DOMEINNAMEN E-MAILADRESSEN WEBHOSTING

VRAAG & ANTWOORD

SSL CERTIFICAAT AANVRAGEN EN INSTELLEN (HTTPS)

Waarom SSL
Met een SSL certificaat zorgt u ervoor dat alle bezoekers van uw website versleuteld communiceren met de webserver. Dit is noodzakelijk (AVG) als u bijv. een contactformulier gebruikt of andere persoonsgegevens (hier vallen ook cookies onder) toepast.

SSL aanvragen
Een SSL certificaat is voor onze hostingpakketten vanaf 1 GB en groter helemaal gratis. Heeft u een kleiner webhostingpakket? Upgrade dan naar het 1GB pakket of groter.

SSL is nu actief, maar daarmee mist u nog belangrijke beveiligingen
Uw website is nu zowel via http als https bereikbaar. Om te voorkomen dat men uw website alsnog via http kan openen zal er een redirect ingesteld moeten worden. Dit kan op server-niveau middels het configuratiebestand web.config op uw webruimte. Hierin vertel je de server dat alle aanvragen welke via http binnen komen, geredirect moeten worden naar https. Zo voorkomt u dat de inhoud van uw website onversleuteld naar de bezoeker gestuurd wordt.

Beveilig uw cookies
Met alleen het SSL certificaat en de redirect bent u er nog niet. Uw browser zal namelijk bij het openen van de http website direct de cookies meesturen om aan te geven wie de pagina (nogmaals) opent. Om dit te voorkomen is er de mogelijkheid om HTTP Strict Transport Security (HSTS) in te schakelen. Dit is een regel met informatie waardoor de browser bij een volgende aanroep via http voor de redirect zorg zal dragen, nog voordat er contact is geweest met de webserver. Zo worden ook de cookies niet via HTTP (en dus leesbaar over het internet) verstuurd.

Beveilig tegen het stelen van ingevoerde gegevens
Voorkom dat uw website in een <iframe> geplaatst kan worden. Als iemand een website maakt met daarin uw website in een IFRAME, dan kan deze foutieve website 'meekijken' wat anderen aan gegevens ingeven op uw website. De bezoekers moeten dan uiteraard de verkeerde site openen, maar middels een mailing met daarin de foute link is dat relatief snel gebeurd.
Middels Cross-frame protection hieronder verder uitgelegd kan dit in de meeste gevallen voorkomen worden.

Beveilig tegen het kunnen uitvoeren van externe code op uw website
Ook wel Cross-site scripting (XSS) genoemd. Hierbij zal men code toevoegen in de url. Websites die hier niet of onvoldoende op beveiligd zijn voeren zo de geinjecteerde code uit. Dit kan leiden tot diefstal van ingevoerde gegevens tot het volledig mee-lezen van de getoonde website etc.

Hoe uw web.config te configureren
Download de web.config van uw webruimte en maak er een kopie van zodat u een backup heeft voor als het mis gaat.

Voor het inschakelen van HSTS, Cross-frame protection en Cross-site scripting (XSS) voegt u de volgende regels toe:

Zet de volgende regels tussen <httpProtocol> en </httpProtocol>

<httpProtocol>

  <customHeaders>
   <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; " />
   <add name="X-Frame-Options" value="DENY" />
   <add name="X-XSS-Protection" value="1; mode=block" />
  </customHeaders>

</httpProtocol>


Voor de redirect zet u tussen <rewrite><rules> en </rules></rewrite> de volgende regels:


<rewrite>
 <rules>

   <rule name="HTTP to HTTPS redirect" stopProcessing="true">
    <match url="(.*)" />
     <conditions>
      <add input="{HTTPS}" pattern="off" ignoreCase="true" />
     </conditions>
     <action type="Redirect" redirectType="Found"  url="https://{HTTP_HOST}/{R:1}" />
    </rule>

   </rules>
</rewrite>


Allemaal abracadabra? Laat het ons voor u doen. We stellen dit graag en kosteloos voor u in. U kunt uw verzoek kenbaar maken op het info@hostingenregistratie.nl adres.


< Terug naar het overzicht