Onlinespamfilter gebruiker documentatie

SSL voor whitelabel resellers

Owned by gerard.vandijnsen@onlinespamfilter.nl
Last updated: Oct 14, 2022
4 min read

Inleiding

Voor whitelabel resellers is het mogelijk onze web portal te ‘branden’ met bijvoorbeeld een eigen logo, een eigen kleur stelling en product naam. Eveneens is de URL van de web portal zelf te kiezen. Om dit laatste succesvol te laten verlopen middels een SSL verbinding zijn speciale maatregelen nodig.

Eigen URL met Letsencrypt certificaat

Onlinespamfilter biedt whitelabel resellers de mogelijkheid hun eigen URL te kiezen en middels HTTPS te verbinden met de onlinespamfilter portal. Deze verbinding loopt via een transparante proxy met een alternatief IP adres. Na instelling van het DNS record en de juiste opties in de portal zal automatisch een Letsencrypt SSL certificaat voor de reseller worden gegenereerd die vervolgens bij gebruik van de eigen URL aan de web browser wordt aangeboden. Het gevolg is een volledig beveiligde verbinding via de URL van de reseller.

Benodigde instellingen voor nieuwe whitelabel resellers

Om het bovenstaande te bereiken dienen de volgende instellingen te worden gemaakt:

  1. Een geldig A-record in de DNS van de reseller die de gekozen URL verwijst naar het IP adres 92.119.29.157.

  2. De betreffende URL moet worden ingevuld in het veld “Login url” onder Whitelabel opties in de web portal.

  3. In hetzelfde scherm dient onderaan bij “Whitelabel domain settings” de tweede optie (Use HTTPS protocol with the reseller's login URL) te worden gekozen. Vergeet niet de instellingen op te slaan.

Binnen uiterlijk 10 minuten zal nu het certificaat automatisch worden gegenereerd en kan de URL in gebruik worden genomen.

Instellingen voor legacy implementaties

Wanneer er reeds in het verleden een oplossing is gebruikt (zoals Cloudflare of een URL zonder SSL encryptie) is de procedure iets uitgebreider:

  1. Noteer de huidige ingestelde TTL (Time-To-Live) waarde voor het reseller A-record. Dit is de originele TTL waarde.

  2. Breng de TTL van het A-record vervolgens tijdelijk terug naar de laagst mogelijke waarde. Dit is de tijdelijke TTL. Let op: Voor veel DNS providers geldt een minimale waarde van 60 seconden, maar sommige DNS resellers hebben een minimale waarde van 600 seconden.

  3. Wacht tot de originele TTL verstreken is. Dit kan in sommige gevallen 24 uur tot een week bedragen afhankelijk van de waarde van de originele TTL.

  4. Volg nu de stappen bij “Benodigde instellingen voor nieuwe whitelabel resellers”.

  5. Na verloop van de ingestelde tijdelijke TTL + 10 minuten zal het certificaat gegenereerd zijn en kan de nieuwe URL worden gebruikt.

  6. Indien gewenst kan de tijdelijke TTL weer worden verhoogd.

Bij de migratie van legacy implementaties is er een korte periode waarin de gebruiker kan worden geconfronteerd met een ongeldig SSL certificaat. Dit is geen veiligheidsrisico maar kan als storend worden ervaren. Het advies is dan ook om een overgang van een legacy implementatie naar deze oplossing in te plannen op een rustig moment.

Het is mogelijk om de overgangsperiode in te korten. Hiervoor is handmatig ingrijpen van een Onlinespamfilter administrator nodig. We zijn hiertoe graag bereid. Neem svp hiervoor ruim op tijd contact op zodat we samen een goed moment kunnen plannen.

IPv6 support

Indien gewenst kunt u een AAAA record voor uw login URL aanmaken verwijzend naar IPv6 adres 2a07:7280:77:1::f001. The portal is dan ook meteen via IPv6 bereikbaar.

Wanneer u ook het IPv6 adres instelt haalt de portal zonder verdere maatregelen een score van 100% bij security sites als deze: https://internet.nl . Dit kan belangrijk zijn voor klanten in bijvoorbeeld de zorg of overheid.

Adressen overzicht

Hieronder het overzicht van de relevante IPv4 en IPv6 adressen:

Protocol

DNS record type

Adres

IPv4

A

92.119.29.157

IPv6

AAAA

2a07:7280:77:1::f001

 

 

 

 

 

 

 

 

 

 

Legacy documentatie (ter referentie)

Twee smaken

In principe zijn er twee mogelijkheden:

  1. U kunt kiezen voor een URL binnen uw eigen domein. U bent dan zelf verantwoordelijk voor de beveiliging middels SSL. Dit kan middels een transparante proxy die u zelf configureert of bijvoorbeeld middels een Cloudflare instance met de Full SSL optie. U pareert hiermee de mismatch die ontstaat tussen ons SSL certificaat en de hostname. Deze optie is volledig veilig en biedt de beste branding.

  2. U kunt gebruik maken van onze ‘unbranded’ domein naam: spamfilteronline.nl. Onlinespamfilter beheert de certificaten voor dit domein en zorgt er voor dat de gehele SSL chain op orde is. De login pagina is volledig ‘branded’ naar uw eigen voorkeuren. Een URL met dit domein werkt alleen met de juiste unieke ‘reseller token’.

URL’s in e-mails

Om zeker te stellen dat ook de e-mails die wij verzenden (voor logins / bounces / waarschuwingen) aan uw eindgebruikers ook de juiste URL’s bevatten dient u nog een instelling te maken in uw whitelabel instellingen. Deze instelling vindt u onderaan de eerste Whitelabel instellingen pagina bij “Login Domain used in mails”.

Wanneer u gebruik maakt van de eerste optie dient u voor deze instelling de tweede radio button:

Wanneer u gebruik maakt van de tweede optie gebruikt u de onderste radio button: