Certificeringsautoriteit Laat autoriteit

Vijf maanden Let's Encrypt: Dit is waar de certificeringsautoriteit uit Californië nu staat

De gratis SSL-certificaten van Let's Encrypt hebben een belangrijke ontwikkeling op de Duitse hostingmarkt in gang gezet: De bescherming van persoonsgegevens op de eigen website is nu bijna overal gratis. Maar hoe heeft het initiatief, dat als Certificeringsautoriteit gratis SSL-certificaten voor iedereen uitgeeft, het tot nu toe gedaan? Een gedetailleerde blik op de ontwikkeling.

Een SSL-certificaat brengt veel voordelen met zich mee, uiterlijk sinds de invoering van de HTTP/2 standaard. Niet alleen zijn persoonlijke gegevens betrouwbaar versleuteld, de website laadt ook sneller. Bovendien maakt HTTPS - de beveiligde versie van het Hypertext Transfer Protocol - websites toekomstbestendig. Op 8 september kondigde Google aan dat vanaf 2017 websites zonder SSL-certificaat in Chrome als onveilig zullen worden gemarkeerd. Google komt zo steeds dichter bij zijn zelfverklaarde doel van "HTTPS overal".

Certificeringsinstantie Let's Encrypt – Google Chrome HTTPS-markering
Met de nieuwe weergave zouden zelfs pagina's van absoluut betrouwbare aanbieders een rood waarschuwingssignaal krijgen. Bij media als t3n is dat meestal geen probleem omdat de lezers het medium vertrouwen. De waarschuwing van Google kan echter minder bekende sites lezers en klanten kosten.

Let's Encrypt speelt hierbij een belangrijke rol. Dit komt omdat het initiatief uit Californië aan iedereen gratis SSL-certificaten verstrekt. Dit maakt het voor elke sitebeheerder mogelijk om gratis en ook relatief eenvoudig SSL in te stellen. En de Amerikaans-Amerikaanse Certification Authority heeft al invloed gehad op de Duitse hostingmarkt. Omdat veel hosters al gratis certificaten aanbieden. Sommige hebben Let's Encrypt geïntegreerd, andere bieden gratis certificaten van andere aanbieders.

Het succes van Let's Encrypt is daarom niet alleen relevant voor sitebeheerders, maar ook voor de Duitse hostingmarkt.

Let's Encrypt heeft tot nu toe meer dan 10.000.000 certificaten uitgegeven

Sinds Let's Encrypt in mei van dit jaar officieel van start ging, zijn de mijlpalen in rap tempo bereikt: Twee miljoen, vijf miljoen, en dan onlangs het tien miljoenste certificaat. Maar deze aantallen staan niet gelijk aan tien miljoen sites die via Let's Encrypt-certificaten zijn versleuteld. Het werkelijke aantal moet veeleer van verschillende kanten benaderd worden.

Al op 23 april 2016, dus een paar dagen voor de officiële lancering, kon Let's Encrypt zijn twee miljoenste certificaat uitgeven. Slechts 19 dagen later, op 9 mei, werd de grens van drie miljoen bereikt. Op drie juni waren er al vier miljoen certificaten, en op 19 juni werd de grens van vijf miljoen bereikt. Eind juli waren dat er zeven miljoen, en momenteel heeft Let's Encrypt 10,86 miljoen certificaten uitgegeven, meer dan twee keer zoveel als medio juni. Dat klinkt als een schitterend begin. Maar wat zit er eigenlijk achter dit getal?

Aantal gratis SSL-certificaten van de Let's Encrypt Certification Authority
In augustus en september nam het aantal door Let's Encrypt uitgegeven certificaten bijzonder sterk toe. Dit komt waarschijnlijk door de looptijd van 90 dagen van de gratis SSL-certificaten. De officiële marktintroductie was in mei 2016. Bron: https://letsencrypt.org/stats/

Van de tien miljoen uitgegeven certificaten is bijna de helft verlopen

Het getal 10.000.000 zegt aanvankelijk weinig. Het bevat gegevensrommel: certificaatvernieuwingen, meerdere certificeringen en verlopen certificaten worden meegeteld. Als je ook weet dat de vernieuwingscyclus voor Let's Encrypt certificaten 90 dagen is, wordt het getal steeds relatiefer.

Meer informatief is het aantal momenteel geldige certificaten: Let's Encrypt telt momenteel 5,51 miljoen geldige certificaten. Dit betekent niet dat er daadwerkelijk zoveel sites zijn die met Let's Encrypt versleuteld zijn. Maar het getal geeft wel een eerste benadering.

Geldige certificaten van de Let's Encrypt Certification Authority
Het is duidelijk dat het aantal geldige Let's Encrypt certificaten van augustus tot september slechts matig is toegenomen. In september stagneerde het zelfs. Dit is ook een aanwijzing dat veel certificaten in augustus en september zijn vernieuwd. Bron: https://letsencrypt.org/stats/

7,88 procent van de certificaten draait op .de-sites

Volgens Let's Encrypts' eigen documentatie draait 7,88 procent van de certificaten op .de top-level domeinen. De steekproef en de populatie waarop dit cijfer is gebaseerd, of waaraan dit cijfer kan worden gerelateerd, worden echter niet gespecificeerd. Dit maakt de interpretatie nogal moeilijk, want er is niets bekend over hoe het cijfer tot stand is gekomen. Waarschijnlijk kan worden aangenomen dat het gaat om het aantal sites waarvan Let's Encrypt het TLD kent.

Hieruit kan echter één conclusie worden getrokken: Het Duitse topleveldomein is het sterkste landcode-TLD met 28.083 getelde pagina's. Het wordt gevolgd door .ru, .uk, .fr en ook .cz. Populairder zijn landcode-TLD's zoals .com maar ook .ninja, waarvan de Certificeringsautoriteit er 30.967 telt.

Aandelen van de TLD's in de bekende Let's Encrypt-certificaten
Aantal certificaten per topleveldomein. .de is momenteel het sterkst vertegenwoordigde TLD. Ook populair zijn .ninja, .me en .io. De waarden hebben waarschijnlijk betrekking op alle sites waarvan de TLD's bekend zijn bij de certificeringsinstantie. Bron: https://letsencrypt.org/stats/

Let's Encrypt staat wereldwijd op de 14e plaats

Een andere goede bron zijn de gegevens van w3techs.com. De dienst verzamelt de aandelen van bepaalde internet technologieën op basis van de top tien miljoen websites in de wereld, uitgegeven door Alexa. De bijbehorende websites worden specifiek doorzocht op bepaalde technologieën. Als een treffer wordt bereikt, wordt die meegenomen in de telling. Meer informatie over de gebruikte steekproef is hier te vinden.

Volgens w3techs is Let's Encrypt momenteel nog een zeer kleine certificeringsinstantie met een marktaandeel van 0,185 procent en bevindt zich in het onderste derde deel van de markt. Zelfs als je alleen kijkt naar de certificeringsinstanties die minder dan één procent marktaandeel hebben, eindigt Let's Encrypt in de onderste derde. Zowel qua absoluut gebruik als qua marktaandeel.

Marktaandeel van de certificeringsautoriteit Let's Encrypt
Sinds het begin van de bèta heeft Let's Encrypt gestaag marktaandeel kunnen winnen. De grote klap, d.w.z. de overgang naar exponentiële groei, laat echter nog lang op zich wachten. Bron: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Maar IdenTrust, de certificeringsautoriteit die de basiscertificaten voor Let's Encrypt levert, staat op de derde plaats. Dit is een goed teken. Want als de bron van de root-certificaten een hoge betrouwbaarheid heeft, dan zijn de diensten die op deze root-certificaten gebaseerd zijn ook meestal betrouwbaar.

De Let's Encrypt Certificatie Autoriteit vergeleken met andere CA's
Let's Encrypt staat duidelijk ver achter op de derde-laatste plaats van de certificeringsautoriteiten. IdenTrust daarentegen kan de derde plaats veiligstellen. Het moet gezegd worden dat er geen informatie beschikbaar is over de volledigheid van deze lijst van aanbieders. Bron: https://w3techs.com/technologies/overview/ssl_certificate/all

Vooral kleinere sites met minder verkeer gebruiken Let's Encrypt

Het grootste nadeel van Let's Encrypt in vergelijking met certificatie-autoriteiten tegen betaling is nog steeds de zeer beperkte keuze aan certificaten. Dit komt omdat de Amerikaanse certificeringsautoriteit tot dusver slechts één type certificaat aanbiedt: een domein-gevalideerd certificaat. Uitgebreide functies, zoals de beroemde groene adresregel en uitgebreide validaties – bijv. van een bedrijf of een organisatie – zijn momenteel niet mogelijk met Let's Encrypt. Dit betekent natuurlijk niet dat Let's Encrypt-certificaten minder veilig zijn, alleen dat hun scala aan functies beperkt is.

Voorbeeld van een OV-certificering
Let's Encrypt, bijvoorbeeld, kan zulke certificaten niet uitgeven. Of er ooit hogere validatieniveaus zullen komen is op dit moment nog onzeker.

Een implementatie van uitgebreide functies is momenteel niet in zicht. Dit komt omdat voor de validatie van organisaties en bedrijven manuren nodig zijn en die kosten weer geld. Een gedetailleerde discussie hierover is ook te vinden op het Let's Encrypt Forum.

Ergo, voornamelijk kleinere sites gebruiken Let's Encrypt, die goed zonder uitgebreide validatie kunnen. De gegevens van w3tech laten duidelijk zien dat Let's Encrypt momenteel vooral gebruikt wordt door sites met weinig tot gemiddeld verkeer. De grootste spelers op de markt bedienen daarentegen meestal sites met gemiddeld verkeer. Dit komt omdat deze certificeringsinstanties op winst gerichte bedrijven zijn die logischerwijs de grote vestigingen met veel koopkracht als klanten voor zich willen winnen.

Scatterplot van het providerveld Certificeringsautoriteit
Deze plot toont de huidige rangorde van de Let's Encrypt Certification Authority in vergelijking met andere spelers. Opvallend: Zowel Let's Encrypt als IdenTrust worden meer gebruikt in het gebied met weinig verkeer. Bron: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusie: Let's Encrypt heeft volgens mij nog steeds een enorm potentieel

Voor een blik in de kristallen bol zijn niet zozeer de gegevens over de pagina's met SSL-certificaten interessant, maar veeleer de pagina's die nog geen SSL-certificaat hebben. Volgens w3techs is dit 30,8 procent van de pagina's. Hoewel de redenen om geen SSL-certificaat te hebben voor deze sites niet zijn uitgesplitst - denk ik echter dat voor een goed percentage van hen de kosten in combinatie met de technische hindernissen waarschijnlijk de belangrijkste obstakels zijn.

Beide zijn nu sterk vereenvoudigd door Let's Encrypt en de integratie ervan in gebruikersinterfaces, bijvoorbeeld in de dashboards van hosting providers. Hoe bekender het Californische initiatief wordt, hoe kleiner het aantal sites dat geen SSL-certificaat heeft waarschijnlijk zal worden.

Tot nu toe lijkt het erop dat Let's Encrypt de overgang naar exponentiële groei nog niet voor elkaar heeft gekregen. Dit zou in 2017 kunnen veranderen als Chrome websites zonder HTTPS gaat markeren. Het gedrag van andere browserfabrikanten in deze kwestie zal ook van invloed zijn op de verdere ontwikkeling. De ontwikkeling die Let's Encrypt in gang heeft gezet is echter hoe dan ook toe te juichen, zowel voor de websitebeheerders als voor de hosting providers.

Gebruik je al een Let's Encrypt certificaat of heb je er ervaring mee? Deel je kennis met ons en andere gebruikers. Als Sys-Admin van Raidboxes beantwoord ik ook graag je vragen over SSL.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.