Gratis SSL

Gratis SSL voor iedereen – Hoe Let's Encrypt het internet revolutioneert!

De lancering van Let's Encrypt in Mai 2016 trok veel aandacht in de vakpers. De Amerikanen bieden namelijk iets gratis aan waarvoor alle websitebeheerders voorheen goed geld moesten betalen: SSL-certificaten. Het voordeel en de waarde van gratis SSL-certificaten kan niet worden overschat.

Let's Encrypt stelt niet alleen alle sitebeheerders wereldwijd in staat hun diensten te versleutelen, maar maakt het web ook veiliger, sneller en eerlijker. In dit dossier leggen we duidelijk uit wat Let's Encrypt is, hoe het werkt en hoe je je volgende SSL-certificaat gratis kunt krijgen.

 Na een half jaar op de markt, heeft Let's Encrypt al meer dan 14 miljoen gratis certificaten uitgegeven. Op het eerste gezicht lijkt dit veel, maar vergeleken met de industriereuzen is het nog steeds vrij weinig. Let's Encrypt heeft een marktaandeel van slechts 0,02 procent.

En toch heeft het loutere bestaan van gratis SSL-certificaten al een merkbaar effect op de Duitse hostingmarkt. Veel hosters en SSL-autoriteiten bieden site-exploitanten vandaag al gratis een SSL-certificaat aan. Dit was tot voor kort niet het geval. Toegegeven: Let's Encrypt kan niet alles, maar het biedt alles wat een sitebeheerder nodig heeft voor de overgrote meerderheid van blogs, winkels en bedrijfssites.

Maar naast de versleuteling van uw eigen site en een snelheidsvoordeel, biedt Let's Encrypt nog een belangrijke dienst: de gratis SSL maakt uw site toekomstbestendig. Want vanaf 2017 breken er zware tijden aan voor onversleutelde pagina's. Sinds 2014 is Google iets van plan dat veel sitebeheerders massaal vertrouwen en bezoekers zou kunnen kosten. Pagina's zonder HTTPS zullen vanaf 2017 in de eigen browser als onveilig worden gemarkeerd. Mozilla, de stichting achter de populaire Firefox-browser, heeft ook plannen om onveilige - d.w.z. HTTP - websites systematisch te benadelen.

Maar met een paar klikken kun je deze zorgen wegnemen dankzij gratis SSL. Je kunt je site veiliger maken met een certificaat, juridische onzekerheid verminderen en zelfs een prestatieboost geven. We verduidelijken de belangrijkste antwoorden en achtergrondinformatie in dit dossier.

Deel 1 - De basis: het sprookje van het premiecertificaat 

Gratis betekent niet dat de certificaten van Let's Encrypt minder veilig zijn. In feite zijn de gratis certificaten anders dan de betaalde. Toch is er geen verschil op het gebied van veiligheid. Daarom is het des te belangrijker te begrijpen waarom Let's Encrypt eigenlijk iedereen een gratis SSL-certificaat aanbiedt en hoe het systeem erachter werkt.

Let's Encrypt is een certificeringsautoriteit voor SSL-certificaten - ook wel Certification Authority (CA) genoemd - die in mei 2015 officieel van start is gegaan. Het initiatief heeft een geautomatiseerd proces voor de afgifte van SSL-certificaten in het leven geroepen. Door deze bijna volledige automatisering kan het project rondkomen met zeer weinig werknemers en kan het de certificaten ook gratis aanbieden. De kosten voor personeel en infrastructuur worden gedekt door giften en sponsoring.

Ongeacht of het certificaat gratis is of tegen betaling, het voert altijd dezelfde taak uit. Het toont de gebruiker dat hij zich op de "juiste" website bevindt en dat het dataverkeer tussen browser en webserver versleuteld is.

Let's Encrypt is gratis, onder andere omdat "HTTPS overal" een idee is van de industriegiganten.

Maar de meest prangende vraag eerst: Is Let's Encrypt echt gratis? Of beter gezegd: Wat is het addertje? Om een lang verhaal kort te maken: Ja, noch de certificaten, noch de vereiste programma's kosten geld. En: er is geen addertje onder het gras. Vaak liggen er echter geen zuiver economische motieven aan deze vraag ten grondslag, maar eerder de verdere vraag waarom Let's Encrypt gratis is. Dus waarom zou een product waarvoor andere organisaties eerder hebben betaald, plotseling gratis moeten worden aangeboden?

"Wij verstrekken gratis certificaten, want kosten sluiten mensen uit. Onze certificaten zijn beschikbaar in elk land ter wereld, want het veilige web is voor iedereen." - Let's Encrypt

Let's Encrypt heeft relatief lage personeelskosten, omdat bijna alle processen geautomatiseerd zijn. Daarnaast wordt een deel van het handwerk gedaan door werknemers van andere organisaties zonder winstoogmerk - bijvoorbeeld het onderhoud van het kleine programma dat de certificaten uitgeeft, de zogenaamde Certbot.

Aldus wordt een grote financiële last weggenomen. De vereiste hardware wordt ook grotendeels gedekt door de samenwerking met de Linux Foundation. Alle andere kosten worden gedekt door sponsoring en giften. De officiële sponsoring zou tot 350.000 dollar per jaar oplopen.

Naast industriereuzen zoals Mozilla, Cisco, Chrome en Facebook zijn ook bedrijven uit de WordPress -sector voorstander van het Let's Encrypt-project, zoals Automattic. Het bedrijf van WordPress mede-oprichter Matt Mullenweg heeft zich vooral onderscheiden door zijn standaard integratie van Let's Encrypt certificaten op WordPress .com viel op.

De motivatie, die alle sponsors van het project graag prominent vermelden, is de wens om gelijkheid op het web te creëren. Want men kan ervan uitgaan dat HTTPS in de toekomst een nog belangrijker rankingcriterium zal worden. En als bepaalde websites de certificaten niet kunnen betalen of er geen toegang toe hebben, zullen bepaalde sites - en dus bepaalde mensen en hun WordPress projecten - worden uitgesloten van deelname aan het internet.

Sommige sponsors zullen binnenkort ook technologieën introduceren die onversleutelde pagina's markeren, waardoor de druk op exploitanten om certificaten te krijgen toeneemt. Google heeft bijvoorbeeld in juli 2018 ingevoerd dat alle HTTP-pagina's in de Chrome-browser worden gemarkeerd als "niet veilig".

HTTP-waarschuwing in Google Chrome
Dit is de waarschuwing die Chrome sinds juli 2018 afgeeft op alle HTTP-pagina's.

Een certificaatautoriteit die gratis een SSL-certificaat afgeeft aan elke websitebeheerder past dus perfect in de plannen van Let's Encrypt's grootste sponsors. Dergelijke aanbieders die "HTTPS everywhere" propageren, zijn dus ook in belangrijke mate betrokken bij de totstandbrenging van een vrije SSL-infrastructuur.

Let's Encrypt is niet langer een kleine NGO    

Let's Encrypt zelf is slechts de certificeringsautoriteit, d.w.z. de autoriteit die de certificaten uitgeeft. De totale organisatieconstructie is echter veel groter. De moederorganisatie van Let's Encrypt is de Internet Security Research Group (ISRG) in San Francisco. Het bestuur van deze non-profit organisatie bestaat uit wetenschappers, vertegenwoordigers van bedrijven en vertegenwoordigers van stichtingen en andere non-profit organisaties.

Ten minste twee andere organisaties worden ook belangrijk in verband met Let's Encrypt. Een daarvan is de Electronic Frontier Foundation (EFF), die sinds mei 2016 Certbot beheert, de certificeringssoftware voor het maken van Let's Encrypt-certificaten. De andere is de Linux Foundation, die de technische infrastructuur voor Let's Encrypt levert via haar Collaborative Projects programma. In totaal ondersteunen verschillende teams van non-profit organisaties Let's Encrypt en de bijbehorende infrastructuur.

In september 2016 publiceerde de organisatie een gedetailleerd kostenoverzicht voor 2017, waaruit blijkt dat per werknemer ongeveer 200.000 dollar aan werkgeverslasten wordt berekend. Het Let's Encrypt personeel wordt dus behoorlijk goed gecompenseerd. In de VS zijn dergelijke salarisniveaus echter kennelijk noodzakelijk vanwege de concurrentie met de industriereuzen.

Werknemerskosten Lets Encrypt
De begrote kosten voor Let's Encrypt en zijn 10 werknemers voor 2017 bedragen bijna 3 miljoen dollar.
SSL is SSL is SSL - Als het om veiligheid gaat, zijn er geen eersteklas certificaten

De gratis certificaten van de VS-Amerikanen zijn niet onveiliger dan die van betaalde Duitse aanbieders. Het resultaat is altijd hetzelfde: de sitebeheerder kan het gegevensverkeer tussen server en client (d.w.z. de browser) versleutelen en zo voorkomen dat persoonlijke gegevens zoals het adres, het telefoonnummer, maar vooral bankgegevens worden afgeluisterd.

Als Duitse website-exploitant bent u verplicht uw site te beveiligen tegen het verzamelen van persoonsgegevens zodra u deze verzamelt. Dit betekent: Theoretisch is zelfs een contactformulier een van de relevante gevallen.

Dit geldt natuurlijk des te meer wanneer u de bankgegevens of andere vertrouwelijke gegevens van de klanten opvraagt. Als u betalingssystemen zoals PayPal wilt gebruiken, is een SSL-certificaat ook een basisvereiste. Zonder HTTPS is niet alleen de weg naar e-commerce voor u afgesloten, maar brengt u uzelf ook in gevaar voor gerechtelijke stappen.

Het principe van SSL-encryptie is voor alle certificaten hetzelfde: met het SSL-certificaat geeft de certificeringsautoriteit een soort verzekering af voor de bezoeker van de website. In het geval van domeinvalidatie betekent dit dat het certificaat bevestigt dat de zojuist bezochte website zich ook bevindt op de server die het certificaat voor het bezochte domein bezit.

Gratis SSL domein validatie
Het groene slotje en "Secure" in de adresregel zijn een typisch voorbeeld van domeinvalidatie. Het certificaat zorgt ervoor dat het domein en de bezochte pagina echt bij elkaar horen.

Als je bijvoorbeeld https://raidboxes.de bezoekt, geeft het groene slotje in de adresbalk aan dat de server waarop de pagina staat ook de server van de domeineigenaar is. Zo weet je dat je op de juiste pagina surft.

Daarnaast zijn er ook nog de zogenaamde Organization Validated en Extended Validation certificaten. Deze geven aan dat de pagina echt toebehoort aan de organisatie waarvan u de website wilt bezoeken. Dit is met name relevant voor banken of betalingsproviders zoals PayPal of Stripe.

PayPal SSL Certificaat
Vooral betalingsproviders en organisaties die met bijzonder gevoelige gegevens zoals adresinformatie werken, vertrouwen op deze uitgebreide certificaten. Bij dergelijke validaties wordt het desbetreffende bedrijf in de adresbalk weergegeven.

Als je een pagina bezoekt die is versleuteld door een van de gratis Let's Encrypt certificaten, gebeurt het volgende:

SSL-certificeringsproces
Dit is hoe het SSL-authenticatieproces in wezen werkt. Het maakt niet uit of het een gratis SSL-certificaat is of een betaald certificaat. Twee componenten spelen altijd een rol in dit veiligheidsproces: de certificaatautoriteit en het SSL-certificaat zelf.

Een certificeringsautoriteit (CA) geeft certificaten af en ondertekent ze, d.w.z. bevestigt de authenticiteit ervan. In dit proces worden certificaten opgeslagen op de webserver. Als een klant nu een website op deze webserver bezoekt, kan deze website zich identificeren als de eigenaar van het certificaat.

De browser controleert dan het certificaat dat op de pagina is opgeslagen met de "certificaatboom" die bij de pagina is opgeslagen (zie onderstaande figuur). Het zogenaamde basiscertificaat staat bovenaan de boom. Alle andere certificaten en uiteindelijk ook de gratis certificaten van Let's Encrypt zijn hierop gebaseerd. Als het root-certificaat en alle andere upstream-certificaten geldig zijn, wordt een versleutelde verbinding tot stand gebracht. De certificatie-instanties zijn dan ook de spil van de domeinvalidatie. En vertrouwen is het allerbelangrijkste in deze gevallen.

De certificaten dienen op hun beurt om de communicatiepartners – d.w.z. de webserver en de browser – te authentiseren en om het eigenlijke encryptiemechanisme in werking te stellen. Zij zorgen ervoor dat de webserver en de browser de juiste openbare en particuliere sleutels ontvangen om de beschermde communicatie op gang te brengen.

Eerst authenticeert de server zich bij de cliënt als certificaathouder. Vervolgens wordt een asymmetrische versleuteling tot stand gebracht en worden de bijbehorende sleutels uitgewisseld. Deze maken dan symmetrische versleuteling mogelijk. Vanaf dit punt is alle communicatie tussen client en server versleuteld.

De sleutels worden gedurende de hele communicatie regelmatig vernieuwd. Zo blijft de gegevensstroom beschermd tegen afluisteren en wijzigen, zelfs als een aanvaller erin zou slagen een eenmalige hack uit te voeren. De sterkte van deze versleuteling hangt dan af van de webserverconfiguraties van de hoster en niet van het certificaat.

Het centrale element van SSL-certificaten is de vertrouwensketen

De vertrouwensketen is het fundamentele principe achter alle klassieke SSL-certificaten. Een organisatie garandeert dat een bepaald certificaat van oorsprong (root-certificaat) betrouwbaar is. Dat de verklaringen in het certificaat - zoals "Pagina X behoort tot Domein Y", of "Domein Y behoort tot Aanbieder Z" - correct zijn. Zolang deze oorspronkelijke certificeringsautoriteit wordt vertrouwd, werkt het systeem.

De certificaten van alle SSL-aanbieders zijn meestal gebaseerd op zulke root-certificaten. Op deze manier winnen de providers aan betrouwbaarheid en kunnen ze op hun beurt hun taak vervullen om certificaten te ondertekenen. Kleinere aanbieders vertrouwen daarom op de betrouwbaarheid van grotere aanbieders. Of andersom: grotere aanbieders geven hun betrouwbaarheid door aan de kleinere. Zo creëren ze de keten van vertrouwen:

Diagram van de vertrouwensketen
Deze illustratie toont de verbinding tussen het root-certificaat van Let's Encrypt en de later uitgegeven gratis SSL-certificaten.

Als het root-certificaat nu echter corrupt is, breekt de keten en worden de certificaten theoretisch waardeloos. Dit geldt echter voor alle SSL-certificaten, ongeacht of ze gratis of betaald zijn.

De beperkte validatie is het centrale nadeel van de Let's Encrypt certificaten.

SSL-certificaten werken door te garanderen dat de bezochte website toebehoort aan een bepaalde tegenhanger. In de regel is dit het domein, d.w.z. het adres van de website. In een dergelijk geval verzekert het certificaat dat de opgeroepen pagina werkelijk tot het opgeroepen domein behoort. Dit is het laagste valideringsniveau.

Daarnaast is er ook een organisatievalidatie en zijn er uitgebreide validaties. Deze laatste garanderen dat de opgevraagde pagina werkelijk toebehoort aan het bedrijf dat verondersteld wordt achter de pagina te zitten. Dit is van essentieel belang voor banken en betalingsdienstaanbieders.

Let's Encrypt-certificaten bieden alleen domeinvalidatie. Uitgebreide validaties zijn momenteel nog niet mogelijk en zullen in de toekomst waarschijnlijk ook niet worden ingevoerd. Dit komt doordat het authenticatieproces voor organisaties en bedrijven complex is en menselijke arbeid vereist. Let's Encrypt kan zijn certificaten echter alleen gratis aanbieden omdat alle processen zo veel mogelijk geautomatiseerd zijn. Dit betekent dat u geen menselijke arbeid nodig heeft.

Meerdere domeinen kunnen worden gevalideerd met Let's Encrypt-certificaten

Sinds enkele weken laten de gratis SSL certificaten toe om meerdere domeinen onder één certificaat te combineren. Dit maakt de gratis certificaten bruikbaar voor complexere site structuren met meerdere top-level domeinen en subdomeinen.

Conclusie: Niemand hoeft tegenwoordig te betalen voor SSL-certificaten

De gratis SSL-certificaten van Let's Encrypt zijn net zo veilig en presteren vergelijkbaar met betaalde certificaten. De Amerikanen hebben dus vooral Duitse hostingproviders onder druk gezet. Dit heeft ertoe geleid dat tegenwoordig niemand meer hoeft te betalen voor SSL. Het doorslaggevende inzicht van Let's Encrypt is: gratis HTTPS is mogelijk en belangrijk voor het internet als geheel. En daar profiteren overigens vooral kleine en middelgrote websitebeheerders van. Enerzijds besparen ze kosten en anderzijds scheppen ze rechtszekerheid voor hun aanbiedingen.

In het tweede deel van dit dossier laten we zien hoe Let's Encrypt er vandaag voor staat en hoe toekomstbestendig de certificaten zijn. Omdat we vaak de vraag hebben gehoord wat er eigenlijk met je eigen site gebeurt als Let's Encrypt zou falen. In deel 3 van dit dossier laten we zien welke concrete voordelen Let's Encrypt biedt op het gebied van prestaties en veiligheid, waar u op moet letten en hoe u zo'n certificaat instelt.

Deel 2 - Let's Encrypt heeft een enorm potentieel, vooral voor kleine en middelgrote websites.

We horen steeds weer de vraag: "Wat gebeurt er als Let's Encrypt faalt?". Met zijn nu meer dan 100 miljoen uitgegeven certificaten heeft Let's Encrypt al een belangrijke mijlpaal bereikt. In de marktvergelijking van certificeringsinstanties wereldwijd is Let's Encrypt al opgeklommen naar de 10e plaats.

Sinds de officiële lancering van Let's Encrypt in mei 2016 zijn de mijlpalen snel bereikt: Twee miljoen, vijf miljoen, 14 miljoen, en onlangs 100 miljoen gratis SSL-certificaten. Dit aantal betekent echter niet dat deze 100 miljoen uitgegeven certificaten actief zijn. Veeleer moet men het eigenlijke getal van verschillende kanten benaderen en het in vraag stellen: Wat zit er eigenlijk achter?

Let's Encrypt Groei Grafiek
Deze grafiek laat zien hoe de groei van Let's Encrypt-certificaten zich sinds 2016 heeft ontwikkeld. In februari 2018 werd de mijlpaal van 50 miljoen actieve certificaten bereikt.
Niet alle van de 100 miljoen uitgegeven certificaten zijn geldig

Het getal 100.000.000 zegt in eerste instantie heel weinig. Omdat het data garbage bevat: Certificaatverlengingen, meervoudige certificeringen en verlopen certificaten worden geteld. Als u ook nog weet dat de vernieuwingscyclus voor Let's Encrypt certificaten 90 dagen is, wordt het getal al snel relatief.

Meer informatief is het aantal momenteel geldige certificaten: Let's Encrypt telt momenteel ongeveer 53 miljoen geldige certificaten. Dit betekent niet dat er werkelijk zoveel sites zijn die met Let's Encrypt zijn versleuteld. Maar het getal geeft al een eerste benaderende waarde.

Let's Encrypt staat momenteel op de 10e plaats in wereldwijde vergelijking

Een andere goede bron om Let's Encrypt goed te beoordelen zijn de gegevens van w3techs.com. De dienst verzamelt de aandelen van bepaalde internettechnologieën op basis van de top 10 miljoen websites van Alexa. Op de desbetreffende websites wordt specifiek gezocht naar bepaalde technologieën. Indien een treffer wordt bereikt, wordt deze in de telling opgenomen. Meer details over de gebruikte steekproef vindt u hier.

Volgens w3techs is Let's Encrypt momenteel nog een dwerg in de gelederen van certificatie-autoriteiten met iets meer dan 0,2% marktaandeel en 0,1 gebruik onder de top websites. Let's Encrypt staat nu in ieder geval op de 10e plaats, wat niet te versmaden is gezien de concurrentie van zwaargewichten in de markt als IdenTrust (45,1% marktaandeel), Comodo (31,5%), DigiCert (11,1%) en GoDaddy (6,9%) in de bovenste gelederen.

Let's Encrypt marktaandeel
Deze grafiek laat zien welk percentage van de top websites Let's Encrypt gebruikt. Let's Encrypt wist zijn marktaandeel te vergroten van 0,02 in 2016 naar 0,2 procent in 2018.

In dit verband moet worden vermeld dat de certificeringsautoriteit IndenTrust de root-certificaten voor Let's Encrypt levert. Het feit dat zij de eerste plaats bezetten is dus een goed teken. Want als de bron van de root-certificaten een hoge mate van betrouwbaarheid geniet, zullen de diensten die op deze root-certificaten zijn gebaseerd ook in een goede positie verkeren.

Marktaandeel Certificeringsautoriteiten SSL
Marktaandeel en absoluut gebruik van de grootste certificeringsinstanties volgens w3techs.
Let's Encrypt-certificaten worden momenteel meer gebruikt door kleine en middelgrote sites

Aangezien geavanceerde validaties met Let's Encrypt momenteel niet bruikbaar zijn, gebruiken vooral kleinere sites de gratis certificaten, die goed zonder geavanceerde validatie kunnen. Uit de gegevens van w3techs blijkt duidelijk dat Let's Encrypt momenteel vooral wordt gebruikt door sites met weinig tot gemiddeld verkeer. De grootste spelers op de markt hebben daarentegen de neiging sites met een gemiddeld verkeer te bedienen. Aangenomen kan worden dat deze sites voornamelijk commercieel aanbod zijn dat afhankelijk is van uitgebreide validatie of niet gemakkelijk kan overschakelen op de gratis SSL-certificaten vanwege hun complexe structuur.

Certificeringsautoriteit-Lets-Encrypt provider veld
Conclusie: Let's Encrypt heeft een groot potentieel, want nog steeds is bijna 17% van de sites onversleuteld

Voor een blik in de toekomst zijn minder de pagina's met, maar meer de pagina's zonder SSL-certificaat interessant. Volgens w3techs is dat 16,9 procent. Hoewel de redenen voor het ontbreken van een SSL-certificaat voor deze sites niet worden uitgesplitst, zullen voor een groot percentage van hen de kosten in combinatie met de technische hindernissen waarschijnlijk de belangrijkste hindernissen zijn.

Zowel de kostenhindernis als de installatieproblemen worden nu grotendeels weggewerkt door Let's Encrypt. En als de hostingproviders de certificaten dienovereenkomstig in hun aanbod integreren, wordt het nog gemakkelijker. Omdat meestal 1-click oplossingen dan het resultaat zijn. Hoe meer bekendheid het Californische initiatief krijgt, hoe kleiner het aantal sites zou moeten worden dat geen SSL-certificaat heeft.

Tot nu toe lijkt het erop dat Let's Encrypt de overgang naar exponentiële groei nog niet voor elkaar heeft gekregen. Dit zou in 2018 kunnen veranderen, wanneer Chrome websites zonder HTTPS begint te markeren. Het gedrag van andere browserfabrikanten in deze kwestie zal ook van invloed zijn op de verdere ontwikkeling. De ontwikkeling die Let's Encrypt in gang heeft gezet is echter hoe dan ook toe te juichen, zowel voor de sitebeheerders als voor de hosting providers.

Het zijn ook de providers die bepalen hoe gemakkelijk of ingewikkeld het is om gratis SSL in te stellen. In het laatste deel van dit dossier tonen wij u de voordelen van de gratis SSL-certificaten van Let's Encrypt en hoe u er een kunt krijgen.

Deel 3 - Toegevoegde waarde van SSL Certificaten en Let's Encrypt Setup

Natuurlijk is het veiligheidsaspect het belangrijkste voordeel van HTTPS. Maar op de juiste infrastructuur levert encryptie zelfs een prestatievoordeel op. U kunt uw gratis SSL-certificaat meestal via uw hoster bestellen. Of je hebt een idee en kunt het zelf opzetten.

Een SSL-certificaat schakelt je eigen pagina over van het onversleutelde HTTP naar het beveiligde HTTPS. Daarbij worden de tussen de browser en de webserver uitgewisselde gegevens versleuteld. Een SSL-certificaat biedt dus in totaal drie centrale voordelen: (1) Encryptie van persoonlijke gegevens. (2) Rechtszekerheid voor de beheerder van de website. (3) Kortere laadtijd dankzij HTTP/2.

Encryptie van de communicatie tussen browser en webserver

Het belangrijkste voordeel van een SSL-certificaat is dat de communicatie tussen de webserver en de browser wordt versleuteld. Het authenticatieproces komt vóór de encryptie en zorgt ervoor dat de certificaten aan een tweede voordeel voldoen, namelijk de identificatie van de certificaathouder.

Beide scheppen vertrouwen bij de gebruiker. De gebruiker weet niet alleen dat hij op de juiste website is, hij weet ook dat niemand zomaar de gegevens kan lezen die hij op de pagina invoert. Bijvoorbeeld adresgegevens of bankgegevens.

Dit meer vertrouwen kan gunstig zijn voor uw eigen online business. In de meeste gevallen is een SSL-certificaat echter toch verplicht.

Als persoonlijke gegevens worden opgevraagd, dan moeten deze worden beschermd

Ongeacht de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking is getreden, is het beveiligen van gevoelige gegevens in Duitsland al jaren verplicht. Tenminste in theorie. Omdat volgens §13 van de Telemedia Wet van toepassing is:

dienstverleners "[...] ervoor [zorgen], voor zover dit technisch haalbaar en economisch redelijk is, dat [...] de gebruikte technische voorzieningen [...] door middel van technische en organisatorische maatregelen worden beveiligd tegen inbreuken op persoonsgegevens [...], binnen het bestek van hun respectieve verantwoordelijkheden voor op commerciële basis aangeboden telemedia".

Vooral de onduidelijke formulering heeft veel onzekerheid veroorzaakt bij Duitse site-exploitanten: Is de eigen blog zakelijk? Op welk punt kan het als zodanig geclassificeerd worden? Wat is technisch mogelijk? Wat is economisch redelijk? Deze en andere vragen zijn uitvoerig besproken. Zonder duidelijk resultaat.

De teneur lijkt echter te zijn: SSL-versleuteling is niet verplicht. Maar alleen een back-up van de gegevens. Dit hoeft niet via een SSL-certificaat te gebeuren. Encryptie van de communicatie tussen browser en webserver is echter een zeer goede en betrekkelijk eenvoudige manier om de gevoelige gegevens van de bezoekers van de site te beschermen.

Voor websitebeheerders betekent dit dat een SSL-certificaat al heel snel een hoop juridische onzekerheid wegneemt en het risico op waarschuwingen enorm vermindert. Het maakt geen verschil of het certificaat gratis of tegen betaling is. Waar het om gaat is de versleuteling zelf.

HTTPS een prestatie-killer? Een misvatting - als de hoster de juiste voorzorgsmaatregelen heeft genomen

Telkens weer uiten site-exploitanten hun bezorgdheid over de vraag of de laadtijd van de pagina's te lijden heeft onder de encryptie. Deze zijn meer dan ongegrond. Niet alleen is het verificatieproces niet bijzonder prestatiebelastend, maar SSL maakt zelfs je eigen pagina sneller. Tenminste als de zogenaamde HTTP/2-standaard op de webserver is ingesteld.

Dit zorgt er onder meer dankzij het parallel laden van datapakketten en een geoptimaliseerde communicatie tussen browser en server - de zogenaamde server push - voor dat de pagina sneller wordt geladen.

De ondersteuning van je hostingprovider kan je vertellen of HTTP/2 actief is.

Afhankelijk van de hoster kan het instellen van een gratis SSL-certificaat eenvoudig of complex zijn.

In principe kan iedere gebruiker die de juiste toegangsrechten tot de server heeft, Let's Encrypt relatief eenvoudig zelf instellen. In de overgrote meerderheid van de gevallen is dit echter niet eens nodig. Want veel hostingproviders hebben inmiddels navenant handige oplossingen in hun aanbod geïntegreerd.

In principe kan een onderscheid worden gemaakt tussen:

Providers die Let's Encrypt toestaan, maar waar je het zelf moet instellen. Providers die Let's Encrypt zelf niet toestaan, maar wel gratis certificaten aanbieden en providers die Let's Encrypt in hun gebruikersinterface hebben geïntegreerd.

De tweede groep omvat enkele grote nederlandse hosters. Hoewel zij Let's Encrypt niet hebben geïntegreerd, hebben zij sinds de start van het initiatief het voorbeeld gevolgd en bieden zij nu gratis SSL aan van hun samenwerkingspartners. In de meeste gevallen zijn de certificaten in de tarieven inbegrepen. Hoe u ze precies activeert, kan echter van provider tot provider verschillen.

Optimaal hebben aanbieders gratis SSL geïntegreerd in hun gebruikersinterfaces en wordt de installatie gemakkelijk automatisch gedaan. Een paar providers hebben dit gedaan met de Let's Encrypt certificaten. De functie kan er dan bijvoorbeeld uitzien als de onze:

SSL activeren Raidboxes
Bij Raidboxes kun je SSL gratis met slechts één klik activeren en deactiveren.

Met een eenvoudige klik kan SSL dan worden geactiveerd en, indien nodig, weer gedeactiveerd. Bij sommige providers wordt SSL ook gewoon automatisch geactiveerd.

Conclusie: SSL brengt veel voordelen en is eigenlijk overal gratis verkrijgbaar.

In principe is een SSL-certificaat op de een of andere manier gratis beschikbaar voor elke websitebeheerder. In verreweg de meeste gevallen blijft ook de instelling beperkt tot één of enkele klikken. Daarom kunnen we je alleen maar adviseren om je eigen hostingaanbod snel aan te pakken en je eigen site zo snel mogelijk toekomstbestendig te maken. Want naast Google heeft ook Mozilla aangekondigd dat het niet-versleutelde pagina's dienovereenkomstig zal bestraffen. Met een beetje voorbereiding hoeft geen enkele terreinbeheerder zich echter zorgen te maken.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.