Gratis SSL voor iedereen - Let's Encrypt revolutioneert het internet!

Jan Hornung Bijgewerkt op 23.01.2020
16 Min.
Gratis SSL
Laatst bijgewerkt op 23.01.2020

De lancering van Let's Encrypt in mei 2016 trok veel aandacht in de vakpers. Want de Amerikanen bieden iets gratis aan, waar alle sitebeheerders tot nu toe goed voor moesten betalen: SSL-certificaten. Het voordeel en de waarde van gratis SSL-certificaten kan niet worden overschat.

Let's Encrypt stelt niet alleen alle exploitanten van sites wereldwijd in staat om hun aanbiedingen te versleutelen, maar maakt het netwerk ook veiliger, sneller en eerlijker. In dit dossier leggen we duidelijk uit wat Let's Encrypt is, hoe het werkt en hoe u uw volgende SSL-certificaat gratis kunt krijgen.

 Na een half jaar op de markt heeft Let's Encrypt al meer dan 14 miljoen gratis certificaten uitgegeven. Op het eerste gezicht lijkt dit veel, maar in vergelijking met de industriereuzen is het nog steeds vrij weinig. Laten we Encrypt heeft een marktaandeel van slechts 0,02 procent.

En toch heeft alleen al het bestaan van gratis SSL-certificaten een merkbaar effect op de Duitse hostingmarkt. Veel hosters en SSL-autoriteiten bieden de exploitanten van sites al een SSL-certificaat gratis aan. Dat was tot voor kort niet het geval. Toegekend: Let's Encrypt kan niet alles doen, maar biedt alles wat je nodig hebt als site-exploitant voor de overgrote meerderheid van de blogs, winkels en bedrijfssites.

Maar naast de versleuteling van uw eigen site en een snelheidsvoordeel, doet Let's Encrypt nog een belangrijke dienst: de gratis SSL maakt uw site toekomstbestendig. Want vanaf 2017 zullen er moeilijke tijden aanbreken voor onversleutelde pagina's. Sinds 2014 heeft Google iets gepland dat veel exploitanten van sites veel vertrouwen en bezoekers zou kunnen kosten. Vanaf 2017 worden pagina's zonder HTTPS in de interne browser weergegeven. gemarkeerd als onveilig. Mozilla, de stichting achter de populaire Firefox-browser, heeft ook plannen om onveilige - d.w.z. HTTP-websites - toegankelijk te maken voor het publiek. om systematisch te benadelen.

Maar met een paar klikken, dankzij de gratis SSL, kunt u deze zorgen overwinnen. U kunt uw site veiliger maken met een certificaat, de rechtsonzekerheid verminderen en zelfs een prestatieboost geven. De belangrijkste antwoorden en achtergronden worden in dit dossier verduidelijkt.

Deel 1 - De basis: Het sprookje van het Premium Certificaat

Gratis betekent niet dat Let's Encrypt's certificaten minder veilig zijn. In feite verschillen de gratis certificaten echter van de certificaten waarvoor een vergoeding wordt gevraagd. Toch is er geen verschil in veiligheid. Daarom is het des te belangrijker om te begrijpen waarom Let's Encrypt eigenlijk iedereen gratis een SSL-certificaat geeft en hoe het systeem erachter werkt.

Let's Encrypt is een certificeringsinstantie voor SSL-certificaten - ook wel bekend als Certification Authority (CA) - die officieel in mei 2015 van start is gegaan. Het initiatief heeft een geautomatiseerd proces gecreëerd waarbij SSL-certificaten worden uitgegeven. Door deze bijna volledige automatisering komt het project met zeer weinig medewerkers rond en kunnen de certificaten ook gratis worden aangeboden. De kosten voor medewerkers en infrastructuur worden gedekt door donaties en sponsoring.

Het maakt niet uit of het certificaat gratis of tegen betaling is: het vervult altijd dezelfde taak. Het laat de gebruiker zien dat hij zich op de "juiste" website bevindt en dat het dataverkeer tussen browser en webserver versleuteld is.

Laten we Encrypt is gratis, onder andere omdat "HTTPS overal" een idee is van de industriegiganten.

Maar de meest prangende vraag eerst: Is Let's Encrypt echt vrij? Of beter gezegd: Wat is het addertje onder het gras? Om een lang verhaal kort te maken: Ja, noch de certificaten, noch de vereiste programma's kosten geld. En: er is geen addertje onder het gras. Vaak wordt deze vraag echter niet gemotiveerd door puur economische redenen, maar vooral door de bredere vraag waarom Let's Encrypt vrij is. Waarom dan ineens een product aanbieden waar andere organisaties eerder gratis voor hadden betaald.

"Wij verstrekken gratis certificaten, omdat de kosten mensen uitsluiten. Onze certificaten zijn in elk land ter wereld beschikbaar, want het beveiligde web is voor iedereen. "” – Laten we Encrypteren

Let's Encrypt heeft relatief lage personeelskosten, aangezien bijna alle processen geautomatiseerd zijn. Daarnaast wordt een deel van het handwerk uitgevoerd door medewerkers van andere non-profitorganisaties - bijvoorbeeld het onderhoud van het kleine programma dat de certificaten uitreikt, de zogenaamde Certbot.

Dit elimineert een grote financiële last. De benodigde hardware wordt ook grotendeels gedekt door de samenwerking met de Linux Foundation. Sponsoring en donaties zijn bedoeld om alle andere kosten te dekken. De officiële aanklachten worden geschat op maximaal 350.000 dollar per jaar.

Naast industriereuzen als Mozilla, Cisco, Chrome en Facebook heeft het Let's Encrypt project ook de steun van bedrijven uit het WordPress -gebied, zoals Automattic. Het bedrijf van de WordPress mede-oprichter Matt Mullenweg heeft vooral naam gemaakt door zijn standaard integratie van Let's Encrypt-certificaten op WordPress .com ...en ik moet zeggen...

De motivatie, die alle sponsoren van het project graag prominent noemen, is de wens om gelijkheid op het net te creëren. Omdat men ervan uit kan gaan dat HTTPS in de toekomst een gelijkmatig belangrijker rangschikkingscriterium zal zijn. En als bepaalde websites zich de certificaten niet kunnen veroorloven of er geen toegang toe hebben, sluit dit bepaalde sites - en dus bepaalde mensen en hun WordPress projecten - uit van deelname aan het internet.

Sommige sponsors zullen binnenkort ook technologieën introduceren die ongecodeerde pagina's markeren, waardoor de druk op de operatoren om certificaten te verkrijgen toeneemt. Zo implementeerde Google in juli 2018 dat alle HTTP-pagina's in de Chrome-browser als "niet veilig". moet worden gemarkeerd.

HTTP-waarschuwing in Google Chrome
Dit is de waarschuwing die Chrome sinds juli 2018 op alle HTTP-pagina's geeft.

Een certificaatautoriteit die gratis een SSL-certificaat uitreikt aan elke site-exploitant past dus perfect in de plannen van de grootste sponsors van Let's Encrypt. Dergelijke aanbieders, die "HTTPS overal" De propaganda is dus ook in belangrijke mate betrokken bij het opzetten van een gratis SSL-infrastructuur.

Laten we Encrypt is niet langer een kleine NGO...    

Laten we Encrypt zelf is slechts de certificaatautoriteit, dat wil zeggen de autoriteit die de certificaten afgeeft. De totale organisatiestructuur is echter veel groter. De moederorganisatie van Let's Encrypt is de Internet Security Research Group (ISRG), gevestigd in San Francisco. De raad van bestuur van deze non-profitorganisatie bestaat uit wetenschappers, bedrijfsvertegenwoordigers en vertegenwoordigers van stichtingen en andere non-profitorganisaties.

Ten minste twee andere organisaties worden ook belangrijk in verband met Let's Encrypt. Ten eerste de Elektronische grensstichting (EFF)die sinds mei 2016 Certbotde certificeringssoftware voor de creatie van Let's Encrypt-certificaten. De tweede is de Linux Foundation, die de technische infrastructuur levert voor Let's Encrypt via haar Collaborative Projects programma. Al met al ondersteunen verschillende teams van non-profit organisaties Let's Encrypt en de bijbehorende infrastructuur.

In september 2016 publiceerde de organisatie een gedetailleerde kostenverdeling voor 2017, waaruit blijkt dat per medewerker ongeveer 200.000$ werkgeverskosten in aanmerking worden genomen. Dus het Let's Encrypt personeel wordt goed betaald. In de Verenigde Staten zijn dergelijke loonniveaus echter blijkbaar noodzakelijk, of het nu gaat om de concurrentie met industriegiganten.

Personeelskosten Laten we Encrypteren
De gebudgetteerde kosten voor Let's Encrypt en haar 10 medewerkers voor het jaar 2017 bedragen bijna 3 miljoen dollar.
SSL is SSL is SSL - Als het gaat om veiligheid zijn er geen premium certificaten

De gratis certificaten van de Amerikanen zijn niet onzekerder dan die van de Duitse aanbieders die er kosten voor in rekening brengen. Het resultaat is dus altijd hetzelfde: de exploitant van de site kan het dataverkeer tussen server en client (d.w.z. de browser) versleutelen en zo het aftappen van persoonlijke gegevens zoals adres, telefoonnummer, maar vooral ook bankgegevens voorkomen.

Als Duitse websitebeheerder bent u verplicht om uw site te beveiligen tegen het aftappen van persoonlijke gegevens zodra u deze verzamelt. Dat betekent: Theoretisch gezien hoort het al bij een contactformulier voor de ploeg van relevante zaken.

Dit geldt uiteraard des te meer als u de bankgegevens of andere vertrouwelijke gegevens van de klanten opvraagt. Als u gebruik wilt maken van betaalsystemen zoals PayPal, is een SSL-certificaat ook een basisvereiste. Dus zonder HTTPS, is niet alleen de weg naar e-commerce voor u gesloten, maar ook je brengt jezelf ook in gevaar om gewaarschuwd te worden....

Het principe van SSL-codering is voor alle certificaten hetzelfde: de certificaatautoriteit geeft een soort verzekering af voor de websitebezoeker met het SSL-certificaat. In het geval van domeinvalidatie betekent dit dat het certificaat bevestigt dat de website die u momenteel bezoekt zich ook bevindt op de server die het certificaat voor het domein dat u bezoekt bezit.

Gratis SSL-domein validatie
Het groene slotje en "Secure" in de adresbalk zijn het typische voorbeeld van een domeinvalidatie. Het certificaat verzekert dat het domein en de bezochte pagina echt bij elkaar horen.

Dus als je bijvoorbeeld hRAIDBOXES ttps:// .de dan geeft het groene slotje in de adresbalk aan dat de server waarop de pagina zich bevindt ook de server van de domeineigenaar is. Dus je weet dat je aan de juiste kant surft.

Daarnaast zijn er ook Organization Validated en Extended Validation certificaten. Deze geven aan dat de site echt behoort tot de organisatie waarvan u de website wilt bezoeken. Dit is vooral relevant voor banken of betaalproviders zoals PayPal of Stripe.

PayPal SSL Certificaat
Vooral betalingsaanbieders & organisaties, die te maken hebben met bijzonder gevoelige gegevens zoals adresgegevens, vertrouwen op deze uitgebreide certificaten. Voor dergelijke validaties wordt het betreffende bedrijf in de adresbalk weergegeven.

Als u een pagina oproept die is versleuteld door een van de gratis Let's Encrypt-certificaten, gebeurt het volgende:

SSL-certificeringsproces
Zo werkt het SSL-authenticatieproces vanaf de basis. Het maakt niet uit of het een gratis SSL-certificaat is of een betaald certificaat. In dit beveiligingsproces spelen altijd twee componenten een rol: de certificaatautoriteit en het SSL-certificaat zelf.

Een certificeringsinstantie (CA) geeft certificaten af en ondertekent deze, waardoor de echtheid ervan wordt bevestigd. Hierbij worden de certificaten op de webserver opgeslagen. Als een klant een website op deze webserver bezoekt, kan deze website zich identificeren als de eigenaar van het certificaat.

De browser controleert vervolgens het op de pagina opgeslagen certificaat aan de hand van de "certificaatboom" die ermee is opgeslagen (zie onderstaande figuur). Het zogenaamde basiscertificaat heeft de hoogste prioriteit. Alle verdere certificaten en uiteindelijk ook de gratis certificaten van Let's Encrypt zijn hierop gebaseerd. Als het basiscertificaat en alle andere upstream-certificaten geldig zijn, wordt een versleutelde verbinding tot stand gebracht. De certificeringsautoriteiten zijn dan ook de spil van de domeinvalidatie. En vertrouwen is het enige wat deze lichamen nodig hebben.

De certificaten dienen op hun beurt om de communicatiepartners - d.w.z. de webserver en de browser - te authenticeren en om het eigenlijke encryptiemechanisme te starten. Zij zorgen ervoor dat webservers en browsers de juiste publieke en private sleutels ontvangen om de beveiligde communicatie te initiëren.

Eerst authentiseert de server zich aan de client als de certificaathouder. Vervolgens wordt een asymmetrische vercijfering vastgesteld en worden de bijbehorende sleutels uitgewisseld. Deze maken dan symmetrische versleuteling mogelijk. Vanaf dit punt is alle communicatie tussen client en server versleuteld.

De sleutels worden gedurende de gehele communicatie regelmatig vernieuwd. Op deze manier blijft de gegevensstroom beschermd tegen afluisteren en wijzigen, zelfs als een aanvaller erin slaagt om eenmalig te hacken. De sterkte van deze encryptie is dan afhankelijk van de webserverconfiguraties van de hoster en niet van het certificaat.

Het centrale element van SSL-certificaten is de 'Chain of Trust'.

De Chain of Trust is het basisprincipe van alle klassieke SSL-certificaten. Een organisatie garandeert dat een bepaald certificaat van oorsprong (basiscertificaat) betrouwbaar is. Dat de verklaringen in het certificaat - zoals "Pagina X behoort tot domein Y", of "Domein Y behoort tot provider Z" - correct zijn. Zolang deze oorspronkelijke certificeringsinstantie wordt vertrouwd, werkt het systeem.

De certificaten van alle SSL-aanbieders zijn meestal gebaseerd op dergelijke root-certificaten. Op deze manier winnen de aanbieders aan vertrouwen en kunnen zij op hun beurt hun taak vervullen om certificaten te ondertekenen. Kleinere aanbieders zijn daarom afhankelijk van de betrouwbaarheid van grotere aanbieders. Of andersom: grotere aanbieders geven hun betrouwbaarheid door aan de kleinere. Zo creëren ze de vertrouwensketen:

Vertrouwensketendiagram
Dit diagram toont het verband tussen het basiscertificaat van Let's Encrypt en de gratis SSL-certificaten die later worden uitgegeven.

Als het basiscertificaat echter corrupt is, wordt de keten verbroken en worden de certificaten in theorie waardeloos. Dit geldt voor alle SSL-certificaten, of ze nu gratis of tegen betaling zijn.

Beperkte validatie is het centrale nadeel van Let's Encrypt-certificaten

SSL Certificaten werken door te garanderen dat de website die u bezoekt tot een specifieke tegenhanger behoort. Meestal is dit het domein, d.w.z. het adres van de website. In een dergelijk geval verzekert het certificaat dat de geraadpleegde pagina echt tot het geraadpleegde domein behoort. Dit is het laagste valideringsniveau.

Er is ook een organisatie validatie en uitgebreide validaties. Deze laatste verzekeren dat de pagina die u bezoekt echt behoort tot het bedrijf dat vermoedelijk achter de pagina zit. Dit is essentieel voor banken en betalingsdienstaanbieders.

Laten we de certificaten versleutelen en alleen domein validatie aanbieden. Uitgebreide validaties zijn momenteel niet mogelijk en zullen in de toekomst waarschijnlijk niet worden ingevoerd. Dit komt omdat het authenticatieproces voor organisaties en bedrijven complex is en menselijke arbeid vereist. Let's Encrypt kan echter alleen haar certificaten gratis aanbieden omdat alle processen zoveel mogelijk geautomatiseerd zijn. Je hebt dus geen menselijke arbeid nodig.

Met Let's Encrypt-certificaten kunnen verschillende domeinen worden gevalideerd

pagina een paar weken, de gratis SSL-certificaten maken het mogelijk om meerdere domeinen onder één certificaat te combineren. Dit maakt de gratis certificaten ook toepasbaar voor complexere sitestructuren met verschillende top- en subdomeinen.

Conclusie: Niemand hoeft tegenwoordig nog voor SSL-certificaten te betalen.

De gratis SSL-certificaten van Let's Encrypt zijn net zo veilig en presteren net zo goed als betaalde certificaten. De Amerikanen hebben dus vooral de Duitse hosting leveranciers onder druk gezet. Als gevolg daarvan hoeft vandaag de dag niemand meer voor SSL te betalen. Het doorslaggevende inzicht van Let's Encrypt is: Gratis HTTPS is mogelijk en belangrijk voor het internet als geheel. En overigens profiteren vooral kleine en middelgrote exploitanten van locaties hiervan. Enerzijds besparen ze kosten en anderzijds creëren ze rechtszekerheid voor hun aanbiedingen.

In het tweede deel van dit dossier laten we zien hoe Let's Encrypt er vandaag uitziet en hoe toekomstbestendig de certificaten zijn. Want we hebben vaak de vraag gehoord wat er eigenlijk met onze eigen site gebeurt als Let's Encrypt faalt. In deel 3 van dit dossier tonen we de concrete voordelen op het vlak van prestaties en veiligheid die Let's Encrypt met zich meebrengt, waar we op moeten letten en hoe we zo'n certificaat kunnen opstellen.

Deel 2 - Let's Encrypt heeft een enorm potentieel, vooral voor kleine en middelgrote websites

We blijven de vraag horen, "Wat gebeurt er als Let's Encrypt faalt?" Met zijn ondertussen meer dan 100 miljoen afgegeven certificaten Laten we Encrypt heeft al een belangrijke mijlpaal bereikt. In een marktvergelijking van de certificeringsautoriteiten wereldwijd Laten we de code al op de plaats 10 versleutelen. opgestegen.

Sinds Let's Encrypt in mei 2016 officieel werd gelanceerd, zijn de mijlpalen aan het rollen: Twee miljoen, vijf miljoen, 14 miljoen, recentelijk 100 miljoen gratis SSL-certificaten. Dit cijfer betekent echter niet dat deze 100 miljoen uitgegeven certificaten zijn ook actief. Men moet het werkelijke aantal veeleer van verschillende kanten benaderen en zich afvragen: wat zit er eigenlijk achter?

Laten we de groei grafisch versleutelen
Deze grafiek laat zien hoe de groei van Let's Encrypt-certificaten zich sinds 2016 heeft ontwikkeld. In februari 2018 is de mijlpaal van 50 miljoen actieve certificaten bereikt.
Niet alle 100 miljoen afgegeven certificaten zijn geldig.

Het cijfer van 100.000.000 zegt in eerste instantie weinig. Dit komt omdat het gegevensvuilnis bevat: ook certificaatverlengingen, meerdere certificeringen en verlopen certificaten worden geteld. Als u ook weet dat de vernieuwingscyclus voor Let's Encrypt-certificaten 90 dagen is, wordt het aantal snel gerelativeerd.

Meer informatief is het aantal momenteel geldige certificaten: Let's Encrypt telt momenteel ongeveer 53 miljoen geldige certificaten. Nogmaals, dit betekent niet dat er eigenlijk zoveel pagina's zijn die met Let's Encrypt zijn versleuteld. Maar het getal geeft al een eerste benaderende waarde.

Laten we Encrypt momenteel de 10e plaats innemen in een wereldwijde vergelijking

Een andere goede bron om een goed idee te krijgen van Let's Encrypt is de data van w3techs.com. De servicekosten, op basis van de informatie die wordt verstrekt door Alexa besteedde top 10 miljoen websites, het aandeel van bepaalde internettechnologieën. De bijbehorende websites worden specifiek gezocht naar bepaalde technologieën. Als er een hit wordt gescoord, wordt deze meegenomen in de telling. U kunt meer details vinden over het gebruikte monster hier.

Volgens w3techs is Let's Encrypt nog steeds een dwerg in de gelederen van de certificeringsinstanties met een marktaandeel van iets meer dan 0,2 procent en 0,1 gebruik onder de top websites. Let's Encrypt staat nu immers op de 10e plaats, wat niet te versmaden is als je concurreert met zwaargewichten in de markt zoals IdenTrust (45,1% marktaandeel), Comodo (31,5%), DigiCert (11,1%) en GoDaddy (6,9%) in de bovenste gelederen.

Laten we het marktaandeel versleutelen
Deze grafiek laat zien welk percentage van de topwebsites Let's Encrypt gebruiken. Laten we Encrypt in staat zijn geweest om zijn marktaandeel te vergroten van 0,02 procent in 2016 tot 0,2 procent in 2018.

In dit verband moet worden vermeld dat de certificeringsinstantie IndenTrust die zorgt voor basiscertificaten voor Let's Encrypt. Het feit dat zij de eerste plaats innemen is dan ook een goed teken. Dit komt omdat als de bron van de root-certificaten zeer vertrouwd is, de diensten op basis van deze root-certificaten meestal goed gepositioneerd zijn.

Marktaandeel Certificeringsautoriteiten SSL
Marktaandeel en absoluut gebruik van de grootste certificeringsinstanties volgens w3techs.
Laten we de Encrypt-certificaten op dit moment eerder gebruiken door kleine en middelgrote sites.

Aangezien uitgebreide validaties met Let's Encrypt momenteel niet beschikbaar zijn, maken vooral kleinere sites gebruik van de gratis certificaten, die gemakkelijk zonder uitgebreide validatie kunnen. De gegevens van w3techs laten duidelijk zien dat Let's Encrypt momenteel vooral wordt gebruikt door sites met weinig tot gemiddeld verkeer. De grootste spelers op de markt hebben daarentegen de neiging om sites met gemiddeld veel verkeer te bedienen. Er kan worden aangenomen dat deze pagina's voornamelijk commerciële aanbiedingen zijn die afhankelijk zijn van uitgebreide validatie of niet gemakkelijk kunnen overschakelen op de gratis SSL-certificaten vanwege hun complexe structuur.

Certificering Authority-Lets-Encrypt Provider veld
Conclusie: Laten we Encrypt heeft een groot potentieel, aangezien bijna 17% van de pagina's nog steeds onversleuteld zijn.

Voor een blik in de toekomst zijn minder de pagina's met, maar meer de pagina's zonder SSL-certificaat interessant. Volgens w3techs is dit 16,9 procent. Hoewel de redenen voor het ontbreken van een SSL-certificaat op deze sites niet zijn gespecificeerd, zijn de kosten in combinatie met technische belemmeringen waarschijnlijk de belangrijkste obstakels.

Zowel de kostenhorde als de problemen met de opstelling zijn nu grotendeels geëlimineerd door Let's Encrypt. En als de hosting aanbieders de certificaten dienovereenkomstig in hun aanbiedingen integreren, wordt het nog gemakkelijker. Want meestal is het dan 1-klik oplossingen het resultaat. Naarmate het Californische initiatief meer bekendheid krijgt, zal het aantal sites dat geen SSL-certificaat heeft waarschijnlijk afnemen.

Tot nu toe lijkt het erop dat Let's Encrypt de overgang naar exponentiële groei nog niet heeft weten te realiseren. Dit zou kunnen veranderen in 2018, wanneer Chrome begint met het taggen van webpagina's zonder HTTPS. Het gedrag van andere browserfabrikanten op dit gebied zal ook van invloed zijn op de verdere ontwikkeling. De ontwikkeling die Let's Encrypt in gang heeft gezet, is echter in ieder geval toe te juichen, zowel voor de beheerders van de site als voor de hosting providers.

Het zijn ook de aanbieders die bepalen hoe gemakkelijk of ingewikkeld het is om gratis SSL in te stellen. In het laatste deel van dit dossier tonen we u de voordelen van de gratis SSL-certificaten van Let's Encrypt en hoe u die kunt krijgen.

Deel 3 - Toegevoegde waarde van SSL-certificaten en opzet van Let's Encrypt

Het is duidelijk dat het veiligheidsaspect het belangrijkste voordeel van HTTPS is. Maar op de juiste infrastructuur brengt encryptie zelfs een prestatievoordeel met zich mee. U kunt meestal uw gratis SSL-certificaat bestellen bij uw hoster. Of je hebt een aanwijzing en kunt het zelf opzetten.

Een SSL-certificaat converteert de eigen pagina van onversleuteld HTTP naar het beveiligde HTTPS. De gegevens die worden uitgewisseld tussen de browser en de webserver zijn versleuteld. Een SSL-certificaat brengt dus in totaal drie centrale voordelen met zich mee: (1) Versleuteling van persoonsgegevens. (2) Rechtszekerheid voor de exploitant van de locatie. (3) Kortere laadtijd dankzij HTTP/2.

Encryptie van de communicatie tussen browser en webserver

Het belangrijkste voordeel van een SSL-certificaat is dat de communicatie tussen webserver en browser versleuteld is. Het authenticatieproces gaat vooraf aan de encryptie en zorgt ervoor dat de certificaten aan een tweede doel voldoen, namelijk de identificatie van de eigenaar van het certificaat.

Beide factoren scheppen vertrouwen in de gebruiker. Want de gebruiker weet niet alleen dat hij zich op de juiste website bevindt, maar ook dat niemand de gegevens die hij op de pagina invoert gewoon kan lezen. Bijvoorbeeld adresgegevens of bankgegevens.

Dit toegenomen vertrouwen kan gunstig zijn voor uw eigen online business. In de meeste gevallen is een SSL-certificaat echter toch verplicht.

Wanneer persoonlijke gegevens worden opgevraagd, moeten deze worden beschermd.

Ongeacht het amendement dat op 25 mei 2018 in werking is getreden Algemene verordening gegevensbescherming (AVG)de bescherming van gevoelige gegevens is in Duitsland al jaren verplicht. Tenminste in theorie. Want volgens §13 van het Telemediengesetz is dit van toepassing:

dienstverlener "[...] om, voor zover dit technisch mogelijk en economisch redelijk is, in het kader van hun respectieve verantwoordelijkheid voor aangeboden zakelijke telemediadiensten ervoor te zorgen dat [...] de gebruikte technische apparatuur [...] wordt beveiligd tegen schending van de bescherming van persoonsgegevens [...]".

Vooral de onduidelijke formulering heeft bij de Duitse exploitanten van de locaties voor veel onzekerheid gezorgd: Is je eigen blog zakelijk? Vanaf wanneer kan het als zodanig worden geclassificeerd? Wat is er technisch mogelijk? Wat is economisch gezien redelijk? Sommige van deze en andere vragen zijn al uitvoerig besproken. Zonder duidelijk resultaat.

De teneur lijkt echter te zijn: SSL-encryptie is niet verplicht. Maar gewoon een back-up van de gegevens. Dit hoeft niet via een SSL-certificaat te gebeuren. Encryptie van de communicatie tussen browser en webserver is een zeer goede en relatief eenvoudige manier om de gevoelige gegevens van de bezoekers van de site te beschermen.

Voor exploitanten van sites betekent dit dat een SSL-certificaat zeer snel veel rechtsonzekerheid wegneemt en het risico om gewaarschuwd te worden enorm verkleint. Het maakt niet uit of het certificaat gratis of tegen betaling is. Het is de encryptie zelf die er toe doet.

HTTPS een prestatiemoordenaar? Een misverstand - Als de hoster passende voorzieningen heeft getroffen

Telkens weer maken de beheerders van de site zich zorgen over de vraag of de laadtijd van de pagina's te lijden heeft onder de versleuteling. Deze zijn meer dan ongegrond. Niet alleen is het authenticatieproces niet bijzonder prestatiegericht, maar SSL maakt uw site nog sneller. Tenminste als de zogenaamde HTTP/2-standaard op de webserver is ingesteld.

Dankzij het parallel laden van gegevenspakketten en de geoptimaliseerde communicatie tussen browser en server - de zogenaamde serverpush - zorgt dit ervoor dat de pagina sneller wordt geladen.

De ondersteuning van uw hosting provider kan aangeven of HTTP/2 actief is.

Afhankelijk van de hoster is het opzetten van een gratis SSL-certificaat eenvoudig of complexer.

In principe geldt het volgende: Elke gebruiker die de juiste toegangsrechten tot de server heeft, kan Laten we de Encryptie relatief eenvoudig zelf in te stellen.. In de meeste gevallen is dit echter helemaal niet nodig. Veel hosting aanbieders hebben nu overeenkomstige comfortabele oplossingen in hun productassortiment geïntegreerd.

In principe kan men een onderscheid maken:

Providers die Let's Encrypt toestaan, maar waar je het zelf moet opzetten. Aanbieders die Let's Encrypt zelf niet toestaan, maar toch gratis certificaten aanbieden en aanbieders die Let's Encrypt in hun gebruikersinterface hebben geïntegreerd.

De tweede groep omvat enkele grote nederlandse hosters. Hoewel ze Let's Encrypt niet hebben geïntegreerd, hebben ze sinds de lancering van het initiatief het voorbeeld gevolgd en bieden ze nu gratis SSL aan van hun samenwerkingspartners. In de meeste gevallen zijn de certificaten inbegrepen in de tarieven. Hoe deze precies worden geactiveerd kan echter per aanbieder verschillen.

Idealiter hebben de providers gratis SSL in hun gebruikersinterfaces geïntegreerd en is de installatie gemakkelijk geautomatiseerd. Een paar aanbieders hebben dit gedaan met de Let's Encrypt-certificaten. De functie kan er dan bijvoorbeeld uitzien als de onze:

SSL inschakelen RAIDBOXES
Bij RAIDBOXES u kunt SSL gratis met één klik activeren en deactiveren.

Met een simpele klik kan SSL vervolgens worden geactiveerd en indien nodig weer worden gedeactiveerd. Bij sommige providers wordt SSL ook gewoon automatisch geactiveerd.

Conclusie: SSL heeft vele voordelen en is eigenlijk overal gratis

In principe kan elke website-exploitant op een of andere manier gratis gebruik maken van een SSL-certificaat. In de meeste gevallen is de opstelling ook beperkt tot één of enkele klikken. Daarom kunnen wij u alleen maar adviseren om uw eigen hosting aanbod snel af te handelen en uw eigen site zo snel mogelijk toekomstbestendig te maken. Want naast Google heeft Mozilla ook aangekondigd dat onversleutelde pagina's dienovereenkomstig zullen worden benadeeld. Met een beetje voorbereiding hoeft geen enkele exploitant zich echter zorgen te maken.

RAIDBOXER van het eerste uur en Head of Support. Bij Bar- en WordCamps praat hij het liefst over PageSpeed en website-performance. De beste manier om hem om te kopen is met een espresso - of Beierse Brezel.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.