Samenvatting

Sinds januari 2017 laten Chrome, Firefox, Safari, Internet Explorer en Edge duidelijk zien dat bepaalde gegevens via een onbeveiligde verbinding worden verstuurd. Daarnaast verschijnen niet beveiligde websites minder hoog in de zoekresultaten van Google. Per mei 2018 worden er forse boetes uitgedeeld voor onveilige webshops tot wel 4% van de jaaromzet zoals u hier kunt lezen:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg


Dat de communicatie 'niet veilig' plaats vindt heeft overigens geen enkele invloed op het functioneren van uw webshop, echter, kan dit wel vragen van uw klanten opleveren. Daarom hebben we in 2016 veel tijd geïnvesteerd om EV webshops (en EV zakelijk bestelwebsites) geschikt te maken voor SSL/HTTPS en sinds eind 2016 is het mogelijk om EXTRAvestiging webshops te kunnen laten werken via een 'beveiligde verbinding' via SSL/HTTPS. 



Dit document beschrijft de procedure om uw EXTRAvestiging webshop om te zetten naar een webshop met een 'veilige verbinding' (SSL/HTTPS). In deze samenvatting vind u in het kort de stappen die uitgevoerd dienen te worden en verderop dit document vindt u een uitgebreide omschrijving van deze werkzaamheden.

  1. U geeft aan dat u uw website met een 'veilige verbinding' wilt inrichten door een mail te sturen naar helpdesk@marti-orbak.nl.
  2. Wij verplaatsen uw webshop naar 1 van onze beveiligde webservers
  3. Wij genereren een gratis SSL certificaat voor uw webshop die elke jaar automatisch wordt vernieuwd
  4. Wij configureren de webserver en uw EXTRAvestiging webshop voor het gebruik van een 'beveiligde verbinding'
  5. Wij passen de internet settings in de nachturen aan (zodat uw klanten hier geen last van ondervinden) zodat de 'beveiligde' webshop wordt gebruikt in plaats van de standaard webshop
  6. Wij factureren u 2, maximaal 3 uur tegen het gangbare consultancy tarief voor de door ons uitgevoerde werkzaamheden


U kunt ook zelf een SSL certificaat aanvragen en aan ons sturen. Zodra uw systeembeheerder het certificaat heeft aanvraagt en installeert op zijn server, dient hij dit bestand te exporteren als .pfx import bestand (inclusief Key) voor IIS (Internet Information Server), naar ons toe sturen samen met het wachtwoord waarna wij het certificaat op onze server installeren. De systeembeheerder dient dan ook zorg te dragen voor verlengingen van de certificaten als ze verlopen.


Het is ook mogelijk om gratis 'mee te liften' op ons eigen .extravestiging.nl certificaat. U hoeft dan geen eigen certificaat aan te vragen. Uw webshop zal dan te bereiken zijn via het extravestiging-domein waardoor uw webshop internet adres zal veranderen naar bijvoorbeeld https://bakkerij-bakker.extravestiging.nl. Uw website bouwer zal vervolgens de link op uw website moeten veranderen naar deze beveiligde website omdat http://webshop.bakkerij-bakker.nl dan niet zal functioneren of hij zal een 'redirect-page' moeten aanmaken. 


Wanneer u niets doet, dan blijft uw webshop gewoon functioneren zoals het altijd heeft gedaan, echter zal op de inlog-pagina van uw EXTRAvestiging webshop en op het informatie formulier de melding: 'niet veilig' verschijnen in de adresbalk. Meer informatie over beveiligde webshops vindt u hier en hier en over de wetgeving hier.


Uitgebreide beschrijving omzetting van een EXTRAvestiging webshop naar SSL / HTTPS

Standaard wordt een EXTRAvestiging webshop opgeleverd als 'normale' HTTP website. waarbij, in theorie, kwaadwillenden de internet pakketjes zouden kunnen onderscheppen en de inlog gegevens zouden kunnen inzien. Ook al is dit uiteraard ongewenst, dient in ogenschouw genomen te worden welk belang diegene heeft bij het onderscheppen van consumenten informatie die producten op een bakkerij webshop bestellen. Echter zal Google Chrome vanaf januari 2017 (en later ongetwijfeld andere browsers zoals Firefox, Internet Explorer en Safari) een melding tonen als een webshop op een onveilige manier informatie verstuurd. Ook al heeft dit qua gebruik geen enkele invloed op het functioneren van een EXTRAvestiging webshop, zal deze 'niet veilig' melding te zien zijn op de 'inlog' pagina van een EXTRAvestiging webshop (zie afbeelding hieronder) wat uiteraard vragen zou kunnen oproepen bij uw klanten. De inlog pagina is overigens de enige plek waar u deze 'niet veilig' melding zult zien in uw webshop.



In 2016 zijn er diverse aanpassingen gemaakt in de EXTRAvestiging webshop waardoor het mogelijk is via een 'beveiligde verbinding' gegevens te versturen. Een voorbeeld van een beveiligde webshop is onze demo webshop https://webshop.extravestiging.nl. Dit artikel beschrijft de stappen die nodig zijn om een bestaande EXTRAvestiging webshop om te zetten naar SSL / HTTPS.


1 Certificaten

2 Het gereed maken van de EXTRAvestiging webserver voor SSL / HTTPS

3 Het configureren van beveiligde verbindingen


1 Certificaten

EXTRAvestiging heeft speciale webservers ingericht om 'beveiligde' webshops te hosten. Hosten houdt in dat de webshop beschikbaar wordt gesteld aan het internet zodat uw klanten de webshop kunnen benaderen. Er dient onderscheid gemaakt te worden tussen EXTRAvestiging webshops die als hoofd-website zijn ingericht (zoals bijvoorbeeld www.bakkerij-x.nl) en EXTRAvestiging webshops die zijn ingericht als subdomein (webshop.bakkerij-x.nl)


Om een webshop in een beveiligde omgeving te draaien, is het nodig dat een zogenaamd SSL-certificaat wordt aangeschaft. Dit certificaat, wat voor de beveiliging van verkeer tussen de webserver en de klanten zorgt, wordt door een aantal instanties uitgegeven die garanderen dat de webshop ook echt bij de betreffende bakkerij hoort. EXTRAvestiging kan zelf gratis certificaten genereren voor uw webshop die automatisch worden vernieuwd!


U kunt ook zelf een SSL certificaat aanvragen en aan ons sturen. Zodra uw systeembeheerder het certificaat heeft aanvraagt en installeert op zijn server, dient hij dit bestand te exporteren als .pfx import bestand (inclusief Key) voor IIS (Internet Information Server), naar ons toe sturen samen met het wachtwoord waarna wij het certificaat op onze server installeren. De systeembeheerder dient dan ook zorg te dragen voor verlengingen van de certificaten als ze verlopen.


2 Het gereedmaken van de EXTRAvestiging webshop voor SSL / HTTPS


Zodra het certificaat is geïnstalleerd, wordt deze door ons gecontroleerd en zullen we de webshop overzetten naar een beveiligde EXTRAvestiging webserver. De volgende stappen worden hiervoor door ons uitgevoerd:


  • De DNS records van het backup domein ev[bakker]b2c.extravestiging.nl wordt omgezet naar de beveiligde webserver EV05 of EV06
  • De MS-SQL data wordt van de standaard EXTRAvestiging webserver (EV01, EV02 of EV03) gekopieerd naar EV05 of EV06
  • De complete EXTRAvestiging webshop wordt gebackupped en naar webserver EV05 getransporteerd
  • De FTP communicatie accounts worden aangemaakt op de beveiligde webserver EV05
  • De webshop wordt toegevoegd aan Internet Information Server (IIS) op EV05
  • De 'bindings' naar de webshop worden aangemaakt voor de EXTRAvestiging webshop
  • De MS-SQL Data wordt bijgewerkt naar de meest recente versie van de EXTRAvestiging webshop
  • De EXTRAvestiging webshop wordt geupdate naar de laatste versie


Als deze stappen zijn uitgevoerd, zal de webshop te bereiken zijn via het backup domein (http://ev[bakker]b2c.extravestiging.nl) en kan de webshop op juistheid getest worden via het onbeveiligde HTTP protocol.


3 Het configureren van beveiligde verbindingen

Zodra de webshop is verplaatst naar de beveiligde EXTRAvestiging webserver, kan de beveiligde verbinding geconfigureerd worden. Dit kan enkel gebeuren als de webshop inactief is en zal normaliter tussen 01:00 en 03:00 uur in de nacht plaats vinden.


Let op: Een controle wordt gedaan of de webshop wel op de juiste manier is doorgelinked (CNAME) vanaf uw website. Als dit niet het geval is, zal uw systeembeheerder dit eerst voor uw in orde moeten maken. U ontvangt hiervoor een bericht van ons als dit nodig is.

  • We maken de beveiligde 'binding' aan in Internet information Server (IIS) voor het backup domein en activeer SNI (Server Name Identification)
  • We configureren de EXTRAvestiging webshop via instellingen om gebruik te maken van SSL / HTTPS
  • We verversen / recyclen de applicatie pool waar de EXTRAvestiging webshop in draait en testen de webshop via een veilige verbinding via https://ev[bakker]b2c.extravestiging.nl

Als de webshop correct draait in het backupdomein 'extravestiging.nl', kunnen de laatste stappen genomen worden.

  • We zetten de DNS om van ev[Bakker]b2c.marti-orbak.nl naar EV05
  • Het kan maximaal een uur duren voordat de DNS is omgezet, hierop dient gewacht te worden.
  • We stoppen de EXTRAvestiging webshop en applicationpool op de 'normale' EXTRAvestiging webserver EV01, EV02 of EV03.
  • We blokkeren de FTP gebruiker op de 'normale' EXTRAvestiging webserver EV01, EV02 of EV03.
  • We transporteren de MS-SQL data en upload afbeeldingen nogmaals van de EV01, EV02 of EV03 naar EV05 om zeker te zijn dat er niets verloren gaat 
  • We maken de beveiligde 'binding' aan in Internet information Server (IIS) voor de overige 'bindings' en activeren SNI (Server Name Identification)
  • We testen de website op alle 'bindings'
  • De EXTRAvestiging backup procedures wordt aangevuld met deze beveiligde webshop en de 'standaard' webshop wordt uit de backup procedure verwijderd.


Als bovenstaande stappen zijn uitgevoerd kan de webshop via een beveiligde verbindingen benaderd worden en zal de melding 'Niet veilig' niet meer verschijnen. De webshop zal overigens automatisch overschakelen naar een veilige verbinding als de 'normale' webshop wordt benaderd. U en uw klanten merken hier verder niets van!


Zoals u begrijpt nemen bovenstaande stappen een aantal uren in beslag waarvan enkele in de nachturen om de continuïteit van uw webshop te kunnen waarborgen. De omzetting zal ongeveer een week doorlooptijd hebben waarna we u 2 uur of maximaal 3 uur tegen het gangbare consultancy tarief zullen factureren voor het omzetten van een EXTRAvestiging webshop naar SSL / HTTPS. Wanneer u heeft gekozen om op het extravestiging.nl certificaat mee te liften, dan is dit gratis, echter dient uw systeembeheerder de links op uw website aan te passen nadat we de beveiliging hebben doorgevoerd.


Als u verder vragen heeft, horen we dat uiteraard graag van u!

Het EXTRAvestiging team