Afgelopen mei publiceerden we een artikel over het feit dat Google Maps alleen nog maar werkte bij een beveiligde https-verbinding. Deze ontwikkeling zorgde ervoor dat we voor elke website een SSL-certificaat moesten aanvragen en installeren. Gelukkig kwamen we uit bij Let’s Encrypt, een organisatie die gratis SSL-certificaten verstrekt. Zeno Software vroeg een aantal certificaten aan om te testen of alles goed werkte. En dat deed het! Nu een paar maanden later maken we de balans op: hoe veilig zijn de SSL-certificaten van Let’s Encrypt?
Veiligheid SSL-certificaten
Zelf zijn we zeer positief over de gratis SSL-certificaten van Let’s Encrypt. Het werkt allemaal prima. En dat blijkt ook wel, want in korte tijd zijn er veel certificaten uitgegeven. Maar waar er voorstanders zijn, zijn er natuurlijk ook tegenstanders. Uit een artikel op Infoworld.com dat al in januari van dit jaar is gepubliceerd, komt naar voren dat websites misbruikt worden voor hackeractiviteiten. Hoe zit dat precies?
Misbruik van websites
Hoe kunnen hackers misbruik maken van websites die zijn versleuteld? Als eerste draaien veel websites op CMS’en als Joomla! en WordPress. Als een CMS niet regelmatig wordt voorzien van updates is de kans op veiligheidslekken groot. Hackers kunnen dan redelijk eenvoudig toegang krijgen tot een website en de dingen ermee doen die ze willen. Als tweede blijkt het mogelijk te zijn voor hackers om subdomeinen aan te maken onder een domeinnaam, waarvan de eigenaar van de website geen weet van heeft. Dat is wel opmerkelijk, want hoe kan dat? Dit gebeurt vaak via gehackte accountgegevens bij domeinregistratie websites. Hiermee kun je vrij eenvoudig een subdomein in het DNS van een domein zetten.
Reactie van Let’s Encrypt
Let’s Encrypt geeft aan dat zij een certificaat leveren waarin is gecontroleerd dat een bepaalde domeinnaam hoort bij een bepaald IP-adres. Deze koppeling van domein en IP wordt dan ook gecontroleerd bij de aanvraag van een SSL-certificaat. Door middel van het certificaat wordt het verkeer van en naar de website versleuteld verstuurd en dat werkt. En dat is dan ook precies hoe het is. Let’s Encrypt geeft SSL-certificaten uit aan de rechtmatige eigenaar. Is het de taak van Let’s Encrypt om hele websites te controleren of deze veilig zijn? Wij vinden van niet, deze taak behoort tot de beheerder van de website zelf.
Bij wie ligt de verantwoordelijkheid?
Het is een lastig verhaal. Je ziet als bezoeker van een website een slotje staan, dus je denkt dat je veilig bent. Niet is minder waar. Daarom is het als websitebezoeker belangrijk dat je altijd kijkt of je op de goede website bent. Is de domeinnaam wel juist? Of ben je doorgestuurd naar een website met een domeinnaam die wel lijkt op de naam, maar het net niet is? En dan komen we ook weer op het feit dat je niet zomaar moet klikken op links in een e-mail. Want hoe weet je dat je te maken hebt met de juiste afzender? Ook ligt er een belangrijke verantwoordelijkheid bij de eigenaar van een website. Deze moet zijn CMS up-to-date houden om binnendringers buiten te houden.
Let’s Encrypt
Wij vinden Let’s Encrypt nog steeds een goede optie. Het is een enorm succes. Veel websites die anders niet beveiligd zouden worden – vanwege ingewikkelde techniek of hoge kosten – worden via Let’s Encrypt wel versleuteld. Dit betekent dat het web echt wel veiliger wordt. En dat willen we allemaal.