Deze handleiding legt uit hoe u de gedetailleerde informatie die door Qualys SSL Labs (https://www.ssllabs.com/ssltest/) wordt verstrekt, correct kunt interpreteren. Soms kunnen deze, zonder de juiste context, technisch of alarmerend overkomen.

Voorwoord

• Qualys SSL Labs is een veelgebruikte analysetool voor het beoordelen van de SSL/TLS-configuratie van websites.
• De waarschuwingen in hun rapporten zijn vaak slechts technische details die geen invloed hebben op de veiligheid of de SEO van de website.

Meerdere certificaten in de SSL Labs-rapporten

Wanneer SSL Labs een website analyseert, kunnen er meerdere genummerde certificaten worden weergegeven (Certificaat #1, Certificaat #2, enz.). Dit gebeurt om verschillende redenen:

1. Hoofdcertificaat (#1): Het certificaat dat wordt weergegeven wanneer SNI (Server Name Indication) wordt gebruikt.
   • SNI is een TLS-extensie waarmee een server meerdere SSL-certificaten voor verschillende domeinen op hetzelfde IP-adres kan hosten. Wanneer een browser verbinding maakt, geeft deze de domeinnaam door die hij wil bereiken.
2. Secundair certificaat (#2): Het certificaat dat wordt weergegeven wanneer SNI niet wordt gebruikt of bij een directe verbinding via IP.

Een vermelding "Geen SNI" in certificaat #2 is geen fout. Het betekent simpelweg dat SSL Labs heeft getest wat er gebeurt wanneer een client verbinding maakt zonder SNI-informatie te verstrekken. In dit geval:

• De server verstrekt een back-upcertificaat (vaak een generiek of voorbeeldcertificaat).
• Deze situatie geldt alleen voor zeer oude clients die SNI niet ondersteunen.
• Moderne browsers gebruiken allemaal SNI en ontvangen daarom het certificaat #1.

Problemen met de certificaatketen

"Problemen met de certificaatketen: onjuiste volgorde, extra certificaten, bevat anker"

Deze waarschuwingen betekenen niet noodzakelijkerwijs dat het certificaat defect is:

• Onjuiste volgorde: de tussenliggende certificaten worden niet in de optimale volgorde weergegeven.
• Extra certificaten: er zijn extra, onnodige certificaten opgenomen.
• Bevat anker: het rootcertificaat is opgenomen in de keten.

Het TLS-protocol maakt het mogelijk om het rootcertificaat weg te laten, omdat dit meestal al in de certificaatopslag van de browser aanwezig is. Het opnemen ervan is geen fout, maar een redundantie.

"Alternatieve namen komen niet overeen"

Voor het ondersteunende certificaat (#2) is de waarschuwing "MISMATCH" normaal, omdat:

• Dit certificaat is bedoeld voor een andere domeinnaam (preview.infomaniak.website).
• Het wordt alleen weergegeven als SNI niet wordt gebruikt.
• De browser die dit certificaat ontvangt, zou het identificeren als niet overeenkomend met de aangevraagde domeinnaam, maar dit heeft geen invloed op normale verbindingen met SNI.

Met betrekking tot SEO-bezwaren:

• Google en andere zoekmachines gebruiken moderne browsers die SNI ondersteunen.
• Ze ontvangen het certificaat #1, dat geldig is voor uw domeinnaam.
• Waarschuwingen met betrekking tot certificaat #2 hebben geen invloed op de zoekmachineoptimalisatie.
• Alleen problemen met het hoofdcertificaat (#1) kunnen de SEO beïnvloeden.

Deze configuratie is perfect geschikt voor shared hosting, waarbij meerdere websites dezelfde infrastructuur delen, waarbij een voorlopig certificaat dient als back-upoplossing.