Let’s Encrypt: wordt veilig webverkeer de standaard?

Bij het bezoeken van bepaalde websites (zoals vb. http://www.combell.com) verschijnt er in de adresbalk van je browser een hangslot.  Daarmee geeft de browser aan dat je de website bezoekt via een beveiligde verbinding. Alle informatie tussen de browser en de website wordt versleuteld.  Op voorwaarde dat je de website vertrouwt kan je met een gerust hart vertrouwelijke informatie (wachtwoorden, kredietkaart nummers, …) doorsturen; niemand kan onderweg de informatie zien of stelen.

Die versleuteling gebeurt aan de hand van een SSL certificaat. Het certificaat bevat sleutels om de informatie te versleutelen en te ontsleutelen. Meestal heeft het certificaat nog een tweede functie die we “organisatie validatie” noemen. Daarbij garandeert de organisatie die het certificaat heeft uitgereikt dat de website die je bezoekt eigendom is van een bepaalde persoon of bedrijf.

Screenshot: de adreCombell SSL sbalk van de browser geeft aan dat je verbinding met de website versleuteld is en dat de website eigendom is van Combell nv uit België.

SSL certificaten worden veelal uitgereikt door commerciële bedrijven zoals GlobalSign, COMODO, DigiCert, … Daar deze bedrijven aan de wereld willen garanderen dat websites eigendom zijn van bepaalde personen (organisatie validatie) doen ze in meerdere of mindere mate inspanningen om te controleren of jij wel bent wie je beweert te zijn en of je echt de eigenaar bent van een bepaalde website of URL. Héél wat administratie voor zowel jij als eigenaar van de website als voor de organisatie die het certificaat uitreikt. Die laatste zal daarom vaak een (jaarlijkse) vergoeding vragen die flink kan oplopen.

Het aanvragen en installeren van een SSL certificaat om een beveiligde verbinding met een website op te zetten is bovendien niet eenvoudig. Deze twee redenen samen zorgen ervoor dat te weinig websites gebruik maken van een beveiligde verbinding.

Daar heeft de “Internet Security Research Group” nu iets aan gedaan met het project “Let’s Encrypt“. Let’s Encrypt deelt gratis SSL certificaten uit waarvoor je bovendien zo goed als geen administratie moet verrichten en die (zeker op het Linux platform) makkelijk te installeren zijn.  “Organisatie validatie” is natuurlijk niet mogelijk maar “domein validatie” wel: je krijgt geen certificaten voor websites (domeinen) waarvan je niet kan bewijzen dat je ze beheert. En uiteraard, wLet's Encryptat het belangrijkste is, het SSL certificaat zorgt voor een perfect veilige (versleutelde) verbinding tussen je website en de bezoekers van je website.

Screenshot: de adresbalk van de browser geeft aan dat je verbinding met de website versleuteld is. (géén organisatie validatie).

In twee volgende blogposts (geeks only ;)) leg ik uit hoe je Let’s Encrypt kan gebruiken op Linux (Apache) en Windows (IIS). Voor wie minder technisch aangelegd is maar belang hecht aan een veilige website is er goed nieuws. Hostingbedrijf Combell biedt binnenkort Let’s Encrypt certificaten aan op alle Linux websites.

Wil je meer weten? Vragen of opmerkingen? Contacteer me !