Gratis SSL voor iedereen - Hoe Let's Encrypt het internet revolutioneert!

Jan Hornung Laatst bijgewerkt op 23.01.2020
16 Min.
Gratis SSL
Laatst bijgewerkt op 23.01.2020

De lancering van Let's Encrypt in mei 2016 trok veel aandacht in de vakpers. Want de Amerikanen bieden iets gratis aan, waar alle websitebeheerders tot nu toe goed voor moesten betalen: SSL-certificaten. Het voordeel en de waarde van gratis SSL-certificaten kan niet worden overschat.

Let's Encrypt stelt niet alleen alle websitebeheerders wereldwijd in staat om hun aanbiedingen te versleutelen, maar maakt het netwerk ook veiliger, sneller en eerlijker. In dit dossier leggen we duidelijk uit wat Let's Encrypt is, hoe het werkt en hoe je je volgende SSL-certificaat gratis kunt krijgen.

 Na een half jaar op de markt, heeft Let's Encrypt al meer dan 14 miljoen gratis certificaten uitgegeven. Op het eerste gezicht lijkt dit veel, maar vergeleken met de industriereuzen is het nog steeds vrij weinig. Let's Encrypt heeft een marktaandeel van slechts 0,02 procent.

En toch heeft het loutere bestaan van gratis SSL-certificaten al een merkbaar effect op de Duitse hostingmarkt. Veel hosters en SSL-autoriteiten bieden site-exploitanten vandaag al gratis een SSL-certificaat aan. Dit was tot voor kort niet het geval. Toegegeven: Let's Encrypt kan niet alles, maar het biedt alles wat een sitebeheerder nodig heeft voor de overgrote meerderheid van blogs, winkels en bedrijfssites.

Maar naast de versleuteling van uw eigen site en een snelheidsvoordeel, biedt Let's Encrypt nog een belangrijke dienst: de gratis SSL maakt uw site toekomstbestendig. Want vanaf 2017 breken er zware tijden aan voor onversleutelde pagina's. Sinds 2014 is Google iets van plan dat veel sitebeheerders massaal vertrouwen en bezoekers zou kunnen kosten. Pagina's zonder HTTPS zullen vanaf 2017 in de eigen browser als onveilig worden gemarkeerd. Mozilla, de stichting achter de populaire Firefox-browser, heeft ook plannen om onveilige - d.w.z. HTTP - websites systematisch te benadelen.

Maar met slechts een paar klikken kunt u deze zorgen wegnemen dankzij gratis SSL. U kunt uw site veiliger maken met een certificaat, de juridische onzekerheid verminderen en zelfs de prestaties verbeteren. Wij verduidelijken de belangrijkste antwoorden en achtergrondinformatie in dit dossier.

Deel 1 - De grondbeginselen: het sprookje van het premiecertificaat 

Gratis betekent niet dat de certificaten van Let's Encrypt minder veilig zijn. In feite zijn de gratis certificaten anders dan de betaalde. Toch is er geen verschil op het gebied van veiligheid. Daarom is het des te belangrijker te begrijpen waarom Let's Encrypt eigenlijk iedereen een gratis SSL-certificaat aanbiedt en hoe het systeem erachter werkt.

Let's Encrypt is een certificeringsautoriteit voor SSL-certificaten - ook wel Certification Authority (CA) genoemd - die in mei 2015 officieel van start is gegaan. Het initiatief heeft een geautomatiseerd proces voor de afgifte van SSL-certificaten in het leven geroepen. Door deze bijna volledige automatisering kan het project rondkomen met zeer weinig werknemers en kan het de certificaten ook gratis aanbieden. De kosten voor personeel en infrastructuur worden gedekt door giften en sponsoring.

Ongeacht of het certificaat gratis is of tegen betaling, het voert altijd dezelfde taak uit. Het toont de gebruiker dat hij zich op de "juiste" website bevindt en dat het dataverkeer tussen browser en webserver versleuteld is.

Let's Encrypt is gratis, onder andere omdat "HTTPS everywhere" een idee is van de industriereuzen

Maar de meest prangende vraag eerst: Is Let's Encrypt echt gratis? Of beter gezegd: Wat is het addertje? Om een lang verhaal kort te maken: Ja, noch de certificaten, noch de vereiste programma's kosten geld. En: er is geen addertje onder het gras. Vaak liggen er echter geen zuiver economische motieven aan deze vraag ten grondslag, maar eerder de verdere vraag waarom Let's Encrypt gratis is. Dus waarom zou een product waarvoor andere organisaties eerder hebben betaald, plotseling gratis moeten worden aangeboden?

"Wij verstrekken gratis certificaten, omdat de kosten mensen uitsluiten. Onze certificaten zijn beschikbaar in elk land ter wereld, want het veilige web is er voor iedereen." - Let's Encrypt

Let's Encrypt heeft relatief lage personeelskosten, omdat bijna alle processen geautomatiseerd zijn. Daarnaast wordt een deel van het handwerk gedaan door werknemers van andere organisaties zonder winstoogmerk - bijvoorbeeld het onderhoud van het kleine programma dat de certificaten uitgeeft, de zogenaamde Certbot.

Aldus wordt een grote financiële last weggenomen. De vereiste hardware wordt ook grotendeels gedekt door de samenwerking met de Linux Foundation. Alle andere kosten worden gedekt door sponsoring en giften. De officiële sponsoring zou tot 350.000 dollar per jaar oplopen.

Naast industriereuzen zoals Mozilla, Cisco, Chrome en Facebook zijn ook bedrijven uit de WordPress -sector voorstander van het Let's Encrypt-project, zoals Automattic. Het bedrijf van WordPress mede-oprichter Matt Mullenweg heeft zich vooral onderscheiden door zijn standaard integratie van Let's Encrypt certificaten op WordPress .com viel op.

De motivatie, die alle sponsors van het project graag prominent vermelden, is de wens om gelijkheid op het web te creëren. Want men kan ervan uitgaan dat HTTPS in de toekomst een nog belangrijker rankingcriterium zal worden. En als bepaalde websites de certificaten niet kunnen betalen of er geen toegang toe hebben, zullen bepaalde sites - en dus bepaalde mensen en hun WordPress projecten - worden uitgesloten van deelname aan het internet.

Sommige sponsors zullen binnenkort ook technologieën introduceren die niet-versleutelde pagina's markeren, waardoor de druk op exploitanten om certificaten te krijgen, nog zal toenemen. Zo heeft Google in juli 2018 ingevoerd dat alle HTTP-pagina's in de Chrome-browser worden gemarkeerd als "niet veilig".

HTTP-waarschuwing in Google Chrome
Dit is de waarschuwing die Chrome sinds juli 2018 afgeeft op alle HTTP-pagina's.

Een certificaatautoriteit die gratis een SSL-certificaat afgeeft aan elke websitebeheerder past dus perfect in de plannen van Let's Encrypt's grootste sponsors. Dergelijke aanbieders die "HTTPS everywhere" propageren, zijn dus ook in belangrijke mate betrokken bij de totstandbrenging van een vrije SSL-infrastructuur.

Let's Encrypt is niet langer een kleine NGO    

Let's Encrypt zelf is slechts de certificeringsinstantie, d.w.z. de instantie die de certificaten uitgeeft. Het totale organisatieconcept is echter veel groter. De moederorganisatie van Let's Encrypt is de Internet Security Research Group (ISRG), gevestigd in San Francisco. Het bestuur van deze non-profit organisatie bestaat uit wetenschappers, vertegenwoordigers van bedrijven en vertegenwoordigers van stichtingen en andere non-profit organisaties.

Ten minste twee andere organisaties worden ook belangrijk in verband met Let's Encrypt. Een daarvan is de Electronic Frontier Foundation (EFF), die sinds mei 2016 Certbot beheert, de certificeringssoftware voor het maken van Let's Encrypt-certificaten. De andere is de Linux Foundation, die de technische infrastructuur voor Let's Encrypt levert via haar Collaborative Projects programma. In totaal ondersteunen verschillende teams van non-profit organisaties Let's Encrypt en de bijbehorende infrastructuur.

In september 2016 publiceerde de organisatie een gedetailleerd kostenoverzicht voor 2017, waaruit blijkt dat per werknemer ongeveer 200.000 dollar aan werkgeverslasten wordt berekend. Het Let's Encrypt personeel wordt dus behoorlijk goed gecompenseerd. In de VS zijn dergelijke salarisniveaus echter kennelijk noodzakelijk vanwege de concurrentie met de industriereuzen.

Werknemerskosten Lets Encrypt
De begrote kosten voor Let's Encrypt en zijn 10 werknemers voor 2017 bedragen bijna 3 miljoen dollar.
SSL is SSL is SSL - Als het op veiligheid aankomt, zijn er geen premium certificaten

De gratis certificaten van de Amerikanen zijn niet onzekerder dan die van de Duitse aanbieders die er kosten voor in rekening brengen. Het resultaat is dus altijd hetzelfde: de websitebeheerder kan het dataverkeer tussen server en client (d.w.z. de browser) versleutelen en zo het aftappen van persoonlijke gegevens zoals adres, telefoonnummer, maar vooral ook bankgegevens voorkomen.

Als Duitse website-exploitant bent u verplicht uw site te beveiligen tegen het verzamelen van persoonsgegevens zodra u deze verzamelt. Dit betekent: Theoretisch is zelfs een contactformulier een van de relevante gevallen.

Dit geldt natuurlijk des te meer wanneer u de bankgegevens of andere vertrouwelijke gegevens van de klanten opvraagt. Als u betalingssystemen zoals PayPal wilt gebruiken, is een SSL-certificaat ook een basisvereiste. Zonder HTTPS is niet alleen de weg naar e-commerce voor u afgesloten, maar brengt u uzelf ook in gevaar voor gerechtelijke stappen.

Het principe van SSL-codering is voor alle certificaten hetzelfde: met het SSL-certificaat geeft de certificatieautoriteit een soort verzekering af voor de bezoeker van de website. In het geval van domeinvalidatie betekent dit dat het certificaat bevestigt dat de zojuist bezochte website zich ook bevindt op de server die het certificaat voor het bezochte domein bezit.

Gratis SSL domein validatie
Het groene slotje en "Secure" in de adresbalk zijn het typische voorbeeld van een domeinvalidatie. Het certificaat verzekert dat het domein en de bezochte pagina echt bij elkaar horen.

Als u bijvoorbeeld https://raidboxes.de bezoekt, geeft het groene slotje in de adresbalk aan dat de server waarop de pagina zich bevindt, ook de server van de domeineigenaar is. Zo weet je dat je op de juiste pagina surft.

Daarnaast zijn er ook nog de zogenaamde Organization Validated en Extended Validation certificaten. Deze geven aan dat de pagina echt toebehoort aan de organisatie waarvan u de website wilt bezoeken. Dit is met name relevant voor banken of betalingsproviders zoals PayPal of Stripe.

PayPal SSL-certificaat
Vooral betalingsproviders en organisaties die met bijzonder gevoelige gegevens zoals adresinformatie werken, vertrouwen op deze uitgebreide certificaten. Bij dergelijke validaties wordt het desbetreffende bedrijf in de adresbalk weergegeven.

Wanneer u een pagina bezoekt die is versleuteld met een van de gratis Let's Encrypt-certificaten, gebeurt het volgende:

SSL-certificeringsproces
Dit is hoe het SSL-authenticatieproces in wezen werkt. Het maakt niet uit of het een gratis SSL-certificaat is of een betaald certificaat. Twee componenten spelen altijd een rol in dit veiligheidsproces: de certificaatautoriteit en het SSL-certificaat zelf.

Een certificeringsautoriteit (CA) geeft certificaten af en ondertekent ze, d.w.z. bevestigt de authenticiteit ervan. In dit proces worden certificaten opgeslagen op de webserver. Als een klant nu een website op deze webserver bezoekt, kan deze website zich identificeren als de eigenaar van het certificaat.

De browser controleert dan het certificaat dat op de pagina is opgeslagen met de "certificaatboom" die bij de pagina is opgeslagen (zie onderstaande figuur). Het zogenaamde basiscertificaat staat bovenaan de boom. Alle andere certificaten en uiteindelijk ook de gratis certificaten van Let's Encrypt zijn hierop gebaseerd. Als het root-certificaat en alle andere upstream-certificaten geldig zijn, wordt een versleutelde verbinding tot stand gebracht. De certificatie-instanties zijn dan ook de spil van de domeinvalidatie. En vertrouwen is het allerbelangrijkste in deze gevallen.

De certificaten dienen op hun beurt om de communicatiepartners - d.w.z. de webserver en de browser - te authentiseren en om het eigenlijke encryptiemechanisme in werking te stellen. Zij zorgen ervoor dat de webserver en de browser de juiste openbare en particuliere sleutels ontvangen om de beschermde communicatie op gang te brengen.

Eerst verifieert de server zich bij de client als de houder van het certificaat. Vervolgens wordt een asymmetrische versleuteling tot stand gebracht en worden overeenkomstige sleutels uitgewisseld. Deze maken dan symmetrische encryptie mogelijk. Vanaf dit punt is alle communicatie tussen client en server versleuteld.

De sleutels worden gedurende de hele communicatie regelmatig vernieuwd. Zo blijft de gegevensstroom beschermd tegen afluisteren en wijziging, zelfs indien een aanvaller erin slaagt een eenmalige hack uit te voeren. De sterkte van deze encryptie hangt dan af van de webserverconfiguraties van de hoster en niet van het certificaat.

Het centrale element van SSL-certificaten is de vertrouwensketen

De vertrouwensketen is het basisprincipe achter alle klassieke SSL-certificaten. Een organisatie garandeert dat een bepaald certificaat van oorsprong (basiscertificaat) betrouwbaar is. Dat de verklaringen in het certificaat - zoals "Pagina X hoort bij domein Y", of "Domein Y hoort bij provider Z" - correct zijn. Zolang deze oorspronkelijke certificaatautoriteit wordt vertrouwd, werkt het systeem.

De certificaten van alle SSL-aanbieders zijn gewoonlijk gebaseerd op dergelijke root-certificaten. Op die manier winnen de providers aan betrouwbaarheid en kunnen zij op hun beurt hun taak van het ondertekenen van certificaten vervullen. Kleinere aanbieders vertrouwen daarom op de betrouwbaarheid van grotere aanbieders. Of omgekeerd: grotere aanbieders geven hun betrouwbaarheid door aan de kleinere. Zo creëren zij de keten van vertrouwen:

Schema van de vertrouwensketen
Deze illustratie toont het verband tussen het root-certificaat van Let's Encrypt en de gratis SSL-certificaten die later worden uitgegeven.

Als het root-certificaat nu echter corrupt is, breekt de keten en worden de certificaten theoretisch waardeloos. Dit geldt echter voor alle SSL-certificaten, ongeacht of ze gratis of betaald zijn.

De beperkte validatie is het centrale nadeel van de Let's Encrypt certificaten.

SSL-certificaten werken door te garanderen dat de bezochte website toebehoort aan een bepaalde tegenhanger. In de regel is dit het domein, d.w.z. het adres van de website. In een dergelijk geval verzekert het certificaat dat de opgeroepen pagina werkelijk tot het opgeroepen domein behoort. Dit is het laagste valideringsniveau.

Daarnaast is er ook een organisatievalidatie en zijn er uitgebreide validaties. Deze laatste garanderen dat de opgevraagde pagina werkelijk toebehoort aan het bedrijf dat verondersteld wordt achter de pagina te zitten. Dit is van essentieel belang voor banken en betalingsdienstaanbieders.

Let's Encrypt-certificaten bieden alleen domeinvalidatie. Uitgebreide validaties zijn momenteel nog niet mogelijk en zullen in de toekomst waarschijnlijk ook niet worden ingevoerd. Dit komt doordat het authenticatieproces voor organisaties en bedrijven complex is en menselijke arbeid vereist. Let's Encrypt kan zijn certificaten echter alleen gratis aanbieden omdat alle processen zo veel mogelijk geautomatiseerd zijn. Dit betekent dat u geen menselijke arbeid nodig heeft.

Meerdere domeinen kunnen worden gevalideerd met Let's Encrypt-certificaten

Sinds enkele weken laten de gratis SSL certificaten toe om meerdere domeinen onder één certificaat te combineren. Dit maakt de gratis certificaten bruikbaar voor complexere site structuren met meerdere top-level domeinen en subdomeinen.

Conclusie: Niemand hoeft tegenwoordig nog te betalen voor SSL-certificaten

De gratis SSL-certificaten van Let's Encrypt zijn net zo veilig en presteren net zo goed als betaalde certificaten. De Amerikanen hebben dus vooral de Duitse hosting leveranciers onder druk gezet. Als gevolg daarvan hoeft vandaag de dag niemand meer voor SSL te betalen. Het doorslaggevende inzicht van Let's Encrypt is: Gratis HTTPS is mogelijk en belangrijk voor het internet als geheel. En overigens profiteren vooral kleine en middelgrote websitebeheerder van locaties hiervan. Enerzijds besparen ze kosten en anderzijds creëren ze rechtszekerheid voor hun aanbiedingen.

In het tweede deel van dit dossier laten we zien hoe Let's Encrypt er vandaag voor staat en hoe toekomstbestendig de certificaten zijn. Omdat we vaak de vraag hebben gehoord wat er eigenlijk met je eigen site gebeurt als Let's Encrypt zou falen. In deel 3 van dit dossier laten we zien welke concrete voordelen Let's Encrypt biedt op het gebied van prestaties en veiligheid, waar u op moet letten en hoe u zo'n certificaat instelt.

Deel 2 - Let's Encrypt heeft een enorm potentieel, vooral voor kleine en middelgrote websites.

We horen steeds weer de vraag: "Wat gebeurt er als Let's Encrypt faalt?". Met zijn nu meer dan 100 miljoen uitgegeven certificaten heeft Let's Encrypt al een belangrijke mijlpaal bereikt. In de marktvergelijking van certificeringsinstanties wereldwijd is Let's Encrypt al opgeklommen naar de 10e plaats.

Sinds de officiële lancering van Let's Encrypt in mei 2016 zijn de mijlpalen snel bereikt: Twee miljoen, vijf miljoen, 14 miljoen, en onlangs 100 miljoen gratis SSL-certificaten. Dit aantal betekent echter niet dat deze 100 miljoen uitgegeven certificaten actief zijn. Veeleer moet men het eigenlijke getal van verschillende kanten benaderen en het in vraag stellen: Wat zit er eigenlijk achter?

Let's Encrypt Groei Grafiek
Deze grafiek laat zien hoe de groei van Let's Encrypt-certificaten zich sinds 2016 heeft ontwikkeld. In februari 2018 werd de mijlpaal van 50 miljoen actieve certificaten bereikt.
Niet alle van de 100 miljoen uitgegeven certificaten zijn geldig

Het getal 100.000.000 zegt in eerste instantie heel weinig. Omdat het data garbage bevat: Certificaatverlengingen, meervoudige certificeringen en verlopen certificaten worden geteld. Als u ook nog weet dat de vernieuwingscyclus voor Let's Encrypt certificaten 90 dagen is, wordt het getal al snel relatief.

Meer informatief is het aantal momenteel geldige certificaten: Let's Encrypt telt momenteel ongeveer 53 miljoen geldige certificaten. Dit betekent niet dat er werkelijk zoveel sites zijn die met Let's Encrypt zijn versleuteld. Maar het getal geeft al een eerste benaderende waarde.

Let's Encrypt staat momenteel op de 10e plaats in wereldwijde vergelijking

Een andere goede bron om Let's Encrypt goed te beoordelen zijn de gegevens van w3techs.com. De dienst verzamelt de aandelen van bepaalde internettechnologieën op basis van de top 10 miljoen websites van Alexa. Op de desbetreffende websites wordt specifiek gezocht naar bepaalde technologieën. Indien een treffer wordt bereikt, wordt deze in de telling opgenomen. Meer details over de gebruikte steekproef vindt u hier.

Volgens w3techs is Let's Encrypt momenteel nog een dwerg in de gelederen van certificatie-autoriteiten met iets meer dan 0,2% marktaandeel en 0,1 gebruik onder de top websites. Let's Encrypt staat nu in ieder geval op de 10e plaats, wat niet te versmaden is gezien de concurrentie van zwaargewichten in de markt als IdenTrust (45,1% marktaandeel), Comodo (31,5%), DigiCert (11,1%) en GoDaddy (6,9%) in de bovenste gelederen.

Let's Encrypt marktaandeel
Deze grafiek laat zien welk percentage van de top websites Let's Encrypt gebruikt. Let's Encrypt wist zijn marktaandeel te vergroten van 0,02 in 2016 naar 0,2 procent in 2018.

In dit verband moet worden vermeld dat de certificeringsautoriteit IndenTrust de root-certificaten voor Let's Encrypt levert. Het feit dat zij de eerste plaats bezetten is dus een goed teken. Want als de bron van de root-certificaten een hoge mate van betrouwbaarheid geniet, zullen de diensten die op deze root-certificaten zijn gebaseerd ook in een goede positie verkeren.

Marktaandeel Certificatie-instanties SSL
Marktaandeel en absoluut gebruik van de grootste certificeringsinstanties volgens w3techs.
Let's Encrypt-certificaten worden momenteel meer gebruikt door kleine en middelgrote sites

Aangezien geavanceerde validaties met Let's Encrypt momenteel niet bruikbaar zijn, gebruiken vooral kleinere sites de gratis certificaten, die goed zonder geavanceerde validatie kunnen. Uit de gegevens van w3techs blijkt duidelijk dat Let's Encrypt momenteel vooral wordt gebruikt door sites met weinig tot gemiddeld verkeer. De grootste spelers op de markt hebben daarentegen de neiging sites met een gemiddeld verkeer te bedienen. Aangenomen kan worden dat deze sites voornamelijk commercieel aanbod zijn dat afhankelijk is van uitgebreide validatie of niet gemakkelijk kan overschakelen op de gratis SSL-certificaten vanwege hun complexe structuur.

Certification Authority-Lets-Encrypt provider field
Conclusie: Let's Encrypt heeft een groot potentieel, want nog steeds is bijna 17% van de sites onversleuteld

Voor een blik in de toekomst zijn minder de pagina's met, maar meer de pagina's zonder SSL-certificaat interessant. Volgens w3techs is dat 16,9 procent. Hoewel de redenen voor het ontbreken van een SSL-certificaat voor deze sites niet worden uitgesplitst, zullen voor een groot percentage van hen de kosten in combinatie met de technische hindernissen waarschijnlijk de belangrijkste hindernissen zijn.

Zowel de kostenhindernis als de installatieproblemen worden nu grotendeels weggewerkt door Let's Encrypt. En als de hostingproviders de certificaten dienovereenkomstig in hun aanbod integreren, wordt het nog gemakkelijker. Omdat meestal 1-click oplossingen dan het resultaat zijn. Hoe meer bekendheid het Californische initiatief krijgt, hoe kleiner het aantal sites zou moeten worden dat geen SSL-certificaat heeft.

Tot nu toe lijkt het erop dat Let's Encrypt de overgang naar exponentiële groei nog niet heeft weten te realiseren. Dit zou kunnen veranderen in 2018, wanneer Chrome begint met het taggen van webpagina's zonder HTTPS. Het gedrag van andere browserfabrikanten op dit gebied zal ook van invloed zijn op de verdere ontwikkeling. De ontwikkeling die Let's Encrypt in gang heeft gezet, is echter in ieder geval toe te juichen, zowel voor de websitebeheerder als voor de hostingproviders.

Het zijn ook de providers die bepalen hoe gemakkelijk of ingewikkeld het is om gratis SSL in te stellen. In het laatste deel van dit dossier tonen wij u de voordelen van de gratis SSL-certificaten van Let's Encrypt en hoe u er een kunt krijgen.

Deel 3 - Toegevoegde waarde van SSL Certificaten en Let's Encrypt Setup

Natuurlijk is het veiligheidsaspect het belangrijkste voordeel van HTTPS. Maar op de juiste infrastructuur levert encryptie zelfs een prestatievoordeel op. U kunt uw gratis SSL-certificaat meestal via uw hoster bestellen. Of je hebt een idee en kunt het zelf opzetten.

Een SSL-certificaat converteert de eigen pagina van onversleuteld HTTP naar het beveiligde HTTPS. De gegevens die worden uitgewisseld tussen de browser en de webserver zijn versleuteld. Een SSL-certificaat brengt dus in totaal drie centrale voordelen met zich mee: (1) Versleuteling van persoonsgegevens. (2) Rechtszekerheid voor de websitebeheerder. (3) Kortere laadtijd dankzij HTTP/2.

Encryptie van de communicatie tussen browser en webserver

Het belangrijkste voordeel van een SSL-certificaat is dat de communicatie tussen de webserver en de browser wordt versleuteld. Het authenticatieproces komt vóór de encryptie en zorgt ervoor dat de certificaten aan een tweede voordeel voldoen, namelijk de identificatie van de certificaathouder.

Beide scheppen vertrouwen bij de gebruiker. De gebruiker weet niet alleen dat hij op de juiste website is, hij weet ook dat niemand zomaar de gegevens kan lezen die hij op de pagina invoert. Bijvoorbeeld adresgegevens of bankgegevens.

Dit meer vertrouwen kan gunstig zijn voor uw eigen online business. In de meeste gevallen is een SSL-certificaat echter toch verplicht.

Indien persoonsgegevens worden opgevraagd, moeten deze worden beschermd

Ongeacht de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking is getreden, is het beveiligen van gevoelige gegevens in Duitsland al jaren verplicht. Tenminste in theorie. Omdat volgens §13 van de Telemedia Wet van toepassing is:

dienstverleners "[...] ervoor [zorgen], voor zover dit technisch haalbaar en economisch redelijk is, dat [...] de gebruikte technische voorzieningen [...] door middel van technische en organisatorische maatregelen worden beveiligd tegen inbreuken op persoonsgegevens [...], binnen het bestek van hun respectieve verantwoordelijkheden voor op commerciële basis aangeboden telemedia".

Vooral de onduidelijke formulering heeft bij de Duitse websitebeheerders voor veel onzekerheid gezorgd: Is je eigen blog zakelijk? Vanaf wanneer kan het als zodanig worden geclassificeerd? Wat is er technisch mogelijk? Wat is economisch gezien redelijk? Sommige van deze en andere vragen zijn al uitvoerig besproken. Zonder duidelijk resultaat.

De teneur lijkt echter te zijn: SSL-versleuteling is niet verplicht. Maar alleen een back-up van de gegevens. Dit hoeft niet via een SSL-certificaat te gebeuren. Encryptie van de communicatie tussen browser en webserver is echter een zeer goede en betrekkelijk eenvoudige manier om de gevoelige gegevens van de bezoekers van de site te beschermen.

Voor websitebeheerder betekent dit dat een SSL-certificaat zeer snel veel rechtsonzekerheid wegneemt en het risico om gewaarschuwd te worden enorm verkleint. Het maakt niet uit of het certificaat gratis of tegen betaling is. Het is de encryptie zelf die er toe doet.

HTTPS een performance killer? Een misvatting - als de hoster de juiste voorzorgsmaatregelen heeft genomen

Telkens weer uiten site-exploitanten hun bezorgdheid over de vraag of de laadtijd van de pagina's te lijden heeft onder de encryptie. Deze zijn meer dan ongegrond. Niet alleen is het verificatieproces niet bijzonder prestatiebelastend, maar SSL maakt zelfs je eigen pagina sneller. Tenminste als de zogenaamde HTTP/2-standaard op de webserver is ingesteld.

Dit zorgt er onder meer dankzij het parallel laden van datapakketten en een geoptimaliseerde communicatie tussen browser en server - de zogenaamde server push - voor dat de pagina sneller wordt geladen.

Desupport van uw hostingprovider kan u vertellen of HTTP/2 actief is.

Afhankelijk van de hoster kan het instellen van een gratis SSL-certificaat eenvoudig of complex zijn.

In principe kan iedere gebruiker die de juiste toegangsrechten tot de server heeft, Let's Encrypt relatief eenvoudig zelf instellen. In de overgrote meerderheid van de gevallen is dit echter niet eens nodig. Want veel hostingproviders hebben inmiddels navenant handige oplossingen in hun aanbod geïntegreerd.

In principe kan een onderscheid worden gemaakt tussen:

Providers die Let's Encrypt toestaan, maar waar je het zelf moet instellen. Providers die Let's Encrypt zelf niet toestaan, maar wel gratis certificaten aanbieden en providers die Let's Encrypt in hun gebruikersinterface hebben geïntegreerd.

De tweede groep omvat enkele grote nederlandse hosters. Hoewel zij Let's Encrypt niet hebben geïntegreerd, hebben zij sinds de start van het initiatief het voorbeeld gevolgd en bieden zij nu gratis SSL aan van hun samenwerkingspartners. In de meeste gevallen zijn de certificaten in de tarieven inbegrepen. Hoe u ze precies activeert, kan echter van provider tot provider verschillen.

Optimaal hebben aanbieders gratis SSL geïntegreerd in hun gebruikersinterfaces en wordt de installatie gemakkelijk automatisch gedaan. Een paar providers hebben dit gedaan met de Let's Encrypt certificaten. De functie kan er dan bijvoorbeeld uitzien als de onze:

SSL inschakelen RAIDBOXES
Op RAIDBOXES kunt u SSL gratis in- en uitschakelen met slechts één klik.

Met een eenvoudige klik kan SSL dan worden geactiveerd en, indien nodig, weer gedeactiveerd. Bij sommige providers wordt SSL ook gewoon automatisch geactiveerd.

Conclusie: SSL brengt veel voordelen met zich mee en is eigenlijk overal gratis verkrijgbaar.

In principe kan elke websitebeheerder op een of andere manier gratis gebruik maken van een SSL-certificaat. In de meeste gevallen is de opstelling ook beperkt tot één of enkele klikken. Daarom kunnen wij je alleen maar adviseren om jouw eigen hosting aanbod snel af te handelen en je eigen site zo snel mogelijk toekomstbestendig te maken. Want naast Google heeft Mozilla ook aangekondigd dat onversleutelde pagina's dienovereenkomstig zullen worden benadeeld. Met een beetje voorbereiding hoeft geen enkele websitebeheerder zich echter zorgen te maken.

RAIDBOXER van het eerste uur en Head of Support. Bij Bar- en WordCamps praat hij het liefst over PageSpeed en website-performance. De beste manier om hem om te kopen is met een espresso - of Beierse Brezel.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.