SSL is SSL. Gewoon een gratis certificaat van Let's Encrypt nemen en klaar is Kees. Vergeet verder niet de laatste updates te installeren voor je website (CMS en server software) en zorg voor sterke wachtwoorden. Aanvullend kun je admin-toegang tot ip-adressen beperken of via vpn / certificaten regelen.

Malware komt meestal op je website/server door lekken die niet zijn gepatcht of zwakke wachtwoorden. Dus als je dat afvangt zit je goed.

https://nl.wikipedia.org/wiki/Transport_Layer_Security
https://nl.wikipedia.org/wiki/Malware

SSL doet iets heel anders dan virusbestrijding, daar is weinig "versus" aan. Ik heb nog geen duidelijke inhoudelijke uitleg voor leken weten te vinden--niet dat ik heel hard gezocht heb--; de meningen zijn verdeeld en de uitleg die er is, is meestal vrij technisch. Hier een klassieker: http://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdf

Lezenswaardig is ook: http://thetarpit.org/posts/y03/05b-https-war-declaration.html. Niet omdat ik het er mee eens ben (dat laat ik in het midden) maar omdat je als beheerder de voors en tegens moet snappen, en dat gaat verder dan alleen het technische gedeelte.

Ondertussen vind je dat je SSL nodig hebt. Je kan het gewoon bovenop je webstack stapelen, maar kun je uitleggen waarom jij het denkt nodig te hebben? Zo van, je wil dat het iets voor je doet, wat is dat iets en waarom wil je dat? Wat wil je voorkomen en wat wil je bereiken? Zonder gelijk een hele uitleg hoe SSL technisch werkt, wat wil jij dat het aan jouw situatie toevoegt?

En ook, wat mag het kosten, aan extra beheer en wat dies meer zij. Het mag dan voor jou voor de hand liggen, het even uitschrijven zal helpen een goed verhaal naar je stichtingsbestuur te houden. En ik wil het eigenlijk ook wel even weten.

het is simpel.
als je een certificaat op de server zet. weet een bezoeker zeker dat hij rechtstreeks met jullie verbind en niet met een malafide tussenpartij (hacker) die laat voordoen dat het om jullie site gaat.

virus beveiliging heb je nodig om te zorgen dat systemen die koppelingen hebben met de server niet/veel lastiger besmet worden met een virus/malware, dus ook voor het voorkomen dat bezoekers besmet raken doordat jullie website een virus mee serveert.

dit klinkt een beetje als dat het platform ook niet bijgepatcht is.

Het is niet een website die SSL-beveiliging krijgt, maar de verbindingen tussen webbrowsers en die website (en SSL is opgevolgd door TLS, maar dat is een detail).

Voor de gebruikers zijn 3 zaken van belang:
1) Weet ik zeker dat de website zelf voldoende beveiligd is om ongeautoriseerde toegang te voorkomen, en dat geautoriseerden zorgvuldig zullen omgaan met door mij verstrekte informatie?
2) Weet ik zeker dat ik verbinding heb met de website van de bedoelde stichting?
3) Pas als ik zeker weet dat 1 en 2 het geval zijn, heeft het volgende punt zin: weet ik zeker dat de verbinding voldoende beveiligd is tegen meekijken en/of manipuleren van uitgewisselde informatie?

Aan punt 1 kan TLS helemaal niets doen. Dat is vertrouwen dat op andere wijze opgebouwd moet worden (en hopelijk) nooit beschaamd wordt.

Punt 2 regel je met een TLS certificaat. Daarvan bestaan 3 soorten, waarvan er door een stommiteit maar 2 bruikbaar zijn:
A) Domain Validated of DV (waaronder de gratis Let's Encrypt certificaten). Als de website van jouw stichting een niet erg herkenbare en/of lastig te onthouden en/of makkelijk te verbasteren naam heeft, zeker als er sprake kan zijn van financiële transacties (zoals donaties), zou ik hier geen gebruik van maken. Cybercriminelen kunnen namelijk heel snel, eenvoudig en goedkoop (gratis) certificaten krijgen voor sites met "lijkt-op" namen en jouw "klanten" phishing mails sturen;

B) Organization Validated of OV: de naam van de organisatie wordt opgenomen in het certificaat nadat er enige controle heeft plaatsgevonden dat de certificaataanvrager gerechtigds is om dat te doen namens die organisatie. Deze certificaten kosten geld maar hebben nauwelijks meerwaarde - want zonder certificaten zelf te inspecteren zien gebruikers in webbrowsers het verschil niet met DV certificaten, terwijl gebruikers van Google Chrome nauwelijks nog een certificaat kunnen inspecteren;

C) Extended Validation of EV: hierbij verschijnt de naam van de organisatie en het land van herkomst in het groene vlak. Als gebruikers weten dat jouw website een EV certificaat gebruikt waar de naam van de stichting in staat, kunnen ze beter onderscheid maken met eerdergenoemde certificaten indien deze op een nepsite worden ingezet. De prijs en vooral de noodzakelijke echtheid-controles schikken cybercriminelen vaak af, waardoor EV-certificaten nauwelijks op phishing sites worden ingezet.

Punt 3 kan best lastig zijn, het kiezen welke "ciphers" en dergelijke jouw website ondersteunt om met zoveel mogelijk (ook oudere) webbrowsers te kunnen communiceren. In bijv. https://wiki.mozilla.org/Security/Server_Side_TLS vind je daar meer informatie over. Dat is ook iets dat regelmatig kan veranderen, namelijk zodra er lekken in crypto protocollen worden ontdekt: dan zul je die betreffende protocollen moeten uitschakelen en wellicht nieuwere aanzetten.

Of je jouw webserver goed hebt geconfigureerd op gebied van TLS kun je zien op https://www.ssllabs.com/ssltest/.

Tip: zet HSTS aan. Zie ook https://www.ncsc.nl/actueel/factsheets/factsheet-https-kan-een-stuk-veiliger.html voor info daarover en meer algemene info over https i.p.v. http.

https://www.networking4all.com/nl/ssl+certificaten/wat+is+ssl/
legt kort maar krachtig uit waar je ssl (tls) op een website voor nodig hebt.

Inderdaad hebben certificaten een beperkte geldigheidsduur, nl. meestal 1, 2 of 3 jaar.
Het is meestal goedkoper om één certificaat van drie jaar te nemen dan 3 certificaten van 1 jaar.
Als een certificaat echter wordt gecompromiteerd zodat het nagebootst kan worden, moet het voortijdig worden vervangen.
(denk aan DigiNotar affaire bijvoorbeeld)

Een certificaat voor de website is wettelijk verplicht als er persoonlijke gegevens worden gecommuniceerd.
Vertelt de website alleen maar wat over de stichting met wat nieuwtjes e.d. dan is het niet verplicht, maar is nog steeds een goedkoop certificaat aan te bevelen om de integriteit van gegevens te beschermen als ze over internet naar de browser van de bezoeker worden getransporteerd. Het voorkomt bovendien heimelijke malware-injecties door derden in de verbinding.

"Lets Encrypt" is gratis, maar is maar 90 dagen geldig, dus moet elke 90 dagen worden vernieuwd.
Vernieuwen is eenvoudig, maar het moet wel even op tijd worden gedaan.
Voor ca. 15 euro heb je ook een Comodo certificaat dat 3 jaar geldig is. (als het niet wordt ingetrokken)
Maar Comodo is niet meteen het allerzorgvuldigste bedrijf en levert daarom niet de allerveiligste certificaten.
Gaan er ook persoonlijke gegevens over de lijn, dan valt er wat voor te zeggen om een beter certificaat te nemen dan Comodo, hoewel dat dan wel meteen een stuk duurder is. Denk aan omstreeks 60 euro per jaar of meer.
Velen hebben er nauwelijks verstand van en letten er niet op, maar bijv. ik ga als gebruiker echt niet mijn gegevens invullen op een website die is beveiligd met een Comodo certificaat.

Puntje van orde: Er staat nergens in de wet dat je een certificaat moet hebben. Er staat alleen dat persoonsgegevens adequaat afgeschermd moeten worden. Dat we dat met z'n allen op de interwebtubes met certificaten doen, en je dus voorlopig effectief nauwlijks onder certificaten uitkomt, betekent niet dat dus ook certificaten verplicht zijn; als je een andere manier hebt dan mag dat ook.

Mits er geen MITM met een wildcard-certificaat tussen zit, en het voorkomt ook al niet dat er gerommeld wordt aan je website, bijvoorbeeld door een lekke wordpress plugin of noem eens wat. Dat laatste is wellicht waarschijnlijker, buiten wellicht het "mobiele internet", waar je ISP maar al te vaak je grootste vijand blijkt.

Maargoed, het is nog steeds even goed om helder te maken wat de redenen zijn die maken dat je denkt dat een certificaat een goed idee is. Zegge een bedreigingsmodel voor je website. Waar wil je tegen verdedigen? Maak dat helder en je hebt ineens een veel beter verhaal.

*kuch* Nee. Ik begrijp eigenlijk nog steeds niet waarom ze niet al lang uit de gezegende lijstjes van de browsers getrapt zijn, want ze hebben zichzelf volstrekt onbetrouwbaar laten zien.

Dat dus. Zo staan er nog wel meer bevraaglijke "certificaatautoriteiten" in de verschillende gezegende lijstjes met CAs in browsers. En dat is tegelijk een van de nogal vaak over het hoofd geziene makken in het certificaatsysteem. De techniek is brak (zie Peter Gutmann zijn tutorial), maar de politiek eromheen is brakker.

Comodo-certificaten zijn te makkelijk te verkrijgen voor fishing, net als Let's Encrypt.
Als ik een fonds/stichting/goed doel website met een Comodo of Let's Encrypt certificaat zie,
dan vraag ik me als eerste af of ik niet op een fishing website zit, en doneer ik standaard voor alle zekerheid niet.
Ik wil gewoon zeker weten dat het goed terecht komt, en niet bij een oplichter.