TLS versleuteling (HTTPS)

 
Het is tijd voor het web om een grote stap voorwaarts te maken op het vlak van veiligheid en privacy. HTTPS moet de nieuwe standaard worden. Daarom bieden wij gratis TLS certificaten aan die aangeboden zijn door Let’s Encrypt.
HTTPS staat voor HyperText Transfer Protocol over SSL, de beveiligde variant van HTTP. Tegenwoordig hebben we het meestal over de opvolger van SSL; “TLS”, maar functioneel zijn deze technieken bijna hetzelfde. Het verschil zit alleen in de implementatie die net anders, maar veel veiliger is. TLS heeft twee belangrijke taken: 
1. Authenticatie: Je moet erop kunnen vertrouwen dat de server waarmee je verbinding maakt de juiste is 
2. Versleuteling: De versleuteling die TLS biedt zorgt ervoor dat de communicatie tussen jouw browser en de server privé blijven 
Let’s Encrypt TLS kun je voor jouw domein inschakelen door in te loggen als webmaster in het Cosmos Service Centrum. Ga vervolgens naar Hosting > TLS Instellingen en schakel TLS aan voor het desbetreffende (sub)domein.

 


  • TLS aanzetten
  • Wordpress-website geschikt maken
  • Van SSL naar Let's Encrypt
  • HSTS

 




Via het Cosmos Service Centrum kun je eenvoudig Let’s Encrypt TLS certificaten aanzetten voor je verschillende (sub)domeinen.

1. TLS aanzetten

Je kunt TLS aanzetten voor een subdomein (iets.jouwdomein.nl) of een domein (jouwdomein.nl).In dit voorbeeld zullen we TLS aanzetten voor het domein ‘greenblog.nl’ en het subdomein ‘test.greenblog.nl’.

Log in als webmaster in het Cosmos Service Centrum en selecteer links in het drop down menu het domein waarvoor je TLS wilt aanzetten (in dit voorbeeld: ‘greenblog.nl’). Ga vervolgens naar Hosting > TLS Instellingen.
Selecteer ‘TLS aan’ bij het gewenste (sub)domein.

le-instellingen
Bezoek vervolgens je website via https:// (bijvoorbeeld https://greenblog.nl) en controleer of de website nog naar behoren functioneert.
Controleer of je in de adresbalk een groen slotje ziet: dit geeft aan dat de verbinding met je website versleuteld en veilig is.

Groene slotje in de URL-balk

Als er iets niet helemaal goed is, is het mogelijk dat je geen slotje, een oranje slotje, of een slot met een waarschuwingsdriehoek ziet. Dit betekent vaak dat er een gedeelte van de webpagina niet via TLS verzonden is.

Afbeeldingen van externe bronnen worden bijvoorbeeld niet altijd automatisch via een TLS-verbinding opgehaald wanneer er ‘http://’ voor de link naar het plaatje staat. Het kan dus zijn dat je geen groen slotje te zien krijgt omdat externe afbeeldingen niet over een beveiligde verbinding gaan.

Klik op het  icoontje links van de URL in de balk om te zien welk onderdeel van je website nog niet over TLS verzonden wordt. Of geef een overzicht weer van alle bestanden die worden geladen door te klikken op de F12 toets op het toetsenbord, naar de tab “network” van de developer tools te gaan en de pagina te verversen.

Heb je een WordPress-website en zie je na het aanzetten van TLS niet het groene slotje? Volg dan deze handleiding over hoe je een bestaande WordPress-website geschikt kunt maken voor TLS.
Ziet alles er goed uit? Dan kun je de https-verbinding gaan forceren.

2. Forceer TLS

Belangrijk: Verander eerst, als je een WordPress-site hebt, het WordPress-adres en Siteadres in je wp-admin instellingen van ‘http://…’ naar ‘https://…’.

Ga weer naar het Cosmos Service Centrum, Hosting > TLS instellingen en zet bij het juiste (sub)domein de knop onder ‘Forceer TLS’ aan. Alle bezoekers van je website worden nu automatisch via de beveiligde TLS verbinding naar je website gestuurd.




In deze handleiding beschrijven we hoe je de links naar bestanden op je WordPress-website automatisch kunt omzetten naar relatieve (‘//’) links, om ervoor te zorgen dat het groene slotje in je adresbalk komt te staan. Hiervoor raden wij het gebruik van de WordPress plugin Better Search Replace aan.

Zorg ervoor dat je eerst het subdomein hebt gecontroleerd en TLS hebt aangezet, dit is stap 1 en 2 van deze handleiding.

Volg de volgende stappen om de links naar alle elementen van je website te herschrijven zodat ze werken met https:
1. Maak een backup van je database

2. Log in op je WordPress-website

3. Ga naar Plugins en download de plugin ‘Better Search Replace’

4. Installeer en activeer de plugin ‘Better Search Replace’

5. Ga in het menu naar ‘Extra’ en klik op ‘Better Search Replace’

6. Vul de volgende gegevens in:
search for: http:\/\/JOUWDOMEIN.NL (bijvoorbeeld http:\/\/greenblog.nl)
replace with: \/\/JOUWDOMEIN.NL (bijvoorbeeld \/\/greenblog.nl)
selecteer alle tables
selecteer case-sensitive
controleer of ‘Run as dry run?’ geselecteerd is. Als je deze aan laat staat krijg je alleen een overzicht te zien van de regels die omgezet moeten worden. Wanneer je deze niet selecteert worden de regels gelijk allemaal omgezet.

better-search-replace-screenshot

7. Bezoek vervolgens je website via https:// (bijvoorbeeld https://greenblog.nl) en controleer of de website nog naar behoren functioneert. Controleer of je in de adresbalk een groen slotje ziet, dit geeft aan dat de verbinding met je website versleuteld en veilig is.
Mocht er een oranje slotje zichtbaar zijn, klik dan hierop om te zien welke onderdeel van je website nog niet over TLS gaat. Afbeeldingen die extern staan worden niet meegenomen bij het omzetten naar https://. Het kan dus zijn dat je een oranje slotje te zien krijgt omdat externe afbeeldingen niet over een beveiligde verbinding verzonden worden.

8. Ga vervolgens binnen je WordPress-website naar ‘Instellingen’ en vervang het WordPress-adres en Siteadres van ‘http://…’ naar ‘https://…’, bijvoorbeeld http://greenblog.nl naar https://greenblog.nl.

9. Ga terug naar het Cosmos Service Centrum, Hosting > TLS instellingen en selecteer bij het juiste (sub)domein ‘Forceer TLS’. Alle bezoekers van je website worden nu automatisch via de beveiligde TLS verbinding naar van je website gestuurd.




Hierbij de stappen die je moet nemen om je SSL certificaat over te zetten naar een TLS certificaat van Let’s Encrypt.

Lees eerst alle stappen door zodat je weet wat je moet doen en je altijd klaar bent voor de volgende stap.
Let wel, de website zal tijdens dit proces enkele minuten offline zijn.

A record wijzigen

1. Log in in het Cosmos Service Centrum, selecteer het domein waarop je het Let’s Encrypt TLS wilt instellen
2. Ga naar Hosting > DNS Records.
3. Bekijk de huidige TTL (Time To Live) waarde van het domein, dit is de tijd dat het record gecached mag worden in name server van internet providers in seconden. Als er geen waarde ingesteld is, is het standaard 3600 (1 uur).
4. Verander bij het A record van het (sub)domein wat we gaan wijzigen de TTL naar 60.
5. Wacht voor de volgende stap zolang als de TTL ingesteld stond bij stap 3.

IP-adres aanpassen

1. Ga weer naar het Cosmos Service Centrum, selecteer het desbetreffende domein
2. Ga naar Hosting > DNS Records
3. Noteer het huidige IP adres bij het A-record dat we straks gaan aanpassen en bewaar het goed.
4. Verander de bestemming van het betreffende A record naar het IP-adres van het hostingpakket. Dit IP-adres vind je terug boven de DNS settings tabel.
Je website raakt nu tijdelijk offline. Voer de volgende stappen zo snel mogelijk na de vorige stappen uit.

TLS Let’s Encrypt aangezetten

1. Ga binnen het Cosmos Service Centrum naar Hosting > TLS Instellingen.
2. Zet voor het gewenste (sub)domein TLS aan door op ‘TLS aan’ te klikken
3. Als TLS in de oude situatie altijd werd geforceerd kun je dit weer aanzetten door ‘Forceer TLS’ aan te zetten.
4. Controleer of je website weer online is via een https:// verbinding
5. Stuur support een e-mail vanaf het bij ons bekende e-mailadres met daarin het verzoek om het SSL-certificaat per eerst volgende mogelijkheid stop te zetten
Als er iets mis gaat bij stap 2, 3 of 4 en de site niet (via https) bereikbaar is, verander je het A-record terug naar de originele IP adres configuratie. Binnen een aantal minuten zou de oude configuratie weer moeten werken. Meld het probleem bij de helpdesk.




Het is belangrijk om te weten dat TLS twee taken heeft: de eerste is het beveiligen van de verbinding door middel van versleuteling. De andere, minder bekende taak van TLS is controleren of de server waarmee je verbindt authentiek is. Met andere woorden: bezoekers beschermen tegen het maken van verbindingen met frauduleuze servers.
HTTP Strict Transport Security (HSTS) is een manier voor je website om de browser van je bezoekers te vertellen dat de website die je bezoekt altijd TLS zal ondersteunen. Dat zorgt er dus voor dat de browser niet zal verbinden met de website als deze geen TLS meer ondersteunt.
Als HSTS aan staat, onthoudt de browser van je bezoeker elke keer dat hij je website bezoekt dat TLS nog zeker 6 maanden beschikbaar zal zijn.
Dat betekent dus ook dat als je HSTS uit zou zetten, TLS nog minstens 6 maanden aan moet blijven, is dat niet zo dan zal je website niet weergegeven worden. Dus test je website eerst goed met TLS en zet na een tijdje, als alles goed werkt, HSTS aan door op de knop te klikken in het Cosmos Service Centrum.