Deze handleiding legt uit hoe u een SSL-certificaat kunt downloaden of exporteren vanuit de Infomaniak Manager.

Inleiding

• Het downloaden van het certificaat genereert een bestand in het formaat .zip.
• Het archief bevat de bestanden .key en .crt (samen met _windows.pfx & .protected.key, afhankelijk van het certificaattype):
  
• Het wordt aanbevolen om dit certificaat en de bijbehorende privésleutel op een veilige plaats te bewaren, aangezien de privésleutel toegang kan geven tot uw versleutelde gegevens.

Een SSL-certificaat exporteren of downloaden

Om toegang te krijgen tot het beheer van uw certificaten:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?):
   
2. Filter indien nodig uw certificaattypen door op het bijbehorende pictogram te klikken.
3. Bekijk verschillende certificaattypen, zoals Let's Encrypt, Sectigo DV & EV...
4. Voeg de certificaten toe die u wilt weergeven.
5. Pas de filters toe:
   
6. De tabel toont nu alleen de door u geselecteerde certificaattypen.

Een Let's Encrypt-certificaat exporteren

1. Klik rechtstreeks op **de naam** die is toegewezen aan het Let's Encrypt-certificaat in de lijst:
   
2. Klik op het actiemenu **⋮** rechts van het betreffende item in de weergegeven tabel.
3. Selecteer **Certificaat exporteren** en volg de instructies om het archief op uw apparaat te downloaden:
   

Een Sectigo-certificaat exporteren

1. Klik rechtstreeks op **de naam** die is toegewezen aan het certificaat in de certificatenlijst.
2. Klik op de knop **Beheren**.
3. Klik op **Certificaat downloaden** en volg de instructies om het archief op uw apparaat te downloaden:
   

Deze handleiding legt uit hoe u één of meerdere CAA-records kunt toevoegen of wijzigen in de DNS-zone (van een domeinnaam) die wordt beheerd via het beheerpaneel van Infomaniak.

Inleiding

• Een CAA-record maakt het mogelijk om een certificeringsinstantie te specificeren die gemachtigd is om certificaten voor een domein uit te geven.

Een CAA-record toevoegen

Om dit type record in een DNS-zone te beheren:

1. Klik hier om toegang te krijgen tot het beheer van uw domein in het Infomaniak-beheerpaneel (Hulp nodig?).
2. Klik direct op de naam van het betreffende domein.
3. Klik in het linkermenu op DNS-zone.
4. Klik op de knop om een record toe te voegen:
   
5. Klik op de optie CAA om een record toe te voegen.
6. Klik op de knop Volgende:
   
7. Voer de vereiste CAA-waarden in voor uw DNS-zone: houd rekening met de volgende informatie als het gaat om het valideren van een SSL-certificaat.
8. Sla uw informatie op door op de knop onderaan de pagina te klikken.

Een CAA-record toevoegen voor de validatie van een SSL-certificaat…

… Sectigo

Als een SSL-certificaat van Sectigo gevalideerd moet worden, volg dan de algemene instructies, maar vul specifiek de volgende gegevens in:

• Selecteer „Uitgegeven voor certificeringsinstantie”.
• Vul de vlag in: 0.
• Vul sectigo.com in.

… Let's Encrypt

Als een SSL-certificaat van Let's Encrypt gevalideerd moet worden, volg dan de algemene instructies, maar vul specifiek de volgende gegevens in:

• Selecteer „Uitgegeven voor certificeringsinstantie”.
• Vul de vlag in: 0.
• Vul letsencrypt.org in.

Deze handleiding legt uit hoe u de gedetailleerde informatie die door Qualys SSL Labs (https://www.ssllabs.com/ssltest/) wordt verstrekt, correct kunt interpreteren. Soms kunnen deze, zonder de juiste context, technisch of alarmerend overkomen.

Voorwoord

• Qualys SSL Labs is een veelgebruikte analysetool voor het beoordelen van de SSL/TLS-configuratie van websites.
• De waarschuwingen in hun rapporten zijn vaak slechts technische details die geen invloed hebben op de veiligheid of de SEO van de website.

Meerdere certificaten in de SSL Labs-rapporten

Wanneer SSL Labs een website analyseert, kunnen er meerdere genummerde certificaten worden weergegeven (Certificaat #1, Certificaat #2, enz.). Dit gebeurt om verschillende redenen:

1. Hoofdcertificaat (#1): Het certificaat dat wordt weergegeven wanneer SNI (Server Name Indication) wordt gebruikt.
   • SNI is een TLS-extensie waarmee een server meerdere SSL-certificaten voor verschillende domeinen op hetzelfde IP-adres kan hosten. Wanneer een browser verbinding maakt, geeft deze de domeinnaam door die hij wil bereiken.
2. Secundair certificaat (#2): Het certificaat dat wordt weergegeven wanneer SNI niet wordt gebruikt of bij een directe verbinding via IP.

Een vermelding "Geen SNI" in certificaat #2 is geen fout. Het betekent simpelweg dat SSL Labs heeft getest wat er gebeurt wanneer een client verbinding maakt zonder SNI-informatie te verstrekken. In dit geval:

• De server verstrekt een back-upcertificaat (vaak een generiek of voorbeeldcertificaat).
• Deze situatie geldt alleen voor zeer oude clients die SNI niet ondersteunen.
• Moderne browsers gebruiken allemaal SNI en ontvangen daarom het certificaat #1.

Problemen met de certificaatketen

"Problemen met de certificaatketen: onjuiste volgorde, extra certificaten, bevat anker"

Deze waarschuwingen betekenen niet noodzakelijkerwijs dat het certificaat defect is:

• Onjuiste volgorde: de tussenliggende certificaten worden niet in de optimale volgorde weergegeven.
• Extra certificaten: er zijn extra, onnodige certificaten opgenomen.
• Bevat anker: het rootcertificaat is opgenomen in de keten.

Het TLS-protocol maakt het mogelijk om het rootcertificaat weg te laten, omdat dit meestal al in de certificaatopslag van de browser aanwezig is. Het opnemen ervan is geen fout, maar een redundantie.

"Alternatieve namen komen niet overeen"

Voor het ondersteunende certificaat (#2) is de waarschuwing "MISMATCH" normaal, omdat:

• Dit certificaat is bedoeld voor een andere domeinnaam (preview.infomaniak.website).
• Het wordt alleen weergegeven als SNI niet wordt gebruikt.
• De browser die dit certificaat ontvangt, zou het identificeren als niet overeenkomend met de aangevraagde domeinnaam, maar dit heeft geen invloed op normale verbindingen met SNI.

Met betrekking tot SEO-bezwaren:

• Google en andere zoekmachines gebruiken moderne browsers die SNI ondersteunen.
• Ze ontvangen het certificaat #1, dat geldig is voor uw domeinnaam.
• Waarschuwingen met betrekking tot certificaat #2 hebben geen invloed op de zoekmachineoptimalisatie.
• Alleen problemen met het hoofdcertificaat (#1) kunnen de SEO beïnvloeden.

Deze configuratie is perfect geschikt voor shared hosting, waarbij meerdere websites dezelfde infrastructuur delen, waarbij een voorlopig certificaat dient als back-upoplossing.

Deze handleiding legt uit hoe u een certificaat kunt aanmaken en vervolgens automatisch kunt verlengen door een wildcard te gebruiken via een DNS-uitdaging met Certbot en de plugin dns-infomaniak.

1. Installatie van de DNS-Infomaniak-plugin

DNS-plugins zijn niet standaard geïnstalleerd bij Certbot. Om certbot en de plugin dns-infomaniak correct te installeren en een mogelijke fout te voorkomen (De gevraagde dns-infomaniak-plugin lijkt niet te zijn geïnstalleerd), raadpleegt u de officiële Certbot-instructies en selecteert u de juiste Software → Systeem en raadpleegt u vervolgens het tabblad Wildcard.

2. Erstellen des Wildcard-Zertifikats

Open een Terminal en voer het volgende Certbot-commando uit om het certificaat handmatig aan te maken:

certbot certonly --manual \
-d *.domain.tld \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory

3. Maak de TXT-record aan

Via de domeinbeheer van de Infomaniak Manager maakt u de gevraagde TXT-record aan voor _acme_challenge.domein.tld.

4. Maak het configuratiebestand voor de verlenging

Open een Terminal en maak of bewerk het bestand: /etc/letsencrypt/renewal/domein.tld.conf. Voorbeeld van de aanbevolen configuratie:

cert = /etc/letsencrypt/live/domain.tld/cert.pem
privkey = /etc/letsencrypt/live/domain.tld/privkey.pem
chain = /etc/letsencrypt/live/domain.tld/chain.pem
fullchain = /etc/letsencrypt/live/domain.tld/fullchain.pem
[renewalparams]
authenticator = manual
manual_auth_hook = /root/infomaniak-auth.sh
manual_cleanup_hook = /root/infomaniak-clean.sh
server = https://acme-v02.api.letsencrypt.org/directory
pref_challs = dns-01
account = xxxxx
key_type = rsa

Sommige fouten komen voort uit automatisch door Certbot aangemaakte bestanden die verouderde of onjuiste velden bevatten (version = ..., cert-path = ..., enz.). Maak altijd het renewal-bestand opnieuw aan door het bovenstaande voorbeeld te volgen.

5. Maak het script infomaniak-auth.sh aan

Via het API-beheer van de Infomaniak Manager kunt u een Infomaniak-API-token aanmaken met de scope domain. Vervang in het volgende script XXXXXXX.

Het bestand dat u in uw configuratie opgeeft, moet absoluut overeenkomen met de daadwerkelijke naam van het script. Bijvoorbeeld: als u infomaniak-auth.sh in de configuratie gebruikt, maakt u dan niet infomaniak-auth-domain.xyz.sh aan.

Open een terminal en maak het bestand /root/infomaniak-auth.sh aan zonder tabbladen aan het einde van de regels (dit veroorzaakt fouten in Bash) met:

#!/bin/bash
INFOMANIAK_API_TOKEN="XXXXXXX"
# Ajout de l'enregistrement TXT via le plugin DNS Infomaniak
/usr/bin/certbot \
  --authenticator dns-infomaniak \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "$CERTBOT_DOMAIN" \
  --agree-tos

Het script moet uitvoerbaar worden gemaakt:

chmod +x /root/infomaniak-auth.sh

6. Maak een opschoonscript

Maak het bestand /root/infomaniak-clean.sh aan

#!/bin/bash
# Optionnel : suppression de l'entrée DNS temporaire
exit 0

Het script moet uitvoerbaar worden gemaakt:

chmod +x /root/infomaniak-clean.sh

7. Test de vernieuwing

Voordat u een cron-taak gebruikt, test u altijd met dit commando, dat eventuele fouten weergeeft (script niet gevonden, verkeerde bestandsnaam, ontbrekende rechten, ontbrekende plugin, enz.):

certbot renew --dry-run

8. Configureer een cron-taak

0 0 */30 * * /usr/bin/certbot renew --quiet --config /etc/letsencrypt/renewal/domain.tld.conf

Pas de waarde 30 dagen hierboven aan, afhankelijk van de gewenste frequentie. De cron-taak zal automatisch het volgende gebruiken:

• het bestand domain.tld.conf
• het authenticatiescript infomaniak-auth.sh
• de plugin dns-infomaniak

Deze handleiding legt uit hoe u…

1. … een CSR en een privésleutel maakt om een certificaat aan te vragen bij een certificeringsinstantie (CA),
2. … dit certificaat importeert voor uw Infomaniak-website, met behulp van de CRT die u van de CA heeft ontvangen.

Inleiding

• Hoewel Infomaniak alle SSL-certificaten aanbiedt die u mogelijk nodig heeft…
  • gratis Let's Encrypt-certificaten voor persoonlijke websites (alleen mogelijk voor websites die bij Infomaniak worden gehost),
  • DV-certificaten van Sectigo voor zakelijke/persoonlijke websites die niet in het handelsregister zijn geregistreerd,
  • EV-certificaten van Sectigo voor bedrijven die in het handelsregister zijn geregistreerd.
• … het is ook mogelijk om een SSL-certificaat te installeren dat u elders heeft verkregen (tussenliggend certificaat/intermediate van een certificeringsinstantie naar keuze), evenals aangepaste of zelfondertekende certificaten.

1. Een CSR (Certificate Signing Request) maken

Een CSR (Certificate Signing Request of certificaataanvraag) is een gecodeerd bestand dat de benodigde informatie bevat om een SSL/TLS-certificaat aan te vragen.

Deze moet op uw server worden gegenereerd om ervoor te zorgen dat de privésleutel onder uw controle blijft, bijvoorbeeld door OpenSSL te gebruiken.

Pas het volgende commando aan en voer het uit in een applicatie van het type Terminal (commandoregelinterface, CLI / Command Line Interface) op uw apparaat:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Uitleg

• newkey rsa:2048: genereert een nieuwe RSA-sleutel met 2048 bits.
• keyout domain.xyz.key: geeft het bestand aan waarin de privésleutel wordt opgeslagen.
• out domain.xyz.csr: geeft het bestand aan waarin de CSR wordt opgeslagen.
• addext „subjectAltName = ...“: voegt extra domeinen toe via de extensie SAN (Subject Alternative Name), wat nodig is om alle gewenste domeinen in het certificaat op te nemen (het hoofddomein domain.xyz + elk ander bijbehorend domein of subdomein, zoals www.domain.xyz).

Na de creatie kunt u de inhoud van de CSR controleren met het volgende commando:

openssl req -in domain.xyz.csr -noout -text

Dit controleert of alle domeinen die in subjectAltName staan, correct zijn opgenomen.

Zodra de CSR is gemaakt, kunt u deze naar de certificeringsinstantie (CA) sturen om uw SSL/TLS-certificaat te verkrijgen.

2. Extern certificaat importeren

Na validatie stelt de CA een certificaat (domain.xyz.crt) en soms een tussenliggend certificaat (ca_bundle.crt) uit. Om toegang te krijgen tot het beheer van de SSL-certificaten:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam die aan het betreffende product is gekoppeld.
3. Klik op SSL-certificaten in het linkermenu.
4. Klik op de blauwe knop Certificaat installeren:
   
5. Selecteer het aangepaste certificaat.
6. Klik op de knop Volgende:
   
7. Importeer uw certificaat en de bijbehorende privésleutel, door de bestanden .crt en .key te importeren of door ze te kopiëren en te plakken.
8. Klik op Voltooien:
   

Alternatieve opdracht om een zelfondertekend certificaat te genereren (optioneel)

Als u een lokaal certificaat nodig heeft, bijvoorbeeld voor testdoeleinden of zonder een CA (niet aanbevolen voor productieomgevingen), kunt u de volgende opdracht gebruiken:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Dit genereert zowel een zelfondertekend certificaat (domain.xyz.crt) als een privésleutel (domain.xyz.key). Houd er echter rekening mee dat zelfondertekende certificaten niet als geldig worden beschouwd door browsers of openbare systemen. Ze zijn alleen geschikt voor interne of ontwikkelomgevingen.

Een tussenliggend certificaat importeren

Bij het toevoegen van een aangepast SSL-certificaat is het mogelijk om het tussenliggende certificaat te importeren (door het .crt-bestand te importeren of door de gegevens te plakken die door de certificeringsinstantie worden verstrekt):

Deze handleiding legt uit hoe u een certificaataanvraag (CSR) kunt genereren voor een domeinnaam en al zijn subdomeinen met behulp van webhosting (met uitzondering van gratis hosting van het type Starter).

Hiermee kunt u de verbinding met uw domeinnaam en al zijn subdomeinen via SSL versleutelen.

Een wildcard-certificaat instellen

1. Domeinalias met sterretje (*) toevoegen

Om een alias van het type * aan uw website toe te voegen:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam van het betreffende product:
   
3. Klik vervolgens op de pijl ‍ om de sectie Domeinen van deze website uit te vouwen.
4. Klik op de knop Domein toevoegen:
   
5. Voer de domeinnaam die u wilt toevoegen in dit formaat in:
   • *.domein.xyz (het sterretje is vereist, gevolgd door een punt en de domeinnaam van de website, in dit voorbeeld domein.xyz)
6. Klik op de knop Bevestigen om het proces te voltooien:
   

2. SSL-certificaat installeren of bijwerken

Voorbeeld van het bijwerken van het bestaande certificaat om de wildcard-subdomein * te integreren:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam van het betreffende product.
3. Klik op SSL in het linkermenu.
4. Klik op het actiemenu ⋮ aan de rechterkant.
5. Klik op Certificaat wijzigen:
   
6. Selecteer hetzelfde certificaat dat u al heeft.
7. Klik op de knop Volgende:
   
8. Zorg ervoor dat de zojuist toegevoegde subdomein is geselecteerd.
9. Klik op de knop Installeren onderaan:
   
10. Wacht tot de creatie of update is voltooid.

Deze handleiding legt uit hoe u een gratis SSL-certificaat van Let's Encrypt installeert op een website die wordt gehost bij Infomaniak.

Inleiding

• Zodra het certificaat is geïnstalleerd, is uw website toegankelijk via http en https …
  • Indien nodig, leidt u al uw bezoekers automatisch door naar de beveiligde https-website.
• Als u een recent toegevoegde alias-domeinnaam aan uw website wilt toevoegen, die al een certificaat had, moet u deze bijwerken.
• Voor meerdere subdomeinen, raadpleeg deze andere handleiding.
• Let's Encrypt beperkt de installatie van certificaten tot:
  • 100 subdomeinen
  • 20 certificaten voor 7 dagen per geregistreerd domein
  • 5 mislukte verzoeken per account per hostnaam per uur

Een gratis SSL-certificaat op een website installeren

Vereisten

• Om de installatie mogelijk te maken, moeten de DNS-records van het domein correct zijn geconfigureerd, zodat ze naar de betreffende website verwijzen.
• Als er onlangs een wijziging op dit niveau is doorgevoerd, werken mogelijk niet alle bewerkingen direct.

Om toegang te krijgen tot de websites om daar een SSL-certificaat te installeren:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam die aan het betreffende product is toegewezen:
   
3. Klik op Configureren onder SSL-certificaat:
   
4. Klik op de knop Certificaat installeren:
   
5. Selecteer het gratis certificaat.
6. Klik op de knop Volgende:
   
7. Controleer of selecteer de betreffende domeinen.
8. Klik op de knop Installeren:
   
9. Wacht enkele minuten tot het certificaat op de website is geïnstalleerd.

Deze handleiding biedt oplossingen voor veelvoorkomende problemen en fouten die kunnen optreden wanneer u probeert uw website via https weer te geven nadat u een SSL-certificaat heeft geactiveerd.

De webbrowser toont automatisch de HTTP-versie van de website wanneer u probeert deze via HTTPS te openen

Het wordt aanbevolen om de volgende stappen te ondernemen:

• Leeg de cache van uw applicaties of uw website.
• Controleer of de pagina's en scripts van de website geen verwijzingen bevatten naar de http-versie van de website.
• Controleer of het .htaccess-bestand van de website geen verwijzingen bevat naar de http-versie van de website.
• Stel de https-adres van de website in als de standaard:
  • met WordPress Infomaniak
  • voor de andere gevallen

De website wordt verkeerd weergegeven (ontbrekende afbeeldingen, niet-ondersteunde stijlbladen, enz.) of toont een waarschuwing in de adresbalk

Het wordt aanbevolen om de volgende stappen te ondernemen:

• Leeg de cache van uw applicaties of uw website.
• Controleer of de pagina's en scripts niet verwijzen naar externe bronnen via http; de website whynopadlock.com kan u helpen bij het identificeren van de niet-beveiligde elementen van uw website.
• Raadpleeg ook deze andere handleiding over dit onderwerp.

"Deze webpagina bevat een omleidingslus", "ERR_TOO_MANY_REDIRECTS"

Als uw webbrowser deze foutmelding weergeeft, wordt aanbevolen de volgende stappen te ondernemen:

• Als de website gebruikmaakt van een webapplicatie zoals WordPress of Joomla, schakel dan één voor één de extensies uit om te achterhalen welke de oorzaak is van het probleem.
• Controleer of de pagina's en scripts van de website geen verwijzingen bevatten naar de http-versie van de website.
• Probeer HSTS uit te schakelen.
• Als Prestashop wordt gebruikt, moet SSL op alle pagina's zijn ingeschakeld:
  1. Voeg uw SSL-domein toe:
     • Ga naar Instellingen > SEO & URL's.
     • In het gedeelte "Shop-URL" voert u het adres van uw website in het veld "SSL-domein" in (zonder https://, alleen www.domein.xyz).
  2. Schakel SSL in:
     • Ga naar Instellingen > Algemene instellingen.
     • Klik bovenaan de pagina op "Klik hier om het HTTPS-protocol te gebruiken voordat de SSL-modus is ingeschakeld."
     • Een nieuwe pagina wordt geopend met uw website in de beveiligde HTTPS-versie.
  3. Forceer het gebruik van SSL op de hele website:
     • Ga terug naar Instellingen > Algemene instellingen.
     • Zet de optie "SSL inschakelen" op JA.
     • Zet ook "SSL voor alle pagina's forceren" op JA.

Er wordt een oud SSL-certificaat weergegeven - leeg de SSL-cache.

Webbrowsers slaan SSL-certificaten op om de navigatie te versnellen. Normaal gesproken is dat geen probleem. Als u echter pagina's voor uw website ontwikkelt of een nieuw certificaat installeert, kan de SSL-status van de browser hinderlijk zijn. U ziet bijvoorbeeld mogelijk niet het slotpictogram in de adresbalk van de browser nadat u een nieuw SSL-certificaat hebt geïnstalleerd.

Het eerste wat u in dit geval moet doen, is controleren of het domein naar het IP-adres van de server verwijst (A- en AAAA-records), en als er nog steeds het verkeerde SSL-certificaat wordt weergegeven, leegt u de SSL-cache:

• Chrome: Ga naar de instellingen en klik op Instellingen. Klik op Geavanceerde instellingen weergeven. Onder Netwerk klikt u op Proxy-instellingen wijzigen. Het dialoogvenster Internetopties wordt weergegeven. Klik op het tabblad Inhoud. Klik op SSL-status wissen en klik vervolgens op OK. Raadpleeg ook deze andere handleiding voor meer informatie.
• Firefox: Ga naar Geschiedenis. Klik op Recente geschiedenis wissen en selecteer Actieve verbindingen, klik vervolgens op Nu wissen.

Verlies van CSS-opmaak

Als de website zonder CSS-stijl wordt weergegeven, analyseer dan het laden van de pagina's met de browserconsole. Er kunnen fouten zijn met gemengde inhoud (mixed content) die uw .css-stijlen beïnvloeden en die moeten worden opgelost, zodat ze weer correct worden geladen.

Cloudflare

Als u Cloudflare gebruikt, kunt u deze andere handleiding over dit onderwerp raadplegen.

Deze handleiding legt uit hoe u een SSL-certificaat kunt deïnstalleren, ongeacht het type, dat oorspronkelijk via de Infomaniak Manager is geïnstalleerd. Als uw certificaat betaald is en u liever het huidige abonnement opzegt, raadpleeg dan deze andere handleiding.

SSL-certificaat verwijderen

Om een Infomaniak-certificaat te deïnstalleren:

1. Klik hier om toegang te krijgen tot het beheer van uw SSL-certificaat in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam van het betreffende product:
   
3. Klik op het actiemenu ⋮ rechts naast het betreffende item.
4. Klik op Deïnstalleren:
   
5. Bevestig de deïnstallatie van het certificaat.

Deze handleiding beschrijft de voorwaarden en de procedure voor het verkrijgen van een Sectigo EV SSL-certificaat bij Infomaniak.

Inleiding

• SSL-certificaten met uitgebreide validatie (EV) kunnen alleen worden uitgegeven aan organisaties, bedrijven en rechtspersonen die rechtmatig zijn geregistreerd bij een erkende overheidsinstantie (zoals een handelsregister).
  • De DV-certificaten van Sectigo en Let's Encrypt vallen niet onder deze beperking.
  • Vergelijk de beschikbare SSL-certificaten
• Als u problemen ondervindt bij de validatie van DV- of EV-certificaten, neem dan de tijd om deze andere handleiding te raadplegen.

Validierungsverfahren für EV-Zertifikate

Het verkrijgen van een EV SSL-certificaat kan tot 24 uur duren en vereist geldige informatie van de klant.

Deze procedure wordt elke 12 maanden herhaald, ongeacht de gekozen abonnementsduur voor het EV-certificaat.

1. Controle van de bedrijfsgegevens

De gegevens die aan het certificaat worden toegevoegd, moeten eerst door een onafhankelijke bron worden geverifieerd:

• de wettelijke of commerciële naam
• de rechtsvorm
• het adres
• de postcode
• de regio / het kanton / het departement
• het land / de landcode

Let op:

• De naam van het bedrijf moet exact overeenkomen met de naam die in het register of de Kamer van Koophandel is geregistreerd; de aanvraag kan alleen worden verwerkt als de opgegeven naam is geregistreerd en correct is vermeld.
• Alleen de geregistreerde wettelijke naam of de merknaam, gevolgd door de wettelijke naam tussen haakjes, is toegestaan [bijvoorbeeld: handelsnaam (wettelijke naam)]; voor entiteiten zonder wettelijke naam kunnen alle handelsnamen worden gebruikt.
• Het is verboden een postadres te gebruiken.

Gezien dit, kan het nodig zijn om een nieuwe aanvraag met correcte gegevens in te dienen via het CSR, en Infomaniak kan ook uw toestemming nodig hebben om wijzigingen aan te brengen in de informatie die bij de bestelling is opgegeven.

2. Controle van de gegevens in de WHOIS-database

De WHOIS-database toont de informatie van de eigenaar van een domeinnaam. Deze gegevens moeten overeenkomen met de informatie die bij de bestelling van het EV-SSL-certificaat is opgegeven.

Om de informatie van een domeinnaam in de WHOIS-database bij te werken:

• Als uw domeinnaam bij Infomaniak wordt beheerd, raadpleeg dan deze andere handleiding hier.
• Als uw domeinnaam niet bij Infomaniak wordt beheerd, neem dan contact op met uw hostingprovider/registrar.

3. Vertrag & Validierung für das EV-Zertifikat

Na het bestellen van een EV-certificaat ontvangt de contactpersoon van het bedrijf, zoals aangegeven bij de bestelling, een e-mail van de certificeringsinstantie Sectigo met de volgende documenten:

• het aanvraagformulier voor het certificaat
• de certificaatovereenkomst

Deze documenten zijn vooraf ingevuld en de contactpersoon moet ze online valideren met behulp van een extra code. Deze code wordt mondeling door een telefonische robot van Sectigo doorgegeven aan het bij de Kamer van Koophandel geregistreerde telefoonnummer (het telefoonnummer is meestal afkomstig uit Nederland, +31 88 775 77 77).

Elke certificaataanvraag wordt telefonisch gevalideerd, inclusief verlengingen en heruitgiften van multi-domein certificaten.

4. Domeinverificatie (alleen voor externe websites)

In deze stap wordt gecontroleerd of u de controle heeft over het domein (indien dit extern is aan Infomaniak) waarvoor het certificaat wordt aangevraagd. De domeinen van websites die bij Infomaniak worden gehost, worden automatisch gevalideerd.

Elk (sub)domein moet afzonderlijk worden goedgekeurd met behulp van een van de methoden die in deze andere handleiding worden beschreven: hier.

Deze handleiding beschrijft de voorwaarden en de procedure voor het gebruik van een Sectigo-certificaat van Infomaniak op een website die wordt gehost bij een derde partij.

Inleiding

• U heeft de mogelijkheid om te profiteren van de voordelige tarieven van Infomaniak voor uw SSL-certificaten, terwijl u uw websites beheert bij een andere hostingprovider.

Installatie van een Sectigo-certificaat

Vanwege de verschillende providers zal de installatie van uw certificaat niet automatisch verlopen:

1. CSR verkrijgen

Exporteer het CSR-configuratiebestand van uw hostingprovider en voer dit in bij het bestellen van uw certificaat bij Infomaniak.

2. Eigendom van het domein bevestigen

Bevestig de domeinen die in het certificaat zijn opgenomen via een van de volgende methoden:

• Voer een validatiecode in die naar een van de volgende e-mailadressen is gestuurd (het volledige e-mailadres moet bestaan op het domein dat u wilt valideren, bijvoorbeeld “domain.xyz”):
  • admin@domain.xyz
  • administrator@domain.xyz
  • hostmaster@domain.xyz
  • postmaster@domain.xyz
  • webmaster@domain.xyz
• Maak een unieke CNAME-record aan in de DNS-instellingen van het domein.
• Upload een validatie-TXT-bestand via FTP naar uw website.

Deze handleiding legt de belangrijkste verschillen uit tussen een EV- en een DV-certificaat.

SSL-EV-certificaten: voor bedrijven

Het SSL-EV-certificaat van Sectigo kan alleen worden uitgegeven aan bedrijven die zijn geregistreerd in een officieel register.

Het biedt het hoogste vertrouwensniveau voor uw klanten en biedt unieke voordelen, naast de voordelen van een DV-certificaat:

• Naam van uw bedrijf in de navigatiebalk
• Slot in de navigatiebalk
• dynamisch beveiligingszegel
• validatie van uw domeinnaam
• handmatige authenticatie van de contactgegevens en de identiteit van uw bedrijf
• garantie tot 1.750.000 USD voor eindgebruikers
• ondersteuning 7 dagen per week

Het activeren van een SSL-EV-certificaat kan tot 24 uur duren en vereist acties van uw kant.

SSL-DV-certificaten: voor bedrijven en particulieren

Het DV-certificaat van Sectigo is beschikbaar voor zowel particulieren als bedrijven. Het bevat niet alle bovenstaande voordelen, maar biedt wel extra voordelen ten opzichte van de gratis SSL-certificaten van Let's Encrypt:

• dynamisch beveiligingszegel
• validatie van uw domeinnaam
• garantie tot 10.000 USD voor eindgebruikers
• ondersteuning 7 dagen per week

Het activeren van een SSL-DV-certificaat gebeurt onmiddellijk.

En de certificaten van Let's Encrypt?

Een gratis certificaat van Let's Encrypt biedt hetzelfde versleutelingsniveau als een EV- of DV-certificaat. De certificaten van Let's Encrypt bieden echter niet de volgende voordelen:

• handmatige validatie van de contactgegevens en de authenticiteit van uw bedrijf (EV)
• garantie voor eindgebruikers in geval van fraude (EV/DV)
• Hulp bij vragen

Samengevat zorgen de certificaten van Let's Encrypt voor de versleuteling van de communicatie tussen uw gebruikers en uw website. Ze garanderen echter niet dat internetgebruikers zich op een legitieme website bevinden, waarvan de identiteit door een certificeringsinstantie is geverifieerd.

De Sectigo-garantie is een financiële toezegging van Sectigo, de certificeringsinstantie (CA), die tot doel heeft de eindgebruiker te beschermen.

Deze geldt alleen als de gebruiker een financieel verlies lijdt dat het gevolg is van een validatiefout van Sectigo bij de uitgifte van het certificaat.

De garantie dekt geen beveiligingslekken in uw server of verkeerde configuraties aan uw kant.

Hoe hoger het validatieniveau (DV < OV < EV), hoe hoger doorgaans het bedrag van de Sectigo-garantie.

Hartelijk dank dat u voor Infomaniak heeft gekozen om uw websites te beveiligen met een EV- of DV-SSL-certificaat van Sectigo. U kunt dit doen via deze link.

Belangrijke SSL-instructies

• Een EV-SSL-certificaat van Sectigo bestellen
• Het verschil tussen een EV- en DV-certificaat begrijpen
• Een Sectigo-certificaat gebruiken op een externe website (andere hostingprovider)
• De Sectigo-garantie voor SSL-certificaten begrijpen
• Een probleem oplossen dat verband houdt met SSL/https
• Een gratis Let's Encrypt SSL-certificaat op een website installeren
• Een gratis "wildcard" SSL-certificaat installeren
• Een SSL-certificaat deïnstalleren
• Een Let's Encrypt SSL-certificaat vernieuwen (bijvoorbeeld na het toevoegen/verwijderen van aliassen)

Aanvullende hulp

• Bekijk alle veelgestelde vragen over SSL
• Neem contact op met de Infomaniak-ondersteuning

Deze handleiding legt uit hoe u een dynamisch vertrouwenslabel kunt toevoegen aan een website die is beveiligd met een SSL-certificaat van Sectigo.

Inleiding

• Infomaniak biedt als hostingprovider SSL-certificaten aan om de websites van haar klanten te beveiligen.
• Sectigo (voorheen bekend als Comodo) is een erkende leverancier van SSL-certificaten en biedt verschillende beveiligingsniveaus.
• Het "dynamische vertrouwenslabel" of "Sectigo Trust Seal" / "Sectigo Trust Logo" is een visueel element dat website-eigenaren op hun pagina's kunnen weergeven om bezoekers te laten zien dat hun verbinding beveiligd is. Dit is een vertrouwenssignaal dat gebruikers laat weten dat de transacties en de uitwisseling van informatie op de website versleuteld zijn en beschermd worden door een SSL-certificaat dat is uitgegeven door Sectigo.
• Door een SSL-certificaat van Sectigo te gebruiken en het dynamische vertrouwenslabel weer te geven, profiteert een website bij Infomaniak niet alleen van een beveiligde gegevensoverdracht, maar ook van een groter vertrouwen van de gebruikers, wat essentieel is voor e-commerce en de bescherming van persoonlijke gegevens.

Vertrouwenslabel toevoegen

Zo werkt een dynamisch vertrouwenslabel:

1. Validatie: Om zo'n label te verkrijgen, moet de website-eigenaar eerst een geldig SSL-certificaat van Sectigo verkrijgen, wat een validatieproces vereist. Afhankelijk van het gekozen certificaatniveau (Domain Validation - DV, Organization Validation - OV of Extended Validation - EV) kan deze validatie meer of minder uitgebreid zijn.
2. Installatie: Zodra het SSL-certificaat is verkregen en op de Infomaniak-webserver is geïnstalleerd, kan de website beveiligde HTTPS-verbindingen tot stand brengen.
3. Weergave van het keurmerk: Sectigo levert een HTML-code of een script dat de website-eigenaar vervolgens in zijn website kan integreren; deze code maakt de weergave van het dynamische vertrouwenskeurmerk van Sectigo mogelijk.
4. Update: Het keurmerk wordt vaak in real-time bijgewerkt om de huidige status van het SSL-certificaat weer te geven; als het certificaat verloopt of wordt ingetrokken, wordt dit ook in het keurmerk weergegeven en worden potentiële bezoekers gewaarschuwd dat de website mogelijk niet meer veilig is.

Het vertrouwenskeurmerk bestaat uit een afbeelding en een HTML-code. De laatste werkt alleen als er een Sectigo-certificaat op de website is geïnstalleerd, en genereert in dat geval een interactief logo dat de certificaatgegevens weergeeft.

Sla een van de volgende afbeeldingen op

Klik met de rechtermuisknop op de afbeelding die u wilt opslaan en klik vervolgens op Afbeelding opslaan als...

• Klein
• Middel
• Groot

Upload de afbeelding naar uw website

Upload de afbeelding naar uw webserver (via FTP of uw CMS) en noteer de URL om toegang te krijgen tot deze afbeelding voor de volgende stap (bijv. https://domain.xyz/wp-content/uploads/sectigo.png).

Haal de code op die u in uw pagina's moet integreren

Voer het volledige adres van uw afbeelding in op de pagina https://www.trustlogo.com/install/index2.html om te controleren of de afbeelding toegankelijk is.

Klik op de knop Volgende op dezelfde pagina om de twee codes te verkrijgen die u kunt kopiëren en in de header van uw website(s) kunt plakken:

Belangrijk:

• In de code staat CL1 voor een SSL-certificaat van het type DV; vervang CL1 door SC5 voor een SSL-certificaat van het type EV.

Deze handleiding beschrijft de geldigheidsregels voor SSL-certificaten EV en DV (geldig vanaf 1 september 2020).

Geldigheidsduur van de SSL-certificaten

Na een bijeenkomst van het CA/B Forum, waaraan de belangrijkste spelers op het web deelnamen (Safari, Google Chrome, Mozilla Firefox, enz. - lees meer), is besloten de maximale geldigheidsduur van SSL-certificaten te beperken tot 397 dagen. Deze wijziging heeft als doel het risico op misbruik van certificaten te beperken en het beveiligingsniveau van de certificaten te verhogen. Het is niet uitgesloten dat de maximale geldigheidsduur van een certificaat in de komende jaren verder wordt verkort. Sommige spelers, zoals Apple, Google of zelfs Sectigo, pleiten hiervoor.

SSL-certificaten DV van Sectigo

SSL-certificaten DV van Sectigo, waarvan de duur langer is dan 1 jaar, worden door Infomaniak automatisch verlengd (het certificaat wordt in de maand voorafgaand aan de vervaldatum opnieuw uitgegeven).

Het is noodzakelijk om het certificaat opnieuw op uw website te installeren als deze niet door Infomaniak wordt beheerd.

SSL-certificaten EV van Sectigo

SSL-certificaten EV van Sectigo moeten elk jaar worden gevalideerd, ongeacht de gekozen abonnementsduur.

Es ist notwendig, das Zertifikat auf Ihrer Website neu zu installieren, wenn diese nicht von Infomaniak verwaltet wird.

Deze handleiding legt uit hoe u een probleem kunt oplossen bij de installatie van een SSL-certificaat (Let's Encrypt of Sectigo), wanneer u Cloudflare gebruikt met strenge beveiligingsregels, zoals land- of IP-adresfiltering.

SSL-/geoblokkeringsinstellingen aanpassen

Wanneer een SSL-certificaat via Infomaniak (gratis Let's Encrypt of Sectigo) wordt aangevraagd, moet de certificeringsinstantie verifiëren of u de rechtmatige eigenaar van het domein bent. Deze verificatie kan via HTTP (via speciale bestanden die op uw website worden geplaatst), DNS of e-mail plaatsvinden:

• Let's Encrypt gebruikt /.well-known/acme-challenge/.
• Sectigo gebruikt doorgaans /.well-known/pki-validation/ (of DNS/e-mail, afhankelijk van de gekozen optie).

Als deze verificaties mislukken (bijvoorbeeld omdat Cloudflare de toegang blokkeert), kan het certificaat niet worden uitgegeven of verlengd. Let's Encrypt voert echter niet meer alleen verificaties uit vanaf één enkele locatie. Sinds enige tijd (en nog meer sinds maart 2024) voert het zijn verificaties tegelijkertijd uit vanuit meerdere landen – waaronder nieuwe landen zoals Zweden of Singapore. Het resultaat: als een van deze landen door uw Cloudflare-instellingen wordt geblokkeerd, kan de certificaataanvraag mislukken, zelfs als alles anders correct is geconfigureerd.

Nog erger: zelfs als u probeert een uitzondering te maken voor alleen het adres van de uitdaging (.well-known/acme-challenge), werkt dit mogelijk niet met bepaalde Cloudflare-regels. In feite worden de blokkeringsregels voor landen of IP-adressen vóór elke uitzondering toegepast op basis van URL-paden.

SSL/TLS-modus aanpassen

Bij Cloudflare gebruikt u de modus Full of Full (strict). Deze modi tolereren tijdelijk een verlopen of zelfondertekend certificaat, totdat de validatie is voltooid:

Validatiepaden vrijgeven

Vermijd blokkerende "IP Access Rules" en geef de voorkeur aan "Custom Rules", die de paden zonder beperkingen vrijgeven:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Geografische blokkade tijdelijk uitschakelen

Indien nodig, schakelt u tijdelijk de geografische of IP-blokkade uit, totdat de validatie is voltooid, en activeert u vervolgens uw beveiligingsmaatregelen na de uitgifte of vernieuwing van het certificaat.

Deze handleiding legt uit hoe u twee verschillende EV- of DV-SSL-certificaten aan dezelfde website kunt toevoegen.

Inleiding

• Aangezien het niet mogelijk is om twee SSL-certificaten op dezelfde website te installeren, moet u twee identieke websites aanmaken.

Het aanmaken van de tweede website

Vereisten

• Verwijder alle mogelijke alias-domeinnamen van uw website.

Om toegang te krijgen tot de webhosting om een website toe te voegen:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam van het betreffende product.
3. Klik op de knop Website toevoegen:
   
4. Ga verder zonder een tool te installeren:
   
5. Klik op Apache en selecteer dezelfde PHP-versie als de hoofdwebsite::
   
6. Kies of u een domeinnaam of een subdomeinnaam wilt gebruiken.
7. Voer de naam van de domeinnaam of subdomeinnaam in.
8. Klik op Geavanceerde opties.
9. Activeer (of niet) het Let's Encrypt SSL-certificaat op de toekomstige website.
10. Selecteer het selectievakje Opslaglocatie handmatig instellen.
11. Selecteer dezelfde opslaglocatie als de hoofdwebsite:
    
12. Klik op de blauwe knop Volgende om te beginnen met het maken van de website.

SSL-certificaat installeren

Zodra de tweede website is gemaakt (elke toevoeging/wijziging kan tot 48 uur duren voordat deze is doorgevoerd), kunt u een SSL-certificaat installeren (als u ervoor heeft gekozen om het certificaat niet te installeren in stap 9 hierboven).

Om toegang te krijgen tot het websitebeheer:

1. Klik hier om toegang te krijgen tot het beheer van uw product in de Infomaniak Manager (Hulp nodig?).
2. Klik rechtstreeks op de naam van het betreffende product.
3. Klik op SSL-certificaten in het linkermenu.
4. Klik op de blauwe knop SSL-certificaat installeren en volg de instructies.

Deze handleiding is van toepassing op u als u problemen ondervindt met een Sectigo SSL-certificaat van het type DV of EV.

Wijziging bij Sectigo (juni 2025)

Vanaf juni 2025 gebruikt Sectigo een nieuwe validatie-infrastructuur genaamd MPIC, waarmee de vereiste controles voor het uitgeven van SSL-certificaten (vooral EV- en OV-certificaten) worden uitgevoerd vanaf servers over de hele wereld, en niet alleen vanuit de VS.

Een challenge is een methode die door de certificeringsinstantie wordt gebruikt om te controleren of de aanvrager daadwerkelijk de controle heeft over het domein. Dit kan via een HTTP-verzoek, een DNS-record of een e-mail. Voor EV- en OV-certificaten wordt deze challenge gecombineerd met controles van de identiteit van het bedrijf.

Met deze nieuwe methode kunnen de validatieverzoeken vanuit elk land of van elke internetprovider komen. Als uw website of server gebruikmaakt van geografische blokkades, een webapplicatie-firewall (WAF) of een dienst zoals Cloudflare met toegangsbeperkingen op basis van land of ASN, kunnen deze controles worden geblokkeerd, wat kan leiden tot een validatiefout.

Hoewel Sectigo voornamelijk spreekt over OV- en EV-certificaten, kan deze ontwikkeling ook indirect invloed hebben op DV-certificaten, aangezien de domeinvalidatie altijd gebaseerd is op de mogelijkheid om toegang te krijgen tot de benodigde bronnen.

Deze handleiding helpt u bij het diagnosticeren en oplossen van de fout "Uw verbinding is niet privé" (of NET::ERR_CERT_AUTHORITY_INVALID). Deze beveiligingswaarschuwing kan zowel bezoekers van een website als de beheerders ervan treffen.

Inleiding

• Deze waarschuwing is een beveiligingsmechanisme van uw browser. Het geeft aan dat er geen veilige verbinding met de server kon worden gemaakt, om een van de volgende redenen:
  • De website heeft geen SSL/TLS-beveiligingscertificaat.
  • Het geïnstalleerde certificaat is verlopen of verkeerd geconfigureerd.
  • De verbinding tussen uw apparaat en de server wordt onderschept of verstoord.
• Let op: Op een website met deze fout zijn de gegevens die u invoert (wachtwoorden, creditcardnummers) niet versleuteld en kunnen ze door derden worden onderschept.

Oplossingen voor bezoekers

Als u deze fout ziet op een website die u niet beheert, kan het probleem soms afkomstig zijn van uw eigen configuratie. Hier zijn de punten die u moet controleren:

• Controleer de tijd van uw apparaat: Als uw computer of smartphone niet is ingesteld op de juiste datum/tijd, mislukt de certificaatvalidatie.
• Test in de privémodus: Als de fout verdwijnt, leeg dan de cache en de cookies van uw browser.
• Controleer uw netwerk: Vermijd openbare wifi-netwerken die hun eigen verbindingsportalen kunnen afdwingen.
• Antivirus- en firewallsoftware: Sommige beveiligingssoftware analyseert HTTPS-verbindingen en kan valse meldingen veroorzaken.

Lösungen für Infomaniak-Website-Besitzer

Als beheerder van de website moet u ervoor zorgen dat uw SSL-certificaat actief en geldig is, zodat alle domeinnamen worden beveiligd.

1. Is het SSL-certificaat geïnstalleerd?

Als uw website nog steeds op HTTP draait, moet u een certificaat genereren (gratis via Let's Encrypt of tegen betaling). Bekijk de beschikbare certificaten bij Infomaniak.

Belangrijk: Als u na de SSL-installatie aliassen (subdomeinen) aan uw website hebt toegevoegd, moet u het certificaat bijwerken, zodat deze ook voor deze aliassen geldig is.

2. Controleer de geldigheid en vervaldatum

Bij Infomaniak worden de certificaten automatisch verlengd, maar er kunnen soms technische problemen optreden. Om de status van uw certificaat te controleren:

1. Klik hier om toegang te krijgen tot het beheer van uw certificaten in het beheerpaneel (Hulp nodig?).
2. Controleer de status en de vervaldatum in het dashboard:
   

3. Forceer HTTPS en los het probleem met "gemengde inhoud" op

Als uw certificaat geldig is, maar het probleem blijft bestaan (of het slotje is niet groen), kan het zijn dat uw website nog steeds elementen (afbeeldingen, scripts) via HTTP laadt. Om dit op te lossen, raadpleegt u deze andere handleiding.