Steeds meer van onze communicatie gaat via het internet. Van persoonlijke adresgegevens tot gebruikersgegevens, en van het doen van een digitale betaling tot het versturen van een bericht via een contactformulier. Deze communicatie tussen de bezoeker en de server waarop de website draait wordt normaliter als kant-en-klare tekst over het internet verstuurd.
Zodra de verbinding niet versleuteld is kan een tussenpartij, ook wel een ‘man-in-the-middle’ genoemd, in theorie deze communicatie onderscheppen en daarmee waardevolle informatie buitmaken. Om te voorkomen dat dit gebeurt kiezen steeds meer domeinbezitters ervoor om hun website(s) te versleutelen. Hiermee zullen bezoekers op de https-variant (hypertext transfer protocol secure) van een website terecht komen, die ten opzichte van het niet-versleutelde http-protocolal het verkeer over een beveiligde verbinding laat gaan. Om dit te bereiken moet voor de website een ssl-certificaat (secure sockets layer) aangevraagd en geïnstalleerd worden. Hiermee zal ook meteen een groen slot in de adresbalk worden weergegeven zodra een bezoeker de website bezoekt, wat hem een signaal geeft dat de website betrouwbaar is.
Uit onderzoek is gebleken dat inmiddels ruim 50 procent van het websiteverkeer wordt versleuteld met https. Dit is een forse verbetering in vergelijking met de cijfers die we in de voorgaande jaren zagen. Het is daarom van groot belang dat deze groei hier niet stopt. Om deze reden onderzoeken diverse partijen mogelijkheden om ook de resterende websites te laten versleutelen met een ssl-certificaat. Zo wordt het kwaadwillenden moeilijker gemaakt om de verbinding af te luisteren en daarmee waardevolle informatie buit te maken. Gelukkig is het tegenwoordig niet heel ingewikkeld meer om aan een ssl-certificaat te komen en deze te installeren, iets dat in het verleden vrijwel alleen aan experts kon worden overgelaten.
Om een versleutelde verbinding op te zetten is het noodzakelijk om een ssl-certificaat aan te vragen bij een Certificate Authority (CA). Zo’n certificaat kan bij een leverancier worden aangevraagd, die deze op hun beurt afnemen bij de Certificate Authority. Hiervan zijn Comodo en Symantec bekende voorbeelden, die in april 2016 gezamenlijk goed waren voor een marktaandeel van ruim 65 procent in de ssl-branche. Dergelijke certificaten zijn echter nooit gratis en dienen voor een specifiek bedrag te worden afgenomen. Het te betalen bedrag is afhankelijk van het type certificaat dat wordt afgenomen. Zo zal een Domain Validation (DV)-certificaat, waarbij alleen de identiteit van de domeinnaam wordt gecontroleerd, al voor enkele euro’s per jaar kunnen worden afgenomen. Dit terwijl een Organisation Validation (OV) en Extended Validation (EV) certificaat, waarbij de Certificate Authority het aanvragende bedrijf uitvoerig onderzoekt, voor veel meer afgenomen moet worden.
Gratis HTTPS nu ook mogelijk
Doordat voor een ssl-certificaat normaal gezien altijd moest worden betaald, maakte dit het niet aantrekkelijk om over te stappen op https, zeker niet omdat hier ook nog eens technische uitdagingen bij komen kijken. Gelukkig kun je nu kiezen voor gratis ssl-certificaten van Let’s Encrypt. Dit is een relatief nieuwe autoriteit die in 2014 werd opgericht door onder meer de digitale burgerrechtenorganisatie Electronic Frontier Foundation (EFF) en de Mozilla Foundation. Inmiddels is deze partij goed voor zo’n 35 miljoen actieve ssl-certificaten. Dit cijfer laat goed zien wat de impact is van Let’s Encrypt op het internett.
Voordelen:
– Gratis: In tegenstelling tot klassieke autoriteiten levert Let’s Encrypt zijn certificaten zonder enige kosten. Doordat de organisatie overeind gehouden wordt door tal van sponsoren, waaronder bijvoorbeeld Mozilla, Google en Facebook, is het voor hen mogelijk om iedere aanvrager van gratis certificaten te voorzien. Een aanvrager kan ook voor meerdere domeinnamen een certificaat aanvragen. Bezitters van meerdere websites vallen dan ook zeker niet buiten de boot.
– Versleuteling: Met een certificaat van Let’s Encrypt kan al het verkeer op een website worden versleuteld. Dit houdt in dat het voor aanvallers een heel stuk moeilijker wordt om verkeer af te luisteren vanaf deze website, wat natuurlijk wel zo prettig is bij het delen van gevoelige informatie. Doordat steeds meer partijen kiezen voor een versleutelde verbinding kunnen bezoekers steeds veiliger gebruik maken van het internet, zonder dat zij constant over hun digitale schouder moeten kijken. Ook zullen alle versleutelde websites een groen slot in de adresbalk laten zien, wat voor bezoekers een teken van betrouwbaarheid en vertrouwen is. Dit alles vertaalt zich in een veilige en aangename ervaring voor zowel de websitebezitter als de bezoeker.
– Eenvoudig: Het is vrij eenvoudig om een ssl-certificaat van Let’s Encrypt aan te vragen en te installeren. Zo is het met shell toegang tot bijvoorbeeld een vps mogelijk om dit middels Certbot te doen. Ook veelgebruikte beheerpanelen als DirectAdmin en Plesk zijn goed in staat om met Let’s Encrypt om te gaan, en bieden websitebezitters de mogelijkheid om eenvoudig een certificaat op hun website geïnstalleerd te krijgen. Bij dit alles komt dat het aanvragen en installeren vaak niet meer dan enkele minuten tijd kost.
Nadelen:
– Geen aanvullende validatie: Doordat Let’s Encrypt door zijn automatische processen alleen Domain Validation-certificaten levert is het niet mogelijk om aanvullende validaties door de autoriteit uit te laten voeren. Dergelijke validaties zijn nodig om bijvoorbeeld Organisation Validation- of Extended Validation-certificaten te kunnen leveren. Deze aanvullende validaties worden altijd middels menselijke handelingen uitgevoerd. Doordat de aanvraag hiervan vanzelfsprekend niet kan worden geautomatiseerd heeft Let’s Encrypt ervoor gekozen om deze niet in hun aanbod op te nemen. Dergelijke certificaten zullen daarom bij een andere uitgevende partij afgenomen moeten worden.
– Geen Wildcard: Net als bij Organisation Validation- en Extended Validation-certificaten is het voor Let’s Encrypt niet mogelijk om een wildcard-certificaat via een automatisch proces op te leveren. Ook hierbij geldt dat Let’s Encrypt er daarom voor gekozen heeft wildcard-certificaten niet in hun aanbod op te nemen.
– Versleuteling staat niet gelijk aan veiligheid: Dat je een website bezoekt met https betekent niet automatisch dat deze ook daadwerkelijk veilig is om te gebruiken. Door het eenvoudige proces van Let’s Encrypt en het gebrek aan aanvullende validaties is het voor iedereen mogelijk om certificaten aan te vragen, dus ook voor kwaadwillenden. Over het algemeen wekt het groene slot bij bezoekers de indruk dat de bezochte website betrouwbaar is, maar het laat eigenlijk slechts zien dat de verbinding versleuteld is. Je gebruikersgegevens op een malafide website invoeren kan daarom nog
steeds een probleem vormen, ook al is de verbinding versleuteld.
– Niet altijd mogelijk: Het is niet altijd mogelijk om een Let’s Encrypt ssl-certificaat te installeren op een website, wat afhankelijk is van de wijze waarop deze wordt gehost. Als je de website echter op een dedicated server of vps met Linux als besturingssysteem hebt staan kan Let’s Encrypt natuurlijk wel worden gebruikt. Dit omdat je met een eigen server de vrijheid hebt om zelf te beslissen hoe de hostingomgeving wordt ingericht.
Let’s Encrypt iets voor jou?
Er wordt steeds meer op het internet gedaan en gedeeld. Het is daarom belangrijk om onszelf en elkaar te beschermen tegen de gevaren die deze vorm van communicatie met zich mee brengt. Door versleuteling toe te passen stellen we onszelf in staat om op een versleutelde manier met elkaar te communiceren. Met Let’s Encrypt wordt het aanvragen van certificaten relatief eenvoudig gemaakt en is dit bovenal gratis. Er is daarom eigenlijk geen reden meer voor websitebezitters om geen https-variant van hun website aan te bieden.
Zie jij een mogelijkheid om een gratis Let’s Encrypt certificaat op jouw website te installeren? Op een eigen vps met DirectAdmin is dit bijvoorbeeld al binnen enkele minuten gedaan. Het beveiligen van je website met een ssl-certificaat is daarom zeker het onderzoeken waard. Want laten we nu eerlijk wezen, zou jij gevoelige privé-informatie over een onbeveiligde lijn versturen?
Als deze meneer van Argeweb zich meer in LetsEncrypt had verdiept had ie kunnen lezen dat wildcards volgend jaar ondersteund worden.
Iets anders verwoord… de voor en nadelen van een gratis slot op je voordeur…
Sluit me aan bij Mario, het artikel geeft een slecht overzicht waar het om gaat.
1 voor versleutelde communicatie tussen browser en server is een certifikaat nodig
2 het kan zelf geproduceerd worden of bij een CA (Certified Athority) gehaald/gekocht worden
3 zelf geproduceerd wordt door de browser niet standaard vertrouwt (melding van browser), die van een CA wel
4 Letsencrypt is “de CA voor zelf geproduceerde certifikaten”
5 Wie meer zekerheid aan zjn bezoekers wil geven kan een uitgebreider certifikat kopen, dan wordt meer gekontroleerd als alleen de houderschap van de domain, o.a. hoe betrouwbaar je bent
6 de browsers hameren sinds kort steeds meer op het gebruik van https vanwege de ongebreidelde afluisterpraktijken van bedrijven en staten
7 Letsencrypt levert binnenkort ook wildcard-certificates die zijn voor een serie subdomains, niet alleen http://www.domain.tld maar alleswatjewilt.domain.tld
De certifikaten van Letsencrypt zijn voor eeen versleutelde communicatie, het zegt niets over de betrouwbaarheid van een website.
Van een naamgenoot met dr voor zijn naam verwacht ik meer diepgang, laat dat dr liever weg wanneer diepgang te veel moeite is.
Beste Mario, bedankt voor uw feedback!
De aankomende beschikbaarheid van Wildcard-certificaten had inderdaad beter verwerkt moeten worden. Dit artikel is vlak voor de aankondiging van Let’s Encrypt geschreven en bij publicatie is dit belangrijke detail er helaas doorheen geglipt.
Betaalde certificaten hebben ook zo hun nadelen, zie het gedoe rondom Symantec, Geotrust enz. en Google. Binnenkort keurt de chromebrowser al deze dure(!) betaalde EV-certificaten af en gaat ze markeren als onveilig. Daar zit je dan met je dure licentie.