Achtergrond: De SSL-markt in 2018

SSL-slotjes een must

Meer dan een derde van alle websites maakt anno 2018 nog steeds geen gebruik van SSL. Dat zijn niet alleen commerciële ondernemingen maar ook overheidsinstanties en zorginstellingen. Het gebrek aan een SSL-certificaat kan niet alleen schadelijke gevolgen hebben voor de gebruiker maar ook voor de onderneming of organisatie zelf.

 

SSL is bijvoorbeeld van belang wanneer websites worden gebruikt bij betalingen waarbij persoonsgegevens en wachtwoorden worden uitgewisseld. Vanwege de noodzaak van SSL heeft (nota bene) Google in april van dit jaar bekendgemaakt dat de Chrome-browser een waarschuwing laat zien wanneer een website zonder SSL-certificaat (het bekende ‘slotje’) wordt bezocht. Chrome vereist dat alle, na 30 april 2018, uitgegeven TLS-servercertificaten compliant zijn met de Chromium CT policy (zie kader Certificate Transparancy).

Certificate Transparancy
SSL-certificaten zijn kleine bestanden die digitaal een cryptografische sleutel koppelen aan de omschrijving van een organisatie. SSL-certificaten beveiligen transacties bij onder meer het gebruik van creditkaarten, data transfers, logins en browsen van social mediawebsites. Certificate Transparancy (CT) is een logging-mechanisme voor digitale certificaten die door certificaat- autoriteiten (CA’s) zijn uitgegeven. Het is een publiek toegankelijk logsysteem die domeineigenaren helpt bij de controle op misbruik. Ook registreert het alle informatie van een certificaat. Google was al een tijdje bezig om CT door te drukken. Tot voor kort was de deelname aan CT vrijwillig, maar nu is CT voor alle CA’s een vereiste.

De verwachting is dat andere type browsers dit ook gaan invoeren. Omdat Chrome een marktaandeel heeft van meer dan 60 procent zou Googles beslissing wel eens een standaard kunnen worden. Aangezien het overgrote aandeel van certificaten nog van voor 30 april 2018 is, blijven de waarschuwingen van de webbrowser voorlopig nog een beperkte oplossing.

Om alle waarschuwingen van browsers te voorkomen, zou ongeveer elke website voorzien moeten worden van een SSL-certificaat

Gratis SSL

Om alle waarschuwingen van browsers te voorkomen, zou ongeveer elke website voorzien moeten worden van een SSL-certificaat. De daarvoor gemaakte kosten kunnen geen argument zijn, want er zijn genoeg gratis SSL-pakketten beschikbaar die al een basis SSL-bescherming bieden. Let wel, dergelijke pakketten controleren niet de betrouwbaarheid van degene die een SSL-certificaat uitreikt. Immers, SSL biedt alleen een veilige verbinding maar biedt geen enkele garantie van de betrouwbaarheid van de firma of organisatie die zich achter de website bevindt. Malafide websites kunnen hiervan gebruikmaken doordat het slotje de indruk wekt dat ze betrouwbaar zijn. Wil je gebruikers meer bescherming bieden, dan zijn er type SSL-pakketten beschikbaar op basis van verschillende graden van validatie.

SSL-leveranciers

Volgens opgave van W3Techs.com zijn IdenTrust, Comodo en DigiCert Group wereldmarktleiders voor SSL. In Nederland zijn onder meer Comodo, Symantec, Entrust, DigiCert, Thawte, Geotrust, RapidSSL en GlobalSign bekende SSL-leveranciers. Ze leveren verschillende pakketten op basis van verschillende type certificaten met namen als Wild Card SSL, UCC-certificaten, Instant-, Essential-, Positive-, Multidomain-, Code Signing- en AMT SSL. Afhankelijk van het gewenste SSL-beschermingsniveau kan men kiezen uit DV, OV, of EV SSL.

De prijzen van certificaten vallen reuze mee

DV-, OV- of EV-certificaat aanschaffen?

Een DV-certificaat is de eenvoudigste en goedkoopste. Daarbij wordt alleen gecontroleerd of de aanvrager gerechtigd is om de domeinnaam te gebruiken. In de URL-balk wordt alleen een slotje geplaatst maar niet de bedrijfsnaam. Bij aanvraag van een OV wordt ook de organisatie gecontroleerd. Maar ook daar ontbreekt nog de bedrijfsnaam in de url. Bij EV wordt een grondige keuring uitgevoerd waarbij de organisatie bepaalde informatie moet aanleveren. Het is het duurste certificaat maar het biedt gebruikers wel het meeste vertrouwen. Bovendien wordt de bedrijfsnaam in de URL opgenomen.

De prijzen van certificaten vallen reuze mee. Voor een DV betaal je enkele euro’s per maand, oplopend tot enkele tientallen euro’s voor een EV-certificaat per domeinnaam. Voor de prijs hoeven ondernemingen en organisaties het dus niet te laten!

SL-validatie typen
Als maker van een website kun je kiezen uit verschillende type SSL-pakketten: DV, OV en EV. DV biedt een basisniveau die elke domeinnaam valideert. OV valideert, naast het domein, ook de data van de organisatie. Een variatie van OV SSL is Wildcard SSL die wordt gebruikt voor één domein die meerdere subdomeinen heeft. EV biedt het hoogste beschermingsniveau met de meest geavanceerde SSL

Certification.
De SSL-markt is in hoge mate gefragmenteerd door de aanwezigheid van talrijke leveranciers. Door de toename van het aantal datadiefstallen zien we een toenemende interesse bij eindgebruikers. OV SSL heeft het grootste marktaandeel, gevolgd door DV en EV. OV en DV bieden een basisniveau voor de beveiliging van websites. OV SSL is een kosteneffectieve methode dat een hoger beschermingsniveau biedt dan DV. EV biedt een hoog beschermingsniveau dat lastig te kraken is. Het is duurder dan de andere SSL-certificaten maar de verwachting is dat het marktaandeel van EV aanmerkelijk gaat groeien (1).
1. Sample- Global SSL Certification Market 2016-2020, Technavio.com

[Dit artikel is eerder gepubliceerd in het Security Dossier 2018 van ChannelConnect]

Lees het artikel hier in PDF