Ja, het gratis SSL certificaat van Let’s Encrypt is een goed idee.
Maar dat is een erg kort antwoord. En het leidt direct tot de vraag: “als gratis goed is, waarom zou je dan nog betalen voor een SSL certificaat?” Over die vraag gaat dit weblogartikel ook.
De conclusie (dan weet je dat alvast) is dat Let’s Encrypt beter is dan geen SSL certificaat. Dus heb je geen certificaat en wil je daar ook geen geld aan uitgeven, installeer dan Let’s Encrypt.
Maar… het is zeker de moeite om er een beetje geld aan uit te geven. Want een premium certificaat biedt extra voordelen. En het is laaghangend fruit: je onderscheidt je direct van andere sites en het kost bijna niets.
En dan nu: het lange verhaal!
Allereerst: wat doet een SSL certificaat eigenlijk?
Met een SSL certificaat (eigenlijk heet het al sinds 1999 TLS, maar we noemen het nog steeds SSL) wordt het dataverkeer van en naar een website versleuteld. Door die versleuteling (encryptie) kan het verkeer onderweg niet worden onderschept.
En dat is bijvoorbeeld belangrijk als er informatie wordt verzonden via een website, zoals met een contactformulier. Maar zeker als je ergens inlogt met een wachtwoord of een online betaling doet, is het belangrijk dat dat wachtwoord onderweg niet te lezen is.
Naast die encryptie, zorgt een SSL certificaat voor authenticatie van de server. Er wordt gecontroleerd of de getoonde site ook echt op de server staat die bij het certificaat hoort.
Websites die een SSL certificaat gebruiken, hebben een internetadres dat start met https, met de S van “secure” en in veel browser wordt er in de adresbalk een groen slotje getoond. Het https-protocol wordt steeds meer de standaard, niet alleen voor privacygevoelige pagina’s, maar voor álle pagina’s op íedere website.
Verschillende SSL certificaten
Het SSL certificaat bestaat al meer dan 20 jaar. Er zijn allerlei instanties die die certificaten uitgeven, zoals Comodo (die gebruiken wij), Symantec, GeoTrust en Thawte.
Het SSL certificaat bestaat in meerdere vormen:
- Domeinvalidatie
- Organisatievalidatie
- Extended Validation
De eerste vorm is de goedkoopste en simpelste versie, met een simpele en snelle aanvraagprocedure. Bij een certificaat met organisatievalidatie worden gegevens van de aanvrager gecontroleerd en vervolgens opgenomen in het certificaat voor extra vertrouwen.
Een SSL certificaat met Extended Validation bevat alle bedrijfsinformatie én toont de naam van de eigenaar van het certificaat ook direct in een groene adresbalk in de browser (zoals op deze site).
Let’s Encrypt
Sinds een paar jaar is het mogelijk een gratis SSL certificaat te installeren, uitgegeven door de Internet Security Research Group (ISRG). Deze ISRG, opgericht door oa. Google, Mozilla en Cisco, heeft zich enkele jaren geleden tot doel gesteld het hele internet via een versleutelde verbinding te laten lopen. Om dat te bereiken, hebben ze een eigen, gratis SSL certificaat ontwikkeld. Dat certificaat heet “Let’s Encrypt” (letsencrypt.org).
Er wordt al sinds 2012 aan Let’s Encrypt gewerkt en het eerste SSL certificaat werd uitgegeven in september 2015. Inmiddels heeft Let’s Encrypt meer dan 100(!) miljoen certificaten uitgegeven.
Voor- en nadelen Let’s Encrypt
Het Let’s Encrypt SSL certificaat is gratis en dat is al direct een flink voordeel. Daarnaast update het certificaat zichzelf automatisch iedere 90 dagen. Dus het is zonder gedoe altijd up-to-date.
Het Let’s Encrypt certificaat zorgt voor authenticatie van de server en het versleutelen van het dataverkeer. Dus het certificaat is op dat vlak precies even veilig als een betaald SSL certificaat.
Maar er zijn ook nadelen. Of eigenlijk: redenen waarom een betaald, premium SSL certificaat béter is. Die hebben vooral te maken met de aanvraagprocedure. Want Let’s Encrypt bemoeit zich helemaal niet met wie het certificaat aanvraagt. Het is dus een anoniem certificaat, met alleen domeinvalidatie.
En dat heeft 2 gevolgen:
- Het certificaat kan worden gebruikt door malafide websites.
- De bezoeker van een website kan niet zien met wie hij/zij te maken heeft.
Malafide websites
Het eerste punt hoor je nog weleens voorbijkomen als reden om Let’s Encrypt links te laten liggen: het certificaat zou gebruikt kunnen worden door malafide websites. Maar dat is een beetje kort door de bocht.
Het simpele feit dat een certificaat ook misbruikt kan worden om betrouwbaarheid te suggereren, maakt het certificaat niet onbetrouwbaar. Het is gewoon goed om je te realiseren dat je – ook als het dataverkeer niet onderschept kan worden én de website staat op de server die in het certificaat wordt genoemd – nog steeds goed moet opletten met wie je te maken hebt.
Dus of de mensen achter de site betrouwbaar zijn. Of je ze bijvoorbeeld kunt bellen. Of op een andere manier kunt controleren met wie je te maken hebt.
Met wie heb je te maken
En dat laatste, dat is nu net een flink voordeel van een premium certificaat. Want aan de aanvraag van zo’n certificaat gaat altijd een verificatie vooraf. Daardoor weet je zeker dat de aanvrager van het certificaat zich bekend heeft moeten maken. Dat maakt een premium, betaald certificaat betrouwbaarder.
Bovendien wordt die informatie bij een wat uitgebreider certificaat ook opgenomen ín het certificaat, waardoor je heel eenvoudig kunt zien met wie je te maken hebt.
Hoger in Google?
Tja, Google. Hoe zien die dit nu allemaal? Ze waarderen websites met een certificaat in de zoekresultaten hoger dan websites zonder zo’n certificaat. Maar willen ze nu dat je voor zo’n certificaat betaalt? Want ze werken zelf mee aan Let’s Encrypt…
Helaas beantwoorden ze deze vraag niet (dat geldt voor veel vragen over zoekmachineoptimalisatie). En er is een levendige discussie over, maar die wordt nogal beïnvloed door belanghebbenden. Want als je business het verkopen van premium SSL certificaten is, is Let’s Encrypt nogal een bedreiging.
Aan de andere kant: Google waardeert openheid. En dus zien ze zeker de meerwaarde van een premium certificaat waarmee bezoekers kunnen zien met wie ze zaken doen, uitgegeven door een professionele partij die ze vertrouwen.
Conclusie
Gebruik je op dit moment geen SSL certificaat en wil je daar ook geen geld aan uitgeven? Installeer dan het gratis Let’s Encrypt certificaat. Daarmee maak je het dataverkeer direct veiliger.
Wil je naast het beveiligen van je dataverkeer ook betrouwbaarheid uitstralen? Schaf dan een uitgebreider, premium SSL certificaat aan. En als je via je website met persoonsgegevens te maken hebt, is het zeker aan te raden om een premium SSL certificaat in te zetten. In het kader van de nieuwe privacyregels is het immers jouw verantwoordelijkheid om zorgvuldig om te gaan met de data van je bezoekers en met een premium certificaat laat je zien dat je de beveiliging van persoonsgegevens zeer serieus neemt.
Tot slot: de meeste browsers worden steeds dwingender in hun beleid rond SSL certificaten. Zo vindt Google Chrome een SSL certificaat inmiddels zo standaard, dat ze het gebruik ervan niet eens meer het vermelden waard vinden. Dat draaien ze zelfs om: heb je geen SSL certificaat, dan wordt je website als “onveilig” bestempeld. Heb je wel zo’n certificaat, dan zie je die melding niet. En alleen als je een SSL met Extended Validation gebruikt, zullen ze expliciet melden dat het een veilige site betreft.
Als je een premium certificaat met Extended Validation kost je dat ínclusief de installatie nog geen 15 euro per maand (inclusief btw). Zie www.mooiesite.nl/ssl/.
Ps. Alle websites die via Mooiesite.nl worden gemaakt, zijn standaard voorzien van een Let’s Encrypt SSL certificaat waarmee het dataverkeer wordt versleuteld.