De kostnadsfria SSL-certifikaten från Let's Encrypt har utlöst en viktig utveckling på den tyska värdmarknaden: Skyddet av personuppgifter på din egen webbplats är nu gratis nästan överallt. Men hur har initiativet, som som certifieringsmyndighet utfärdar gratis SSL-certifikat för alla, klarat sig hittills? En detaljerad titt på utvecklingen.
Ett SSL-certifikat har medfört många fördelar senast sedan http /2-standarden infördes. Personuppgifter krypteras inte bara tillförlitligt, utan webbplatsen laddas också snabbare. Dessutom gör HTTPS – den säkra varianten av hypertextöverföringsprotokollet – webbplatser framtidssäkrade. Eftersom Google tillkännagav den 8 september, från 2017 i Chrome för att markera webbplatser utan ETT SSL-certifikat som osäkra. Google kommer därmed närmare och närmare sitt självutnämnda mål "HTTPS överallt".
- Med den nya annonsen skulle till och med sidor med helt pålitliga leverantörer förses med en röd varningssignal. Med media som t3n är detta vanligtvis inte ett problem eftersom läsarna litar på mediet. Mindre kända webbplatser kan dock kosta Googles varningsläsare och kunder.
Let's Encrypt spelar en viktig roll i det här sammanhanget. Eftersom initiativet från Kalifornien utfärdar gratis SSL-certifikat till alla. Detta gör det möjligt för varje webbplatsoperatör att ställa in SSL gratis och också relativt enkelt. Och den amerikanska certifieringsmyndigheten har redan påverkat den tyska värdmarknaden. Eftersom många värdar redan erbjuder gratis certifikat idag. Vissa har låt oss kryptera integrerade, andra erbjuder gratis certifikat från andra leverantörer.
Framgången för Let's Encrypt är därför inte bara relevant för webbplatsoperatörer, utan också för den tyska värdmarknaden.
Let's Encrypt har hittills utfärdat mer än 10 000 000 certifikat
Sedan Let's Encrypt officiellt lanserades på Mai i år har det kommit många milstolpar: Två miljoner, fem miljoner och nyligen det tio miljonte certifikatet. Men dessa siffror är inte synonymt med tio miljoner webbplatser som krypterats med Let's Encrypt-certifikat. Det faktiska antalet måste snarare närmas från flera håll.
Let's Encrypt kunde utfärda sitt två miljonte certifikat den 23 april 2016, dvs. några dagar före den officiella lanseringen. Bara 19 dagar senare, den 9 juni, Mai, nåddes tremiljonersgränsen. Den tredje juni fanns det redan fyra miljoner certifikat, och den 19 juni nåddes fem miljoner certifikat. I slutet av juli var siffran sju miljoner, och för närvarande har Let's Encrypt utfärdat 10,86 miljoner certifikat, vilket är mer än dubbelt så många som i mitten av juni. Det låter som en lysande start. Men vad ligger egentligen bakom denna siffra?
- I augusti och september ökade antalet certifikat som utfärdades av Let's Encrypt särskilt kraftigt. Detta beror förmodligen på att de kostnadsfria SSL-certifikaten har en giltighetstid på 90 dagar. Den officiella marknadsstarten var Mai 2016. Källa: https://letsencrypt.org/stats/
Av de tio miljoner utfärdade certifikaten har nästan hälften gått ut
Siffran 10 000 000 säger väldigt lite till en början. Eftersom den innehåller data skräp: Certifikat förnyelser, flera certifieringar och utgångna certifikat räknas. Om du också vet att förnyelsecykeln för Let's Encrypt-certifikat är 90 dagar blir antalet alltmer relativt.
Mer informativt är antalet för närvarande giltiga certifikat: Let's Encrypt har för närvarande 5,51 miljoner giltiga certifikat. Återigen betyder det inte att det faktiskt finns så många webbplatser som är krypterade med Let's Encrypt. Men numret ger redan en första approximation.
- Det märks tydligt att antalet giltiga Let's Encrypt-certifikat bara ökade måttligt från augusti till september. I september stagnerar den till och med. Återigen är detta ett tecken på att många certifikat förnyades i augusti och september. Källa: https://letsencrypt.org/stats/
7,88 procent av certifikaten körs på DE-sidor
Enligt Let's Encrypts egen dokumentation körs 7,88 procent av certifikaten på .de toppdomäner. Varigenom det urval och den population som detta nummer baseras på eller som detta nummer kan relateras till inte anges. Detta gör tolkningen ganska svår, eftersom du inte vet något om numrets ursprung. Det kan förmodligen antas att detta är antalet sidor från vilka Let's Encrypt känner till TLD.
Man kan dock dra en slutsats av detta: Den tyska toppdomänen är den starkaste landsspecifika toppdomänen med 28 083 sidor räknade. Detta följs av .ru, .uk, .fr och även .cz. Mer populära är landsspecifika TLD:s som .com men också .ninja, varav Certifieringsmyndigheten räknar totalt 30 967.
- Antal certifikat efter toppdomäner. .de är för närvarande den mest representerade TLD. Också populära är .ninja, .me och .io. Värdena refererar förmodligen till alla sidor vars TLD:er är kända för certifikatutfärdaren. Källa: https://letsencrypt.org/stats/
Let's Encrypt rankad 14:e i världen
En annan bra källa är data från w3techs.com. Tjänsten samlar in andelen av vissa Internet-tekniker baserat på de tio miljoner bästa webbplatserna i världen som utfärdats av Alexa. Motsvarande webbplatser söks specifikt efter specifika tekniker. Om en träff görs ingår den i antalet. Du kan läsa mer om exemplet som används här.
Enligt w3techs är Let's Encrypt för närvarande fortfarande en mycket liten certifieringsmyndighet med en marknadsandel på 0,185 procent och ligger i den nedre tredjedelen av marknaden. Även om du bara tittar på certifieringsorganen, som har mindre än en procents marknadsandel, landar Let's Encrypt i baksätet. Både i absolut användning och när det gäller marknadsandelar.
- Sedan betastarten har Let's Encrypt stadigt tagit marknadsandelar. Den stora smällen, det vill säga övergången till exponentiell tillväxt, är dock fortfarande långt borta. Källa: https://w3techs.com/technologies/details/sc-letsencrypt/all/all
IdenTrust, certifikatutfärdaren som tillhandahåller rotcertifikaten för Let's Encrypt, ligger dock på tredje plats. Det är ett gott tecken. För om källan till rotcertifikaten har hög tillförlitlighet tenderar tjänsterna som baseras på dessa rotcertifikat också att vara pålitliga.
- Let's Encrypt ligger helt klart efter i serien av certifieringsmyndigheter på tredje plats. IdenTrust, å andra sidan, kan säkra tredje plats. Det måste sägas att det inte finns någon information om fullständigheten i denna förteckning över leverantörer. Källa: https://w3techs.com/technologies/overview/ssl_certificate/all
Särskilt mindre webbplatser med mindre trafikanvändning Låt oss kryptera
Den största nackdelen med Let's Encrypt jämfört med avgiftsbaserade certifikatutfärdare är fortfarande det kraftigt begränsade certifikatvalet. Den amerikanska certifieringsmyndigheten har hittills bara erbjudit en typ av certifikat: ett domänverifierat certifikat. Avancerade funktioner, som den berömda gröna adressfältet och utökade valideringar – t.ex. av ett företag eller en organisation – är för närvarande inte möjliga med Let's Encrypt. Naturligtvis betyder det inte att Let's Encrypt-certifikat är mindre säkra, bara att deras utbud av funktioner är begränsat.
- Låt oss kryptera kan till exempel inte utfärda sådana certifikat. Huruvida högre valideringsnivåer någonsin kommer är fortfarande osäkert.
En implementering av utökade funktioner är för närvarande inte i sikte. Eftersom validering av organisationer och företag kräver mantimmar och dessa i sin tur kostar pengar. En detaljerad diskussion om detta finns också i Let's Encrypt Forum.
Ergo, särskilt mindre webbplatser använder Let's Encrypt, vilket kan göra utan utökad validering. W3techs-data visar tydligt att Let's Encrypt för närvarande huvudsakligen används av webbplatser med låg till medelhög trafik. De största aktörerna på marknaden tenderar å andra sidan att betjäna webbplatser med genomsnittlig trafik. Eftersom dessa certifieringsorgan är vinstorienterade företag som logiskt vill vinna de stora och därmed välbärgade webbplatserna som kunder.
- Den här plotten visar den aktuella placeringen av Let's Encrypt Certification Authority jämfört med andra spelare. Slående: Både Let's Encrypt och IdenTrust används mer i lågtrafiksektorn. Källa: https://w3techs.com/technologies/details/sc-letsencrypt/all/all
Slutsats: Let's Encrypt har fortfarande en enorm potential enligt min mening
För en titt på kristallkulan är det inte så mycket data om sidorna med SSL-certifikat som är intressanta, utan snarare de sidor som ännu inte har ett SSL-certifikat. Enligt w3techs är detta 30,8 procent av sidorna. Även om orsakerna till bristen på ett SSL-certifikat på dessa webbplatser inte är uppdelade, är kostnaderna i kombination med de tekniska hindren sannolikt de största hindren för en bra andel av dem.
Båda förenklas nu kraftigt av Let's Encrypt och dess integration i användargränssnitt, t.ex. i värdleverantörernas instrumentpaneler. Ju mer medvetenhet Kalifornien-initiativet får, desto mindre antal webbplatser som inte har ett SSL-certifikat.
Hittills verkar det som om Let's Encrypt ännu inte har gjort övergången till exponentiell tillväxt. Det kan ändras 2017 om Chrome börjar märka webbplatser utan HTTPS. Beteendet hos andra webbläsartillverkare i denna fråga kommer också att påverka den fortsatta utvecklingen. Utvecklingen som initieras av Let's Encrypt ska dock välkomnas i alla fall, både för webbplatsoperatörerna och för värdleverantörerna.
Använder du redan ett Let's Encrypt-certifikat eller har du erfarenhet av det? Dela din kunskap med oss och andra användare. Som sys-admin av Raidboxes Jag svarar också gärna på dina frågor om SSL.
