SSL/TLS certificaten

De alledaagse communicatie op internet is niet versleuteld / gecodeerd (encryptie ) De verbindingen tussen computers kan gemakkelijk worden afgeluisterd/afgekeken. Wanneer er SSL/TLS certificaten zijn  tussen de communicatie van de computer van de gebruiker en de server waar de websites op staan, is dit versleuteld . Het is dan niet mogelijk dat er "onderweg" afgeluisterd/afgekeken wordt of  zaken aangepast worden.

Bezoekers van websites hebben de garantie dat gegevens die verzonden worden naar de server (namen, wachtwoorden, creditcardnummers etc.) uitsluitend opgestuurd worden naar de website operator, en dat geen enkele derde partij  toegang kan krijgen tijdens de communicatie.

Tegelijkertijd is het tijdens het gebruik van HTTPS  niet mogelijk dat bijvoorbeeld vrije wifi hotspot ongewenste data invoert, of dat schadelijke codes toegevoegd worden op websites zonder toestemming van de eigenaar van de website of de bezoeker. 


Voor meer informatie en specifieke offertes van SSL certificaten van ACTIVE 24 ,kijk op de volgende site  www.active24.nl 

 

Let's Encrypt gratis


Bij iedere Linux hosting bieden we gratis een volledig automatisch certificaat aan genaamd Let's Encrypt. Deze certificaten zijn betrouwbaar in browsers en kunnen worden gebruikt voor volledige beveiliging op de site.

Het afgegeven certificaat wordt met regelmatige tussenpozen van 3 maanden automatisch verlengd.U hoeft zich geen zorgen te maken over certificaat updates die anders handmatig geïnstalleerd en bijgewerkt moeten worden.

NOTITIE: Certificaten Let's Encrypt worden aangeboden door Active24 via het best-effort formulier. Wij doen onze uiterste best om het certificaat voor de website van externe autoriteit te handhaven en regelmatig te vernieuwen maar er is geen garantie voor deze dienst. Wij raden u aan om voor belangrijke websites betaalde certificaten te gebruiken. Dit is uitermate  belangrijk omdat de diensten van de websites afhankelijk zijn van een geldig certificaat Bij voorbeeld certificaten met EV deze biedt het hoogste niveau van verificatie. In de adresregel van de browser staat ook de naam van het bedrijf van de domeinnaam die de geloofwaardigheid van de website verhoogt.

De voorwaarden voor de  Let's Encrypt Certificaten bij ACTIVE 24:

  • De certificaten worden gegenereerd voor de hoofdnaam en aliassen . Aliassen die later worden ingevoerd zullen automatisch binnen enkele uren worden toegevoegd.
  • Deze worden niet gegenereerd voor aliassen met een ster * - bijvoorbeeld *.active24.cz Hiervoor genereren we alleen de www-variant dwz: www.active24.cz. Wanneer het certificaat bestemd is voor een niet gespecificeerd subdomein is het noodzakelijk om een alias met een specifieke naam te hebben.
  • De voorwaarden voor het verkrijgen van het certificaat is dat de DNS-records goed ingesteld staan en deze wijst naar de juiste hosting-server van ACTIVE 24.
  • Let's Encrypt ondersteunt niet de zogenaamde IDN domeinen (geaccentueerd).Voor dergelijke domeinen wordt het certificaat niet afgegeven..
  • In de databases worden de domeinen geverifieerd op de aanwezigheid van malware. Als het domein op deze lijst voorkomt wordt het certificaat niet afgegeven.
  • Een certificaat mag niet meer dan 100 aliassen bevatten.
  • Wanneer er hosting is opgezet  zal  als eerste een zelf-ondertekend certificaat gegenereerd worden ,later vervangen door een Let's Encrypt certificaat. Het kan een aantal uren duren voordat alle voorwaarden gecheckt zijn en het certificaat aangemaakt is.
  • Wanneer uw eigen certificaat geïnstalleerd is via het controle paneel zullen er geen pogingen gedaan worden om het Let's Encrypt certificaat te installeren. Het vernieuwen van dit certificaat wordt direct geregeld door de klant zelf. Mocht u het Let's Encrypt certificaat willen herstellen neem dan contact op met de contact customer support.


CSR (Certificate Signing Request)


Om een SSL / TLS certificaat af te geven is een zogenaamde CSR  aanvraag (Certificate Signing Request) vereist. Dit is een bestand dat informatie bevat over de aanvrager en gebaseerd is op de privé-sleutel van de server. CSR wordt altijd gegenereerd door de serverbeheerder. 

CSR voor hosting bij Active24 met het besturingssysteem Linux kan in orde gemaakt worden via het controlepaneel (de handleiding vindt u in het artikel Certificaat installatie tevens is het mogelijk om een  CSR te laten genereren via een Geautoriseerde aanvraag. Samen met de aanvraag ontvangen wij ook graag de onderstaande informatie. CRS Moet minimaal de volgende informatie bevatten.

 

Hoe de CSR te genereren?

  1. Open het Controlepaneel.
  2. Selecteer de Linux hosting waarbij u het certificaat bij wilt installeren (Servers en hosting/Server overzicht/Details van de gekozen server).
  3. In Server instellingen, klikt u op details naast SSL/TLS-Certificaten
  4. Vervolgens klikt u op CSR aanmaken.
  5. De volgende stap de gegevens in te voeren  om het toekomstige SSL / TLS-certificaat in te stellen (zonder leestekens).
  6. De CSR-sleutel kan worden gedownload in .TXT-format naar uw apparaat. 

Gedetailleerd overzicht:

  1. Met uw inloggegevens opent u het Controlepaneel. Als u uw inloggegevens niet meer heeft, kunt u eenieuw wachtwoord aanvragen.
  2. Na het inloggen, in het menu aan de linkerkant gaat u naar; Servers en hosting/Server overzicht, de  server lijst opent automatisch. In de lijst klikt u op Details rechts van het domein waarbij u het certificaat wilt instellen.                                                                                                                                                                                                                                                                                                                                             
  3. In Server instellingen, klikt u op details naast SSL/TLS-Certificaten                                                                                                   
  4. Om zelf CRS te creëren klikt u op CSR aanmaken. De volgende stap is om de gegevens in te voeren die bij het certificaat komen te staan.                                                                                                                                                                                                                                                                                                                        
Algemene naam: Domeinnaam, waarvoor het certificaat moet worden afgegeven, er is verschil tussen domein met en zonder www. (Meest voorkomende is de bestelling van certificifitace voor domein met www).

Organisatie: Naam van het bedrijf waarvoor het certificaat word afgegeven moet worden vermeld.

Plaats: woonplaats

Land: Landcode invoeren, alleen met hoofdletters (bijvoorbeeld UK)


NOTITIE: Gebruik in deze informatie geen tekens of accenten,dit kan namelijk achterstevoren gelezen worden.


De handleiding voor het genereren van CSR op uw eigen server kunt u vinden op de websites Thawte:

Apache 

Microsoft IIS 7 


 

Certificaten verificatie 

De certificatieautoriteit verplicht de eigenaar om een verificatie te bevestigen voordat het certificaat afgegeven wordt . Zonder deze verificatie  wordt er geen beveiligings certificaat afgegeven.

De verificatiemethode is afhankelijk van het type certificaat. Het kan bevestigd worden door middel van een confirmatie link of telefonisch.

Op active24.nl kunt u het certificaat kiezen op basis van de verificatiemethoden. In het algemeen kan worden gesteld dat hoe complexer de verificatie van de organisatie, de geloofwaardiger het certificaat.

Bij voorbeeld: betaling pagina's kunnen voor een certificaat eisen dat het telefonisch bevestigd moet worden door het bedrijf.

 

Domein validatie (DV)

Dit wordt geverifieerd via het e-mailadres gekozen door de klant zoals: admin, administrator@, webmaster@, hostmaster@ or postmaster@domain.xy.

Andere e-mail adressen kunnen niet gekozen worden.De certificering instantie stuurt een email naar het gekozen adres en via de link in email wordt het domein bevestigd.

Organisatie Validatie (OV)

De certificeringsautoriteit zal het bedrijf contacteren waarvoor het certificaat besteld is. Zij zullen het bedrijf opzoeken in publieke telefoongidsen zoalsdetelefoongids.nl, waar het telefoonnummer van het bedrijf gevonden kan worden. om de bestelling van het certificaat te laten beoordelen. 

Telefonisch contact word uitsluitend in het engels gedaan. De firma zal dan een code moeten geven per telefoon welke vooraf is verstuurd per email.

Extended Validation (EV)

Het is hetzelfde als het verifiëren van een bedrijf, maar veel grondiger. Daarom kan de verificatie langer duren.

Data wordt verkregen uit meerdere bronnen en het verzenden van gecertificeerde documenten is verplicht.

De certificeringsautoriteit zal contact met de klant  opnemen via e-mail en u ontvangt  de informatie over wat nodig is voor de validatie.

Daarnaast wordt de arbeidsverhouding van de werknemer welke als administratief contact in het certificaat wordt vermeld, ook geverifieerd.


 

 

Certificate installatie


Alle gedeelde servers met het besturingssysteem Linux ondersteunen de functie auto-SSL. .Als resultaat heeft u active toegang tot de site via een beveiligd  HTTPS protocol direct nadat de hosting aangemaakt is. Een zelf-ondertekend certificaat zal eerst gegenereerd worden op de virtuele server. Vervolgens probeert het systeem periodiek het certificaat te vervangen via  de betrouwbaarheid van Let's Encrypt. Het kan tot enkele uren duren en het is noodzakelijk om aan voorwaarden te voldoen van Let's Encrypt creatie .(de belangrijkste is om het domein bij de  Active24 hosting te hebben).

Zelf-ondertekende Let's Encrypt-certificaten kunnen op elk moment vervangen worden door uw eigen certificaat. In dat geval is de verantwoordelijkheid voor de regelmatige en actualisatie van het certificaat op de server voor de klant zelf.

De certificaten zijn op onze Linux-servers geïnstalleerd met de SNI-methode, waar op een IP-adres meerdere certificaten zijn geïnstalleerd.

De basis informatie van het huidige geïnstalleerde  certificaat vindt u bij  Servers en hosting/Server overzicht  in het  Controlepaneel, in de optie SSL/TLS Certificaat  nadat u op  details heeft geklikt. U ziet hier de certificaten uitgevende instelling, de vervaldatum en andere SSL / TLS-beheer opties.

Hoe installeert u een SSL/TLS certificaat?

  1. Open uw Controlepaneel.
  2. Selecteer de Linux hosting, bij welke u het certificaat wilt installeren (Servers en hosting/Server overzicht/Details van de gekozen server).
  3. In Server instellingen, klikt u op details naast SSL/TLS- Certificaten
  4. Om het SSL/TLS certificaat zelf te installeren , kiest u voor Upload certificaat.
  5. Voer het gehele certificaat in in het tekstvakje, inclusief ----- BEGIN CERTIFICATE ----- y ----- END CERTIFICATE -----
  6. Bepaalde certificaten kunnen toevoeging van het zogenaamde tussenliggende certificaat  vereisen (dat is opgenomen in het certificaat bestand).
  7. Wanneer het certificaat geïnstalleerd is, moet u de HTTPS invoeren.   

Gedetailleerd overzicht:

  1. Met uw inloggegevens opent u uw Controlepaneel. Als u uw inloggegevens niet meer heeft, kunt u een nieuw wachtwoord aanvragen.
  2. Na het inloggen, in het menu aan de linkerkant gaat u naar; Servers en hosting/Server overzicht, de server lijst opent automatisch. In de lijst klikt u op, klik op Details waarbij u het certificaat wilt instellen.                                                                                                                                                                                                                                                                                                                                          
  3. In Server instellingen, klikt u op details en naast SSL/TLS Certificaten.                                                                                                                                                                                                                                                                                               
  4. Om het  SSL/TLS Certificaat zelf in te stellen, selecteer Upload certificaat. Voer de gehele code in van het certificaat in het   tekstvakje of kies voor upload vanuit archief.                                                                                                                                                                                     
    NOTITIE: Voer het gehele certificaat in in het tekstvak, inclusief ----- BEGIN CERTIFICATE ----- y ----- END CERTIFICATE -----
  5. U moet de installatie van het geselecteerde certificaat conformeren door te klikken op Upload en bevestigen. Bepaalde certificaten kunnen toevoeging van het zogenaamde tussenliggende certificaat  vereisen (dat is opgenomen in het certificaat bestand) of voer een privésleutel op de server in; Dit is verplicht als het certificaat oorspronkelijk is uitgegeven aan een andere fysieke server.

  6. Nadat u de benodigde stappen heeft voltooid, wordt het SSL-certificaat geïnstalleerd en kan de website het https-protocol gebruiken. Voor beveiligde verbindingen moet u de. Configureren de  HTTPS invoeren.

 

Invoeren van HTTPS en instellen op Linux hosting

Door middel van de optie "Doorverwijzen naar HTTPS" in het Controlepaneel, kunt U met één enkele klik uw website omzetten naar HTTPS.                                                                                                                                                                                                                                           

Er zijn vier opties beschikbaar:

1) Afhankelijk de serverinstellingen (standaardoptie) - deze wordt niet ingevoerd, maar kan later door ACTIVE 24 worden aangepast.

2) Uitgeschakeld- wordt niet ingevoerd en kan niet later door  ACTIVE 24 worden aangepast.

3) Basis doorverwijzing ingeschakeld  - alle verzoeken worden omgeleid naar HTTPS, maar niet van gemengde inhoud, dus CSS-stijlen, of JavaScripts die via HTTP worden geladen, worden in sommige browsers niet      geïnterpreteerd, wat van invloed is op het ontwerp en de functionaliteit van de webpagina. 

4) Ingeschakeld en behandelt gemengde inhoud  (aanbevolen optie) -alle verzoeken worden doorgestuurd naar HTTPS en de browser wordt geïnformeerd zodat het alle inhoud van de site via HTTPS laadt, waardoor        problemen voorkomt  met gemengde inhoud. Delen van de website die zijn geladen vanuit andere domeinen en niet beschikbaar zijn via HTTPS, worden niet geüpload.

HTTPS is op Linux hosting ingesteld (als de HTTP zelf) met behulp van omgekeerde proxy Nginx, die zogenaamde TLS-offloaden uitmaken.

Verkeer tussen Nginx en Apache is niet cyphered versleuteld en Apache zal alleen weten over cyphering van communicatie.. Dit resulteert in de volgende beperkingen voor applicaties die proberen te controleren of ze via veilige HTTPS worden geopend.

- Detectie in PHP met behulp van de variabele $ _SERVER ['HTTPS']! = 'Aan' is volledig functioneel.
- variabele $ _SERVER ['SERVER_PORT'] bevat zelfs met HTTPS nummer 80
NOTITIE: detectie in bestand .htaccess door regels "RewriteCond% {SERVER_PORT}! ^ 443 $" en "RewriteCond% {HTTPS}! On" zijn niet functioneel! Port in deze gevallen zal altijd 8x zijn, per versie van PHP en variabele HTTPS is altijd Uit. In plaats van variabele% {HTTPS} is nodig voor detectie variabele% {HTTP: X-Forwarded-Proto}.

Doorverwijzen op HTTPS. het is aan te bevelen om aan de volgende voorwaarden te voldoen, terwijl u de backward compatibility behoudt. 

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE]
Header set Content-Security-Policy "upgrade-insecure-requests;"

De header die is toegevoegd met de waarde "upgrade-onveilig-verzoeken" lost het probleem op van gemengde inhoud.


 

Invoeren van HTTPS en instellen op WINDOWS hosting

Eerst moet u een certificaat aanvragen voor de Window hosting. De Let's Encrypt certificaten zijn nog niet beschikbaar voor Windows.

Als uw certificaat geïnstalleerd is, kunt U de website op deze manier omleiden naar het web.config-bestand met HTTPS:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
  <rewrite>
     <rules>
       <rule name="Redirect to https" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
           <match url="*" negate="false" />
           <conditions logicalGrouping="MatchAny">
               <add input="{HTTPS}" pattern="off" />
           </conditions>
           <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
       </rule>
     </rules>
  </rewrite>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="upgrade-insecure-requests;" />
        </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

De header die is toegevoegd met de waarde "upgrade-onveilig-verzoeken" lost het probleem op van gemengde inhoud.

Zie voor meer configuratie-opties; web.config file documentatie.