Menu

CloudFlare en SSL … wat wil die https eigenlijk zeggen?

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on tumblr
Share on email

CloudFlare en SSL… een ‘halfbeveiligde verbinding’.

Twee weken geleden hebben we stilgestaan bij het ‘beveiligen en versnellen’ van je website met behulp van CloudFlare. Inmiddels kijk je al weer ruim twee maanden naar de WordXPression website via CloudFlare en ik moet eerlijk zeggen, dat ik er heel tevreden over ben. Er zijn dus goede redenen om CloudFlare te gebruiken… één van die redenen kan het feit zijn, dat je je website via https kunt benaderen. Maar voor je besluit dit te doen, is het goed om eerst goed te begrijpen, wat dit https nu eigenlijk wil zeggen, en hoeveel veiliger CloudFlare met SSL nu werkelijk is.

Secure Socket Layers

Https is een onderdeel van de zogenaamde ‘Secure Socket Layers’. Zoals je misschien weet, gaat de informatie die jij verstuurt of opvraagt over een heleboel verschillende apparaten, voor de verbinding tussen jouw PC en een server tot stand is gekomen. In de meeste gevallen zullen deze knooppunten (nodes) weinig doen met deze informatie die passeert, maar het is theoretisch mogelijk dat deze informatie wordt opgeslagen. Om dit te voorkomen, kun je deze ‘publiekelijk leesbare informatie’ natuurlijk versleutelen. En dat is nu precies wat via SSL gebeurd: De informatie die jij verzend wordt gecodeerd met een speciale coderingssleutel, die jij doorkrijgt van de server. Alleen jij en de server kunnen die informatie lezen. Natuurlijk passeert de informatie nog steeds diverse nodes, maar behalve de adresinformatie, is deze nu compleet onleesbaar.

Geen beveiliging tegen hackers

Eén groot misverstand met betrekking tot https is, dat het een beveiliging tegen hackers zou zijn. Ik hoor wel eens van mensen, wanneer hun site gehackt is ‘Maar hoe is dit mogelijk, ik heb hem beveiligd met https’. Https maakt je site veiliger maar niet veilig. Inloggegevens kunnen niet onderschept worden, maar het is nog steeds mogelijk om via bugs in je software gehackt te worden.

Lees ook  Cloudflare instellen voor WordPress

Hoe het werkt

Om SSL te kunnen gebruiken, heb je een zogenaamd certificaat nodig. Zo’n certificaat is een serie letters en cijfers, die je krijgt uitgereikt van een certificerende instantie. Hier betaal je voor. In de praktijk loopt de aanvraag en de installatie van zo’n certificaat meestal via je hoster. SSL maakt gebruikt van zogenaamde ‘asynchrone encryptie’, ofwel, de sleutel die gebruikt wordt om te coderen is anders dan de sleutel die gebruikt wordt om te decoderen. Bovendien is de decodeersleutel ook uniek voor een bepaalde ontvanger door het toevoegen van een ‘gedeeld geheim’, wat random door je browser (of een andere software client) wordt gegenereerd. Hierdoor is het onmogelijk, dat een andere browser met de ontvangen sleutel jouw berichten kan decoderen.

Van beginpunt tot eindpunt heb je -zolang niemand de inhoud van het certificaat zelf kent- een veilige methode van coderen. Informatie die vanaf jouw PC wordt verzonden, kan alleen door de beoogde server worden gelezen.

CloudFlare en SSL

Bij CloudFlare is het mogelijk om je site via SSL te gebruiken. Dit kan op diverse manieren. Weet je nog hoe CloudFlare werkt? Jouw potentiële bezoeker komt -door een DNS wijziging- uit op een server van CloudFlare. Op deze server staat niet jouw website, maar een (gedeeltelijke) kopie hiervan. Op het moment dat er een pagina wordt opgevraagd, kijkt CloudFlare eerst, of de pagina daar is en of deze recent is. Is dat het geval, dan krijgt je bezoeker deze pagina ‘geleverd’. Is dat niet het geval, dan vraagr CloudFlare een kopie van die pagina op op de server waar je site is gehost.

Lees ook  Zeven goede voornemens om in 2019 jouw website tot een succes te maken

In de meest eenvoudigste oplossing zorgt CloudFlare helemaal zelf voor het certificaat. Daar hoef jij dus niets voor te doen en het kost je ook niets. Je moet wel goed begrijpen, dat in dit geval de verbinding tussen CloudFlare en je bezoeker helemaal via SSL verloopt, maar in de verbinding, waar CloudFlare de informatie van jouw site opvraagt, wordt nog steeds gebruik gemaakt van een onbeveiligde verbinding. Dit is prima geschikt voor een gewone website, maar aan bijvoorbeeld een webwinkel voegt dit weinig veiligheid toe.

Gratis echt certificaat

Een tweede manier is gebruik te maken van een certificaat wat door CloudFlare wordt uitgegeven. Ook dit kost je niets. Nadeel is echter, dat veel hosters je niet toestaan dit te gebruiken: Vaak is het zo, dat een hoster een certificaat zelf moet installeren en dat uitsluitend doet, met certificaten die uitgegeven worden voor de partij waar hij altijd mee werkt. In dit geval werkt de communicatie tussen jouw website en CloudFlare via het geinstalleerde certificaat, de communicatie tussen je bezoeker en CloudFlare via het CloudFlare certificaat. De verbinding is geheel veilig.

En de derde optie is natuurlijk gebruik te maken van het certificaat wat je via je hoster hebt gekregen. De kosten hiervan zijn heel verschillend per hoster (van een tientje tot enkele honderden euro’s per jaar. Hier zit overigens ook een verschil in het type certificaat. Dit valt echter buiten de scope van dit artikel). Ook hier is de verbinding geheel veilig.

Nu het installeren…

Voor wat betreft het installeren van een SSL certificaat voor CloudFlare gaan we vooral uit van de problemen, die je specifiek voor WordPress kunt verwachten. Eén probleem heeft weer alles met Google te maken: Net zoals Google niet in staat is te herkennen dat www.wordxpression.com dezelfde site is als wordxpression.com, begrijpt Google evenmin dat http://wordxpression.nl en http:// wordxpression.com dezelfde site zijn. Je wilt natuurlijk dat alles wordt omgeleid naar https, maar je wilt niet, dat je bestraft wordt voor het hebben van ‘duplicate content’.

Lees ook  De GDPR, opt in, opt out, cookies en de hele rataplan...

Stap voor stap

Het eerste wat we dan ook doen, is zorgen, dat dit niet meer als een doublure wordt gezien. Dit doen we door ervoor te zorgen, dat http:// direct wordt doorverwezen naar de https:// versie van de site. Maar om echte problemen met de site te voorkomen, moet dit wel in de goede volgorde gebeuren. Volg onderstaande stappen dus exact zoals beschreven. Mocht je iets fout doen, is je site onherroepelijk onbereikbaar.

  1. Installeer de plugin CloudFlare Flexible SSL. Door een ‘foutje’ in de samenwerking tussen WordPress en CloudFlare krijgt je bezoeker een ‘oneindige redirect’ als je deze plugin niet installeert. Je site is daarmee onbereikbaar geworden ook voor jou.
  2. Ga naar ‘Instellingen->Algemeen’ in WordPress en vervang de url van de site in de velden ‘WordPress adres’ en ‘Site adres’ door de https:// versie. Belangrijk: Vanaf nu is je site onbereikbaar tot de andere stappen ook zijn afgerond!
  3. Log nu in op je CloudFlare account. Klik op ‘Crypto’ en kies bij het blok ‘SSL’ voor ‘Flexible’.
  4. Nog steeds in CloudFlare: Ga naar ‘Page Rules’. Voeg een nieuwe regel toe :
    1. In het veld ‘If the URL matches’ geef je ‘http://jouwdomeinnaam.nl/*’ in.
    2. Geef bij ‘Then the settings are’ ‘Always use https’ in.
    3. Sla de regel op.
  5. Test je pagina door hem met en zonder www en via http en https op te vragen.

En gefeliciteerd. Jij hebt nu je site onder SSL draaien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *