Verberg WP-Admin

Is een gratis SSL-certificaat onveiliger dan een betaald certificaat?

Sinds Mai 2016 is Let's Encrypt beschikbaar als volledige versie en biedt het iedere websitebeheerder de mogelijkheid om gratis SSL in te stellen. Maar wat is het verschil tussen een gratis SSL-certificaat en een betaald certificaat? Technisch niets, maar organisatorisch des te meer.

Het belangrijkste antwoord meteen aan het begin: Nee, een gratis SSL-certificaat is niet onveiliger dan een betaald certificaat. Maar wat is het belangrijkste verschil? Op de een of andere manier moeten gratis SSL-certificaten kruiselings worden gefinancierd. Ook hier is een snel antwoord op: door sponsoring. Let's Encrypt laat zien hoe het systeem werkt.

De missie van het Let's Encrypt initiatief kan als volgt worden samengevat: Versleutelde communicatie zou een basisrecht moeten zijn op het internet. Want tot 2016 moesten gebruikers meestal betalen voor de versleuteling van de communicatie tussen webserver en browser. Vrije toegang tot de certificaten was dus niet gegarandeerd.

Met Let's Encrypt bestaat er echter sinds vorig jaar een nieuwe certificeringsinstantie die een gratis SSL-certificaat afgeeft aan elke gebruiker en zo encryptie beschikbaar maakt voor elke website-eigenaar wereldwijd. Dit verandert veel: want met de gratis certificaten komen de eisen voor HTTPS als de nieuwe standaard op het web binnen bereik.

Voor winkeliers of bedrijven is het slot in de adresbalk altijd al een belangrijke vertrouwensindicator geweest - al was het maar om juridische redenen. Maar eigenlijk zou elke websitebeheerder, of het nu gaat om een blogger, een freelancer of een winkeleigenaar, moeten vertrouwen op encryptie. Omdat het een breed scala aan voordelen biedt - ongeacht de kosten van het certificaat. Omdat er geen verschil is tussen de certificaattypen met betrekking tot de technische principes van de versleuteling.

In dit artikel ga ik het hebben over de voordelen en de technische grondbeginselen van SSL-authenticatie en -encryptie.

Een SSL-certificaat maakt je site veiliger en is goed voor Google

In de eerste plaats is het veiligheidsaspect natuurlijk doorslaggevend in verband met SSL. Enerzijds bevestigt een certificaat de authenticiteit van de gecontroleerde server. Anderzijds is de communicatie tussen de webserver en de client - d.w.z. de browser - versleuteld. Dit beschermt de communicatie tegen toegang en wijzigingen en maakt zo persoonlijke gegevens, zoals adres- of bankgegevens, ontoegankelijk.

Een SSL certificaat speelt ook een belangrijke rol voor zoekmachine optimalisatie. Hoewel het niet bekend is in welke mate SSL specifiek relevant is als rankingcriterium voor Google, is het bewezen dat HTTPS een ranking signaal is. Ruim twee jaar geleden kondigde Google aan dat het een voorkeursbehandeling zou geven aan gecodeerde pagina's in de zoekresultaten en dat het deze trend geleidelijk zou uitbreiden.

Bovendien is onlangs duidelijk geworden dat de Google browser Chrome binnenkort onversleutelde pagina's zal brandmerken met een "Niet veilig" in de adresbalk. Tenminste als de pagina's waarop wachtwoorden of creditcardgegevens worden gevraagd niet versleuteld zijn. Op de Google I/O ontwikkelaarsconferentie in januari 2016 presenteerden ontwikkelaars van het beveiligingsbedrijf CloudFlare een screenshot dat een voorproefje geeft van wat Google van plan is.

Last but not least geeft Google ook de voorkeur aan HTTPS voor crawling.

Een gratis SSL-certificaat voorkomt dat Chrome "niet veilig" markeert
Zelfs absoluut betrouwbare sites als t3n.de worden met Google Chrome gemarkeerd als onveilig. In dit geval komt de markering echter niet van een onveilige pagina, maar van mijn browserconfiguratie bij het oproepen van de pagina.

Een SSL-certificaat maakt je website sneller en betrouwbaarder

HTTPS betekent dat de communicatie van de webserver met de client versleuteld is. Dit betekent echter niet dat SSL een prestatiekiller is. Integendeel: sinds de HTTP/2-standaard bestaat, werken gecodeerde pagina's aanzienlijk sneller dan niet-gecodeerde pagina's. Dit geldt ook voor hun mobiele versies. Dus voor degenen die tot nu toe om prestatieredenen van encryptie hebben afgezien, is deze zorg ongegrond!

Uiteindelijk heeft een SSL-certificaat altijd een psychologisch effect op de bezoekers van je site. Het slotsymbool in de adresbalk en het goede gevoel als de versleuteling werkt, hebben effect op de conversies. Men zou denken dat encryptie daarom relevanter is voor winkelsystemen, betalingsproviders, enz. Zeker sinds Let's Encrypt gratis SSL-certificaten aanbiedt, kunnen bloggers en andere internetprofessionals ook genieten van de voordelen van HTTPS - zonder extra kosten.

Een gratis SSL-certificaat biedt dezelfde technische voordelen als een betaald SSL-certificaat.

Bij het bespreken van de veiligheidsgerelateerde kenmerken van SSL, is het eerst belangrijk onderscheid te maken tussen de certificatie-instanties en de SSL-certificaten zelf.

Een certificeringsautoriteit (CA) geeft certificaten af en ondertekent ze, d.w.z. bevestigt de authenticiteit ervan. In dit proces worden certificaten opgeslagen op de webserver. Als een klant nu een website op deze webserver bezoekt, kan deze website zich identificeren als de eigenaar van het certificaat.

De browser controleert dan het certificaat dat op de pagina is opgeslagen met de "certificaatboom" die bij de pagina is opgeslagen (zie onderstaande figuur). Het zogenaamde basiscertificaat staat bovenaan de boom. Alle andere certificaten en uiteindelijk ook de gratis certificaten van Let's Encrypt zijn hierop gebaseerd. Als het root-certificaat en alle andere upstream-certificaten geldig zijn, wordt een versleutelde verbinding tot stand gebracht. De certificatie-instanties zijn dan ook de spil van de domeinvalidatie. En vertrouwen is het allerbelangrijkste in deze gevallen.

Of je nu een gratis SSL-certificaat hebt of niet, dit is hoe het verificatieproces van de browser werkt.
Dit is in feite hoe het SSL-authenticatieproces werkt. Of het nu een gratis SSL-certificaat is of een betaalde tegenhanger.

De certificaten dienen op hun beurt om de communicatiepartners – d.w.z. de webserver en de browser – te authentiseren en om het eigenlijke encryptiemechanisme in werking te stellen. Zij zorgen ervoor dat de webserver en de browser de juiste openbare en particuliere sleutels ontvangen om de beschermde communicatie op gang te brengen.

Eerst authenticeert de server zich bij de cliënt als certificaathouder. Vervolgens wordt een asymmetrische versleuteling tot stand gebracht en worden de bijbehorende sleutels uitgewisseld. Deze maken dan symmetrische versleuteling mogelijk. Vanaf dit punt is alle communicatie tussen client en server versleuteld.

De sleutels worden gedurende de hele communicatie regelmatig vernieuwd. Zo blijft de gegevensstroom beschermd tegen afluisteren en wijziging, zelfs indien een aanvaller erin slaagt een eenmalige hack uit te voeren.

Maar hoe sterk is de encryptie eigenlijk? Dat hangt volledig af van de webserverconfiguraties van de respectieve hoster.

Chain of Trust van de gratis SSL-certificaten van Let's Encrypt
Deze figuur toont de zogenaamde vertrouwensketen van de Let's Encrypt certificaten. U ziet: De Let's Encrypt certificaten zijn gebaseerd op root-certificaten van de certificeringsautoriteit IdenTrust.

Of u nu een gratis SSL-certificaat hebt of niet, vertrouwen is alles

Technisch gezien is er geen fundamenteel verschil tussen betaalde en gratis SSL-certificaten. Wat echter massaal anders is, is de certificeringsautoriteit. De meningen lopen uiteen over de vraag hoeveel vertrouwen in de CA kan worden gesteld.

Achter klassieke certificatie-instellingen gaat een economisch min of meer succesvolle onderneming schuil. Het belangrijkste kapitaalobject van deze onderneming is het vertrouwen van de klanten en het publiek in haar certificatiedienst.

Let's Encrypt en zijn moederorganisatie, de Internet Security Research Group, hebben daarentegen geen winstoogmerk, maar streven een missie zonder winstoogmerk na. Industriereuzen als Chrome, Facebook, Mozilla en Linux staan echter achter Let's Encrypt.

De vraag naar het vertrouwen in de certificatie-instelling is dus tot op zekere hoogte een kwestie van beoordeling: heb ik meer vertrouwen in het bedrijf dat aan marketing doet om het in hem gestelde vertrouwen te maximaliseren, of in de certificatie-instelling zonder winstoogmerk die vertrouwt op de reputatie van de leiders in de sector die hem steunen?

Conclusie: Er zijn nauwelijks technische verschillen – maar wel organisatorische.

Of het nu komt van Comodo, Thawte en Co. of van Let's Encrypt: SSL-encryptie biedt uw site vele voordelen en maakt hem in het algemeen concurrerender. Op technisch niveau verschillen de certificaattypes nauwelijks: HTTPS is HTTPS. De encryptiesterkte heeft daarentegen vooral te maken met de configuratie van de webserver.

Als je een gratis SSL-certificaat hebt, hoef je je geen zorgen te maken over nadelen in vergelijking met betaalde certificaten. Want het belangrijkste veiligheidsrelevante uitgangspunt voor domein-gevalideerde certificaten is de certificeringsautoriteit, niet het certificaat zelf. Welke certificeringsinstantie je vertrouwt is weer een kwestie van discretie. Zowel het open source initiatief, dat gepromoot wordt door industriereuzen, als het op winst gerichte bedrijf, wiens belangrijkste bedrijfswaarde het vertrouwen van zijn klanten is, hebben er belang bij zo betrouwbaar mogelijk over te komen.

Wij, het Raidboxes team, hebben besloten het Let's Encrypt project te vertrouwen. Zo kunnen we namelijk de vele voordelen van SSL direct - en vooral gratis - doorgeven aan onze klanten.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.