Tag: https

Eigen SSL-certificaat gebruiken

Inleiding

Secure Webhosting voorziet websites (applicaties) standaard van een Let’s Encrypt SSL-certificaat.

Als u een SSL-certificaat wilt gebruiken dat is uitgegeven door een andere Certification Authority (CA), dan is dat mogelijk. Aan een dergelijk certificaat zijn doorgaans kosten verbonden; dit is aan u en de CA, zonder tussenkomst van Acknowledge / Secure Webhosting. 

In dit artikel leggen wij uit hoe u dit certificaat bij ons kunt aanleveren zodat wij dit voor u kunnen plaatsen.

Uw eigen SSL-certificaat aanleveren

Voer het volgende stappenplan uit:

  1. Dien een wijzigingsverzoek in bij Secure Webhosting en specificeer daarin de volgende informatie:

    1. Common Name (CN) (bijvoorbeeld *.example.com www.example.com mail.example.com) en SAN’s (Subject Alternate Names)

      De CN is de zogenoemde fully qualified domain name (FQDN) van de webapplicatie.

      Als u wilt dat het certificaat geldig is voor alle subdomeinen, dan moet u bij de CN een wildcard gebruiken (*.example.com).

      Als u wilt dat het certificaat alleen geldig is voor www.example.com, dan vult u dit in bij de CN. U kunt dan expliciet extra subdomeinen opgeven in de vorm van Subject Alternate Names (SAN’s). Bijvoorbeeld: example.com (zonder www), zodat een doorverwijzing van example.com naar www.example.com zonder beveiligingsproblemen verloopt. Controleer dit bij de organisatie die uw certificaat uitgeeft (de Certification Authority) en overleg zo nodig met Secure Webhosting.

    2. Organization (O)

      De officiële naam van uw organisatie. Gebruik geen afkortingen en vermeld de rechtspersoon (B.V. et cetera)

    3. Organizational Unit (OU)

      De business unit in uw organisatie die het certificaat aanvraagt.

    4. City/Locality (L)

      De officiële vestigingsplaats van uw organisatie.

    5. State/County/Region (S)

      In Nederland vertaalt dit zich naar de provincie waarin 

    6. Country (C)
      De tweeletterige landcode die hoort bij de vestigingsplaats van uw organisatie.

    7. Email Address
      Het e-mailadres om contact op te nemen met uw organisatie.

  2. Secure Webhosting genereert een keypair.
  3. Vanuit dit keypair genereert Secure Webhosting een CSR (Certificate Signing Request). Dit is een lange reeks karakters die als invoer dient voor het maken van een certificaat.
  4. Dit CSR wordt aan u overhandigd.
  5. U levert dit CSR aan bij uw CA (Certification Authority).
  6. Uw CA zorgt voor de digitale ondertekening van het CSR. Hieruit ontstaat het SSL-certificaat.
  7. U ontvangt het SSL-certificaat van uw CA.
  8. U stuurt het SSL-certificaat door naar Secure Webhosting.
  9. Secure Webhosting verifieert het certificaat. Dit gebeurt door te onderzoeken of de CA die het certificaat heeft ondertekend, valide is. Dit kan gedaan worden doordat wij het certificaat van deze CA kunnen opvragen of lokaal hebben staan.
  10. Secure Webhosting installeert het certificaat.
  11. Ons monitoringsysteem bewaakt de geldigheidsduur van alle certificaten. Indien uw certificaat het einde van de geldigheidstermijn nadert, krijgt u van ons een waarschuwing. U moet dan de stappen opnieuw doorlopen voor het maken van van een nieuw certificaat.

Web Application Firewall (WAF)

Web Application Firewall (WAF)

Alle applicaties maken gebruik van de Web Application Firewall. Dit systeem zorgt ervoor dat op HTTP-niveau alleen verkeer wordt doorgelaten (ingaand en uitgaand) dat voldoet aan de ingestelde Web Application Firewall Rules.

Op die manier worden bekende aanvalspatronen in de vorm van HTTP-requests automatisch geblokkeerd. Relevante gebeurtenissen worden geregistreerd via het SIEM.

De WAF rules zijn voorgeconfigureerd voor een bepaald type applicatie, bijvoorbeeld een WordPress website of een Magento webshop.

Iedere applicatie heeft echter unieke kenmerken en die vereisen vaak aanpassingen in de WAF rules. Met die aanpassingen voorkomen we dat legitiem HTTP-verkeer ten onrechte wordt geblokkeerd (false positives).

Het bij de intake van een nieuwe applicatie daarom van belang om in de acceptatieomgeving alle functionaliteiten grondig aan te roepen. Als er een blokkade door de WAF plaatsvindt, dan is dat zichtbaar als een HTTP 403 response. Onterechte blokkades worden door het SecWeb-team weggenomen door WAF rules te wijzigen of aan te vullen.

Als de nieuwe applicatie vervolgens naar de productieomgeving gaat, zijn de WAF rules goed ingeregeld en treden er geen onterechte blokkades meer op.

Network Firewall

Network Firewall

De Network Firewall is een firewall die tussen meerdere netwerken in staat. Deze beoordeelt netwerkstromen staat deze toe (of juist niet).

Zo kan de firewall verkeer van een van onze loadbalancers naar een webserver toestaan of afkeuren. Alle profielen maken gebruik van de Network Firewall. Dit systeem zorgt ervoor dat alleen netwerkverkeer wordt doorgelaten (ingaand en uitgaand) dat voldoet aan de ingestelde Netwerk Firewall Rules.

Op die manier worden (grootschalige) poortscans en bekende aanvalspatronen op netwerkniveau geblokkeerd. Relevante gebeurtenissen worden terugkoppeld via SIEM.

SSL Certificaten

U wilt natuurlijk dat uw applicatie via HTTPS bereikbaar is en blijft. Wanneer u uw applicatie(s) bij Secure Webhosting onderbrengt, installeren wij zonder kosten een Let’s Encrypt certificaat.

Het is ook mogelijk om uw eigen certificaat aan te leveren, welke wij voor u kunnen installeren. Meer informatie over het aanleveren van uw eigen certificaat kunt u vinden in het artikel ‘Eigen SSL-certificaat gebruiken‘.

Welke versies van TLS ondersteund Secure Webhosting?

Secure webhosting ondersteund onderstaande versies van TLS:

  • TLS 1.2
  • TLS 1.3