Zo maakt Let's Encrypt internet veiliger
Nonprofitorganisatie Let's Encrypt maakt gratis beveiligde verbindingen voor websites mogelijk. Al 1 miljoen sites gebruiken het. Oprichter Josh Aas vertelt over z'n ambities.
In de adresbalk van je browser verschijnt regelmatig een icoon van een slotje. Zo'n slotje betekent dat je veilig met een website communiceert. Dit is bijvoorbeeld belangrijk bij het invullen van je adres- of creditcardgegevens: informatie die alleen de website mag inzien. Het slotje verschijnt bij websites die gebruikmaken van een ssl-certificaat. Normaal gesproken moet je zo'n certificaat kopen, maar Let's Encrypt geeft ze gratis weg.
Let's Encrypt is een zogeheten certificaatautoriteit en geeft sinds december van vorig jaar ssl-certificaten uit aan websites. Deze week is de nonprofitorganisatie het magische getal van één miljoen certificaten gepasseerd. "Dat is nog maar het begin", zegt Josh Aas, de initiatiefnemer van Let's Encrypt. Aas begon zijn loopbaan bij Mozilla, het bedrijf achter de Firefox-browser, en richtte in 2013 de Internet Security Research Group op. Deze nonprofitorganisatie wil de veiligheid van het internet verbeteren, en Let's Encrypt is hun eerste grote project.
Beveiligen en verifiëren van een website
Om het doel van Let's Encrypt goed uit te leggen, is het belangrijk om te weten wat een ssl-certificaat precies doet. Een ssl-certificaat heeft twee functies: het opzetten van een beveiligde verbinding tussen jou en de website, en het verifiëren van de identiteit van de website. Door het beveiligen van de verbinding wordt de connectie tussen jou en de website versleuteld, waardoor anderen niet kunnen zien welke data jij uitwisselt. Dat proces is volgens Aas relatief simpel, de lastigheid zit hem in het verifiëren van de identiteit van een website.
Het verificatieproces wordt in gang gezet zodra je een website met slotje - ook wel via https - bezoekt. Jouw browser bekijkt het certificaat en controleert vervolgens bij een vertrouwde certificaatautoriteit of de website echt is wie hij zegt dat hij is. "Het systeem hierachter is traditioneel gezien vrij complex, waardoor ontwikkelaars hun sites niet beveiligen. Met Let's Encrypt maken we het verificatieproces binnen een beveiligde verbinding veel simpeler", zegt Aas.
Niet meer betalen voor veiligheid
Let's Encrypt is een nieuwe en inmiddels vertrouwde certificaatautoriteit, maar dan zonder winstoogmerk. Andere bekende commerciële certificaatautoriteiten zijn Comodo, Symantec, GoDaddy en GlobalSign, waar je een ssl-certifcaat kunt kopen. De kosten variëren van een tientje tot enkele honderden euro's. Een duurder certificaat bevat bijvoorbeeld ook gegevens over de Kamer van Koophandel-inschrijving van het bedrijf. Let's Encrypt richt zich op de basiscertificaten die alleen de identiteit van de website verifiëren en een beveiligde verbinding opzetten.
"Zonder een certificaat is de communicatie tussen een website en zijn bezoekers voor iedereen in te zien", waarschuwt Aas. "Dat is onacceptabel en het duurt veel te lang om al die niet-https-verbindingen weg te werken." Uit onderzoek van Mozilla blijkt dat zo'n 40 procent van alle websites geen beveiligde verbinding ondersteunt en dat maar 65 procent van alle gevoelige transacties via een beveiligde https-verbinding wordt verwerkt. "In beide gevallen zou dat aantal 100 procent moeten zijn, om de privacy en veiligheid te bieden die mensen verwachten."
Van DirectAdmin tot WordPress
Het is voor gebruikers van een eigen webserver, hetgeen waar een website op draait, mogelijk om Let's Encrypt te installeren en een certificaat aan te vragen. Binnen enkele minuten kun je dan een beveiligde https-verbinding voor je website gebruiken. Het doel van Aas voor dit jaar is om Let's Encrypt om meer systemen beschikbaar te maken, zodat ook mensen zonder eigen server maar wel met een eigen website een ssl-certificaat aan kunnen vragen.
Onder andere CPanel en DirectAdmin, twee diensten om websites mee te beheren, bieden al ondersteuning voor Let's Encrypt. Je kunt dan de betreffende website selecteren en automatisch een certificaat instellen. "Ook de WordPress-community is enthousiast over het ondersteunen van Let's Encrypt", zegt Aas. Dit kan bijvoorbeeld met een plugin die WordPress-gebruikers installeren, waarna ze een gratis ssl-certificaat voor hun website kunnen aanvragen. "Maar ik kan nog niets zeggen over zo'n plugin of de release daarvan."
Waar doen ze het van?
Let's Encrypt wordt gesteund met donaties van grote bedrijven, zoals Mozilla, Google en Facebook. Zij betalen tussen de 350.000 en 150.000 dollar per jaar om Let's Encrypt te steunen. Met de donaties betaalt de nonprofit zijn werknemers en de kosten om certificaten uit te delen en een lijst met alle uitgegeven certificaten bij te houden.
"Het is een belangrijke stap voor het internet om het voor websites gemakkelijker te maken een https-verbinding te gebruiken", aldus Alex Stamos, hoofd beveiliging van Facebook. "Daarom is Facebook trots om Let's Encrypt te steunen."
Nederland is vooralsnog maar goed voor een klein deel van het aantal uitgegeven ssl-certificaten. Van de miljoen door Let's Encrypt verstrekte ssl-certificaten zijn er enkele tienduizenden uitgegeven voor websites met een .nl-domeinnaam. Dat aantal moet omhoog, vindt Haas: "Nu het voor iedereen zo simpel is om via Let's Encrypt een certificaat te krijgen, is er geen reden meer om websites niet te beveiligen."