certificaat elk jaar automatisch voor een bepaalde periode vernieuwen, zodat u kunt besparen op uw certificaten. U dient echter nog steeds herinneringen in te stellen voor het verlopen van het certificaatabonnement en u moet ook ervoor zorgen dat ze ook vóór elke automatische verlenging een actueel creditcardnummer hebben.
Verkeerd geconfigureerde certificaatinstellingen en hackers
De uitgever van een certificaat bepaalt wat u wel en niet mag doen bij het instellen van uw certificaten en of u achteraf wijzigingen in uw instellingen kunt aanbrengen. Hoe dan ook, als u eenmaal uw normale of wildcard SSL-certificaat heeft ingesteld en het werkt, mag er geen enkele reden zijn dat het zou stoppen met werken behalve een datumfout. Als de certificaatwaarden veranderen, heeft iemand per ongeluk wijzigingen aangebracht of is een bestand beschadigd geraakt.
Met Uptrends’ SSL Certificaat Monitoring kunt u content checks uitvoeren op de individuele certificaatwaarden en als de waarden veranderen, zullen uw waarschuwingsinstellingen u op de hoogte stellen van de wijzigingen. U kunt meerdere velden of slechts één controleren (sitebeheerders controleren gewoonlijk vingerafdrukken en serienummers). Met Uptrends kunt u de volgende waarden bewaken:
- Algemene naam : de domeinnaam van de site, bijvoorbeeld mijndomein.com of * .mijndomein.com voor een wildcard certificaat
- Organisatie : bijv. Mijn organisatie L.L.C.
- Organisatie-eenheid : bijv. marketing
- Serienummer : de unieke identificatie die aan het certificaat is toegewezen, bijvoorbeeld 1E: DB: AF: 6D: D5: 1E: 35: 71: 02: 00: 00: 00: 00: 5F : 98: BB
- Vingerafdruk / vingerafdruk : een unieke identificatie berekend op basis van het certificaat (de vingerafdruk maakt geen deel uit van het certificaat maar wordt hieruit gegenereerd).
- Uitgegeven onder de algemene naam : bijv. DigiCert SHA2 High Assurance Server CA
- Uitgegeven door organisatie : bijv. DigiCert Inc
- Uitgegeven door organisatie-eenheid : bijv. digicert.com
Als de waarden veranderen, kunt u wellicht achterhalen waarom maar de wijzigingen kunnen te wijten zijn aan een vervalst of gecompromitteerd certificaat.
Conclusie
- Het is gemakkelijk om de vervaldatum van een SSL-certificaat te vergeten, vooral wanneer u meerdere certificaten beheert.
- Vervalherinneringen van de certificaataanbieders gaan mogelijk naar ongebruikte of verlaten e-mail inboxen gaan als gevolg van personeelsveranderingen.
- Een verlopen certificaat activeert een browserwaarschuwing voor gebruikers.
- Ongeveer 70 procent van de gebruikers komt niet voorbij een browserbeveiligingswaarschuwing.
- Door certificaatwaarden zoals vingerafdrukken te controleren, kunt u gehackte of vervalste certificaten identificeren.
- Uptrends’ SSL Certificate Monitoring kan al uw certificaatinformatie opslaan op één centrale locatie voor eenvoudig beheer.
- Uptrends kan u informeren over aanstaande vervaldatums om vervallen certificaten te voorkomen.
- Browsers implementeren nieuwe regels die later dit jaar in werking treden en die de vervaldatum van certificaten beperken tot een maximum van één jaar.
De SSL-certificaatmonitors van Uptrends zijn snel en eenvoudig in te stellen. Het enige wat je nodig hebt is wat basisinformatie en een Uptrends-account. Als u geen Uptrends-account heeft, kunnen we u probleemloos een gratis proefperiode van 30 dagen
aanbieden.