Er zijn globaal drie soorten SSL-certificaten. Deze worden allemaal uitgegeven door een organisatie met de naam Comodo. Daarnaast is er tegenwoordig nog een vierde gratis variant, Let’s encrypt. Hier heb ik zelf nog te weinig ervaring mee om wat over te schrijven in deze blog.
- Domeinvalidatie: Certificaten met domeinvalidatie bevatten geen bedrijfsgegevens. Er wordt alleen gecontroleerd of de aanvrager controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Het certificaat wordt door alle browsers vertrouwd en zorgt voor een veilige verbinding met 128/256 bits encryptie. De validatie gebeurt door het versturen van een code naar een mailadres gekoppeld aan de website. Het is ook mogelijk om de validatie uit te voeren middels het plaatsen van een bestand op de server of door het toevoegen van een DNS Record. Deze validatie zorgt voor een groen slotje voor de domeinnaam in de adresbalk.
- Organisatievalidatie: Certificaten met organisatievalidatie bevatten bedrijfsgegevens. De bezoekers van een website kunnen met deze bedrijfsgegevens controleren of ze op de website van het juiste bedrijf zijn. De bedrijfsgegevens worden in het certificaat opgenomen, maar komen niet direct in beeld zoals dat bij EV certificaten het geval is. De validatie gebeurt door het raadplegen van open bronnen zoals bijvoorbeeld een openbaar register als de KvK en daarnaast wordt er telefonisch contact opgenomen met de aanvrager. Deze validatie verzorgt ook alleen een groen slotje voor de domeinnaam in de adresbalk.
- Uitgebreide validatie: Certificaten met uitgebreide validatie (Extended Validation) tonen de bedrijfsnaam in een groene adresbalk en voldoen aan zeer strenge vastgestelde richtlijnen. Naast de domeinvalidatie, waarbij de aanvrager laat zien controle te hebben over het domein waarvoor het certificaat wordt aangevraagd, worden ook de bedrijfsgegevens gecontroleerd. Er wordt hiervoor naar een openbaar register zoals de Kamer van Koophandel gekeken, en er wordt ter verificatie naar de organisatie gebeld. Voor sommige leveranciers is het noodzakelijk dat er documenten worden ondertekend en opgestuurd.
Voor de meeste websites en webshops is organisatievalidatie ruim voldoende. Door de telefonische validatie en het vermelden van de bedrijfsgegevens in het certificaat bouw je vertrouwen op naar je bezoekers. En hoe meer vertrouwen hoe groter de kans op een daadwerkelijke lead. Dit kan ook vaak binnen een dag gerealiseerd worden. Vooral de uitgebreide validatie kan soms langere tijd duren in verband met het aanleveren van gevraagde documenten en goedkeuring hiervan.