Contactformulier SSL-verplichting Wettelijke beveiliging

Is SSL verplicht voor contactformulieren? Hoe een Amerikaans initiatief voor meer rechtszekerheid zorgt

Het non-profit initiatief Let's Encrypt uit San Francisco biedt sinds Mai dit jaar gratis SSL-certificaten aan. Volgens het initiatief is het doel het internet te democratiseren en veiliger te maken. Zo zorgen de Amerikanen voor meer rechtszekerheid in Duitsland. Bijvoorbeeld bij de vraag of SSL verplicht is voor een contactformulier.

HTTPS moet de nieuwe standaard op het web worden. Tenminste, als het aan de Amerikaanse Internet Security Research Group ligt. Met het Let's Encrypt project wil de groep elke website exploitant wereldwijd voorzien van een gratis SSL certificaat. Ongeacht hun herkomst of vermogen om te betalen.

Vooral Duitse websitebeheerders kunnen van dit nobele idee profiteren. Dankzij sponsors als Facebook, Mozilla of Linux genieten de Let's Encrypt certificaten een hoge mate van betrouwbaarheid. En technisch gezien verschilt de gratis SSL niet van de betaalde versie.

Dit betekent dat ook exploitanten van kleinere blogs of bedrijfswebsites kunnen profiteren van de voordelen van HTTPS: meer snelheid dankzij HTTP/2, meer gegevensbeveiliging en vooral meer rechtszekerheid. Of beter gezegd: minder rechtsonzekerheid, want tot nu toe moesten vooral bloggers en beheerders van kleinere sites zich buigen over de vraag of SSL verplicht is voor bijvoorbeeld een contactformulier, en of ze misschien met een waarschuwing bedreigd worden.

Is SSL-codering verplicht?

In Duitsland is het al jaren verplicht een back-up te maken van gevoelige gegevens. Althans in theorie. Want volgens §13 van de Telemediawet:

"Dienstverleners [...] zorgen er, voor zover dit technisch mogelijk en economisch redelijk is, in het kader van hun respectieve verantwoordelijkheid voor op zakelijke basis aangeboden telemedia door middel van technische en organisatorische voorzorgsmaatregelen voor dat [...] de gebruikte technische voorzieningen [...] beveiligd zijn tegen een inbreuk op de bescherming van persoonsgegevens [...]"
- Telemediengesetz §13

Vooral de onduidelijke formulering heeft veel onzekerheid veroorzaakt bij Duitse site-exploitanten: Is de eigen blog zakelijk? Op welk punt kan het als zodanig geclassificeerd worden? Wat is technisch mogelijk? Wat is economisch redelijk? Deze en andere vragen zijn uitvoerig besproken. Zonder duidelijk resultaat.

De teneur lijkt echter te zijn: SSL-encryptie is niet verplicht. Maar het is noodzakelijk om de gegevens te beveiligen. Dit hoeft niet via een SSL-certificaat te gebeuren. Encryptie van de communicatie tussen de browser en de webserver is echter een zeer goede manier om de gevoelige gegevens van websitebezoekers te beschermen.
Naast de onduidelijke juridische formuleringen is er een gebrek aan precedenten.

Het risico van een waarschuwing zou vrij laag moeten zijn

Dit heeft ook te maken met problemen aan de kant van de autoriteiten. Meestal hebben de toezichthoudende autoriteiten eenvoudigweg niet de middelen om systematisch alle websites in hun verantwoordelijkheidsgebied op schendingen te controleren. Het risico dat je daadwerkelijk gewaarschuwd wordt is dus waarschijnlijk vrij klein. Maar je kunt hier niet zeker van zijn.

Als websitebeheerder kun je je nu effectief en vooral gemakkelijk beschermen tegen al deze onberekenbaarheden en juridische grijze gebieden. Want de gratis SSL-certificaten van Let's Encrypt hebben het Duitse hostinglandschap onder druk gezet. En dus hebben hostingbedrijven verschillende mogelijkheden gecreëerd om gratis SSL-certificaten te krijgen.

Theoretisch kan iedereen vandaag een gratis SSL-certificaat kopen

De klanten van de grote en gespecialiseerde Duitse providers hoeven tenminste niet meer te betalen voor eenvoudige SSL-certificaten. Dat komt omdat de providers op de gratis SSL uit Amerika hebben gereageerd met minstens drie verschillende benaderingen:

  • Volledige integratie van Let's Encrypt: Enkele hosters hebben de certificaten van San Francisco volledig in hun diensten geïntegreerd. Bij Raidboxes bijvoorbeeld kun je SSL met slechts één klik instellen.
  • Gedeeltelijke integratie van Let's Encrypt: Andere hostingbedrijven hebben rekening gehouden met Let's Encrypt en staan installatie toe. Gedeeltelijk is de Let's Encrypt optie tariefafhankelijk. De gratis SSL was echter niet geïntegreerd in de gebruikersinterface van de hosting hier. De gebruiker moet zelf actie ondernemen en zijn gratis SSL-certificaat instellen met behulp van de software genaamd Certbot.
  • Het omzeilen van Let's Encrypt: Vooral de grote hosters zoals 1und1 of Mittwald hebben volledig afgezien van het integreren van Let's Encrypt certificaten. In plaats daarvan bieden ze gratis SSL-certificaten van hun samenwerkingspartners.

Conclusie: Minder zorgen over rechtsonzekerheid voor Duitse site-exploitanten

Of je nu een blog, een bedrijfswebsite of een winkel runt: dankzij de huidige bewegingen in de hostingmarkt beschikken veel gebruikers al over gratis certificaten. Hiermee is het heel eenvoudig om juridische onzekerheden rond de Telemediawet en de verplichtingen voor website-exploitanten weg te nemen. Want ongeacht of het certificaat gratis of tegen betaling is: gevoelige gegevens worden betrouwbaar versleuteld en zo beschermd tegen toegang door derden.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.