Vijf maanden Let's Encrypt: Hier is de Certificatie Autoriteit van Californië vandaag

Tobias Schüring Laatst bijgewerkt op 21.01.2020
7 Min.
Certificeringsautoriteit Lets Authority

De gratis SSL-certificaten van Let's Encrypt hebben een belangrijke ontwikkeling op gang gebracht op de Duitse hostingmarkt: De bescherming van persoonsgegevens op de eigen website is nu bijna overal gratis. Maar hoe heeft het initiatief, dat als certificeringsautoriteit gratis SSL-certificaten voor iedereen uitgeeft, het tot dusver gedaan? Een gedetailleerde kijk op de ontwikkeling.

Een SSL-certificaat brengt veel voordelen met zich mee, ten laatste sinds de invoering van de HTTP/2-norm. Niet alleen worden persoonsgegevens op betrouwbare wijze gecodeerd, de website laadt ook sneller. Bovendien maakt HTTPS - de beveiligde variant van het Hypertext Transfer Protocol - websites toekomstbestendig. Want op 8 september kondigde Google aan dat Chrome vanaf 2017 websites zonder SSL-certificaat als onveilig zal markeren. Google komt zo steeds dichter bij zijn zelfverklaarde doel van "HTTPS everywhere".

Certificeringsinstantie Let's Encrypt - Google Chrome HTTPS-markering
Met de nieuwe weergave zouden zelfs pagina's van absoluut betrouwbare aanbieders een rood waarschuwingssignaal krijgen. Bij media als t3n is dat meestal geen probleem, omdat de lezers het medium vertrouwen. De waarschuwing van Google kan minder bekende pagina's echter lezers en klanten kosten.

Laten we Encrypt een belangrijke rol spelen in deze context. Want het initiatief uit Californië geeft gratis SSL-certificaten uit aan iedereen. Hierdoor kan elke websitebeheerder gratis en ook relatief eenvoudig SSL instellen. En de Amerikaanse certificeringsinstantie heeft al invloed uitgeoefend op de Duitse hostingmarkt. Want veel hosters bieden vandaag de dag al gratis certificaten aan. Sommigen hebben Let's Encrypt geïntegreerd, anderen bieden gratis certificaten aan van andere aanbieders.

Het succes van Let's Encrypt is daarom niet alleen relevant voor de websitebeheerders, maar ook voor de Duitse hostingmarkt.

Let's Encrypt heeft tot nu toe meer dan 10.000.000 certificaten uitgegeven

Sinds de officiële lancering van Let's Encrypt in mei van dit jaar, zijn de mijlpalen snel bereikt: Twee miljoen, vijf miljoen, en dan onlangs het tien miljoenste certificaat. Maar deze aantallen staan niet gelijk aan tien miljoen sites die via Let's Encrypt-certificaten zijn versleuteld. In plaats daarvan moet men het werkelijke aantal van verschillende kanten benaderen.

Al op 23 april 2016, dus een paar dagen voor de officiële lancering, kon Let's Encrypt zijn twee miljoenste certificaat uitgeven. Slechts 19 dagen later, op 9 mei, werd de kaap van drie miljoen bereikt. Op 3 juni waren er reeds vier miljoen certificaten, en de kaap van vijf miljoen werd vervolgens op 19 juni gekraakt. Eind juli waren het er zeven miljoen, en momenteel heeft Let's Encrypt 10,86 miljoen certificaten uitgegeven, meer dan twee keer zoveel als medio juni. Dat klinkt als een briljante start. Maar wat zit er eigenlijk achter dit getal?

Aantal gratis SSL-certificaten van de Let's Encrypt-certificeringsinstantie
In augustus en september is het aantal door Let's Encrypt uitgegeven certificaten bijzonder sterk gestegen. Dit is waarschijnlijk te wijten aan de termijn van 90 dagen van de gratis SSL-certificaten. De officiële marktintroductie was in mei 2016. Bron: https://letsencrypt.org/stats/

Van de tien miljoen uitgegeven certificaten is bijna de helft verlopen

Het getal 10.000.000 zegt in eerste instantie heel weinig. Omdat het data garbage bevat: Certificaatverlengingen, meervoudige certificeringen en verlopen certificaten worden geteld. Als u ook nog weet dat de vernieuwingscyclus voor Let's Encrypt-certificaten 90 dagen is, wordt het getal steeds relatiefer.

Meer informatief is het aantal momenteel geldige certificaten: Let's Encrypt telt momenteel 5,51 miljoen geldige certificaten. Dit betekent niet dat er werkelijk zoveel sites zijn die met Let's Encrypt zijn versleuteld. Maar het getal geeft al een eerste benaderende waarde.

Geldige certificaten van de Let's Encrypt-certificeringsinstantie
Duidelijk is te zien dat het aantal geldige Let's Encrypt-certificaten tussen augustus en september slechts matig is gestegen. In september stagneerde het zelfs. Dit wijst er ook op dat in augustus en september veel certificaten zijn vernieuwd. Bron: https://letsencrypt.org/stats/

7,88 procent van de certificaten voor .de-sites

Volgens de documentatie van Let's Encrypts zelf, draait 7,88 procent van de certificaten op .de top-level domeinen. De steekproef en de populatie waarop dit cijfer is gebaseerd, of waarmee dit cijfer kan worden gerelateerd, worden echter niet gespecificeerd. Dit maakt de interpretatie vrij moeilijk, omdat niets bekend is over hoe het cijfer tot stand is gekomen. Waarschijnlijk kan worden aangenomen dat het gaat om het aantal sites waarvan Let's Encrypt het TLD kent.

Hieruit kan echter één conclusie worden getrokken: Het nederlandse top-level domein is het sterkste landcode TLD met 28.083 getelde pagina's. Het wordt gevolgd door .ru, .uk, .fr en ook .cz. Populairder zijn landcode-TLD's zoals .com, maar ook .ninja, waarvan de certificeringsautoriteit er 30.967 telt.

Aandelen van de TLD's in de bekende Let's Encrypt certificaten
Aantal certificaten per topniveaudomein. .de is momenteel het populairste TLD. Ook populair zijn .ninja, .me en .io. De waarden hebben waarschijnlijk betrekking op alle sites waarvan de TLD's bekend zijn bij de certificeringsautoriteit. Bron: https://letsencrypt.org/stats/

Let's Encrypt op de 14e plaats in de wereld

Een andere goede bron zijn de gegevens van w3techs.com. De dienst verzamelt, op basis van de top tien miljoen websites in de wereld van Alexa, de aandelen van bepaalde internettechnologieën. Op de desbetreffende websites wordt specifiek gezocht naar bepaalde technologieën. Indien een treffer wordt bereikt, wordt deze in de telling opgenomen. U kunt hier meer te weten komen over het gebruikte monster.

Volgens w3techs is Let's Encrypt momenteel nog een zeer kleine certificeringsautoriteit met een marktaandeel van 0,185 procent en bevindt het zich in het onderste derde deel van de markt. Zelfs als je alleen kijkt naar de certificeringsinstanties die minder dan één procent marktaandeel hebben, eindigt Let's Encrypt onderaan de lijst. Zowel in termen van absoluut gebruik als van marktaandeel.

Marktaandeel van de certificeringsinstantie Let's Encrypt
Sinds de start van de bèta heeft Let's Encrypt gestaag marktaandeel kunnen winnen. De grote klapper, d.w.z. de overgang naar exponentiële groei, laat echter nog lang op zich wachten. Bron: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

IdenTrust, de certificeringsinstantie die de basiscertificaten voor Let's Encrypt levert, staat echter op de derde plaats. Dit is een goed teken. Want als de bron van de root-certificaten een hoge mate van betrouwbaarheid geniet, dan zijn de diensten die op deze root-certificaten zijn gebaseerd doorgaans ook betrouwbaar.

De Let's Encrypt-certificeringsinstantie vergeleken met andere CA's
Let's Encrypt staat duidelijk ver achter op de op twee na laatste plaats van de certificeringsinstanties. IdenTrust, daarentegen, kan de derde plaats veiligstellen. Er zij echter op gewezen dat er geen informatie beschikbaar is over de volledigheid van deze lijst van aanbieders. Bron: https://w3techs.com/technologies/overview/ssl_certificate/all

Vooral kleinere sites met minder verkeer gebruiken Let's Encrypt

Het grootste nadeel van Let's Encrypt ten opzichte van betaalde certificeringsinstanties is nog steeds de zeer beperkte keuze aan certificaten. Dit komt omdat de US Certification Authority tot nu toe maar één type certificaat aanbiedt: een domeinvalideerd certificaat. Uitgebreide functies, zoals de beroemde groene adresbalk en uitgebreide validaties - bijvoorbeeld van een bedrijf of organisatie - zijn momenteel niet met Let's Encrypt mogelijk. Dit betekent natuurlijk niet dat Let's Encrypt-certificaten minder veilig zijn, alleen dat hun functiebereik beperkt is.

Voorbeeld van een OV-certificaat
Let's Encrypt, bijvoorbeeld, kan dergelijke certificaten niet afgeven. Of er ooit hogere valideringsniveaus zullen komen, is momenteel nog onzeker.

Een tenuitvoerlegging van uitgebreide functies is momenteel niet in zicht. De validatie van organisaties en bedrijven vergt immers manuren en die kosten op hun beurt geld. Een gedetailleerde discussie hierover is ook te vinden in het Let's Encrypt forum.

Ergo, vooral kleinere sites gebruiken Let's Encrypt, dat goed zonder geavanceerde validatie kan. Uit de gegevens van w3techs blijkt duidelijk dat Let's Encrypt momenteel vooral wordt gebruikt door sites met weinig tot gemiddeld verkeer. De grootste spelers op de markt hebben daarentegen de neiging sites met een gemiddeld verkeer te bedienen. Dit komt omdat deze certificatie-instanties op winst gerichte bedrijven zijn die logischerwijze de grote en dus veel geld uitgevende sites als klant willen winnen.

Scatterplot van het providerveld Certificatie Autoriteit
Deze grafiek toont de huidige rangschikking van de Let's Encrypt Certification Authority in vergelijking met andere spelers. Opvallend: Zowel Let's Encrypt als IdenTrust worden meer gebruikt in het gebied met weinig verkeer. Bron: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusie: Let's Encrypt heeft naar mijn mening nog steeds een enorm potentieel

Voor een blik in de kristallen bol zijn niet zozeer de gegevens over de pagina's met SSL-certificaat interessant, maar eerder de pagina's die nog geen SSL-certificaat hebben. Volgens w3techs is dat 30,8 procent van de pagina's. Hoewel de redenen voor het niet hebben van een SSL-certificaat niet uitgesplitst zijn voor deze sites - denk ik dat voor een groot percentage van hen de kosten in combinatie met de technische hindernissen waarschijnlijk de belangrijkste obstakels zijn.

Beide zijn nu sterk vereenvoudigd door Let's Encrypt en de integratie ervan in gebruikersinterfaces, bijvoorbeeld in de dashboards van hostingproviders. Hoe bekender het Californische initiatief wordt, hoe kleiner het aantal sites dat geen SSL-certificaat heeft, zou moeten worden.

Tot nu toe lijkt het erop dat Let's Encrypt de overgang naar exponentiële groei nog niet heeft weten te realiseren. Dit zou kunnen veranderen in 2017, wanneer Chrome begint met het taggen van websites zonder HTTPS. Ook het gedrag van andere browserfabrikanten in deze zaak zal de verdere ontwikkeling beïnvloeden. De ontwikkeling die Let's Encrypt in gang heeft gezet, is echter in ieder geval toe te juichen, zowel door de websitebeheerders als door de hostingproviders.

Gebruik je al een Let's Encrypt-certificaat of heb je er al ervaringen mee opgedaan? Deel jouw kennis met ons en andere gebruikers. Als Sys-Admin van RAIDBOXES SSL beantwoord ik ook graag jouw vragen over SSL.

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.