Verwachte toename van HTTPS in 2018 gerealiseerd

22 January 2019

Er is een hoop gebeurd het afgelopen jaar, zowel op de internationale SSL markt als bij Xolphin. Qua SSL gebruik was 2018 een keerpunt: voor het eerst zijn er wereldwijd meer beveiligde dan onbeveiligde websites. Begin vorig jaar was de verwachting dat het gebruik van HTTPS een grote vlucht zou gaan nemen, en het gebruik van veilige verbindingen definitief de standaard zou worden. Een jaar later blijkt dit een realistische verwachting geweest te zijn: Inmiddels gebruikt de top 100 websites wereldwijd HTTPS, loopt 70% tot 80% van alle page loads via HTTPS en waren er in juni 2018 wereldwijd 32,6 miljoen certificaten in gebruik. Dit is een stijging van 68% ten opzichte van 2017, en van 500% ten opzichte van 2016! Wat is verder gebeurd in 2018?

Impact van de nieuwe privacywet

De invoering van de GDPR in mei heeft flink impact op het gebruik van SSL. Vanaf 25 mei 2018 is de nieuwe Europese privacywet van kracht, in Nederland de Algemene Verordening Gegevensbescherming (AVG) genoemd. Hiermee werd op Europees niveau SSL verplicht gesteld voor alle websites die gegevens verzamelen. En praktisch iedere website heeft wel een invulveld, bijvoorbeeld een inlogmogelijkheid of contactformulier. Het niet veilig omgaan met gegevens die bezoekers op je website invullen, wordt nu zwaarder bestraft.

Wijzigingen van HTTPS weergave in Chrome

Google heeft het gebruik van SSL een flinke boost gegeven door steeds meer te waarschuwen bij websites zonder HTTPS. Vanaf juli 2018 waarschuwt Chrome standaard bij alle onbeveiligde websites. Sinds begin 2017 toonde Chrome een groene ‘Secure’ melding bij alle websites met een HTTPS verbinding. Vanaf september 2018  wordt deze melding niet meer getoond, en zijn de meldingen juist omgedraaid: er wordt nu een 'Not Secure' waarschuwing getoond bij alle onbeveiligde websites. Deze melding neemt bovendien qua zichtbaarheid toe. De meeste browsers waarschuwen tegenwoordig minimaal bij onbeveiligde invulvelden.

Chrome tijdlijn HTTPS

Gebruik per soort SSL certificaat

Voordelige DV (domein validatie) certificaten worden het meest gebruikt, met ongeveer 94% van alle uitgegeven certificaten. Toch zien we dat relatief gezien certificaten met bedrijfsgegevens (organisatie validatie) vaker worden gebruikt door (grotere) websites die meer bezoekers hebben. Hierbij is de verdeling tussen DV, OV en EV (uitgebreide validatie) respectievelijk 38%, 49% en 13%. Opvallend is dat dit verschil nog groter is bij ecommerce websites: maar liefst 66% hiervan gebruikt certificaten met bedrijfsgegevens (waarvan 33% OV-certificaten gebruikt, en 33% EV certificaten). Overigens is sinds maart 2018 de geldigheidsduur van alle SSL certificaten beperkt naar 2 jaar.

Het gebruik van SSL voor phishing websites is het afgelopen jaar flink toegenomen. Hiervoor worden DV certificaten zonder bedrijfsgegevens gebruikt, omdat het uitgifteproces daarvoor minder streng is en ze voordelig of zelfs gratis verkrijgbaar zijn. Uit onderzoek blijkt dat ruim de helft van alle phishing websites inmiddels HTTPS gebruikt. De HTTPS verbinding geeft phishing websites een misleidende vertrouwde uitstraling. Door de strenge controle voor uitgifte van een EV certificaat, verkleint het de kans op phishing websites aanzienlijk. Om zich sterk te maken voor het belang van certificaten met bedrijfsgegevens hebben een aantal CA’s in juni 2018 het London Protocol opgericht.

Het gebruik van EV certificaten in Nederland is in de afgelopen 3 jaar meer dan verdubbeld. Sectigo (voorheen Comodo) heeft hierin met bijna 70% het grootste marktaandeel. En waar eerst vooral financiële - en ecommerce websites EV SSL gebruikten, zijn dit nu ook steeds meer MKB websites.

Overgang van Symantec naar DigiCert

Alle Symantec, GeoTrust en Thawte certificaten die zijn uitgegeven uit de oude Symantec infrastructuur - voor 1 december 2017- worden vanaf eind 2018 niet meer vertrouwd. De exacte data zijn afhankelijk van de gebruikte browser. Hierna geven deze certificaten bij bezoek aan een website een foutmelding. De Certificate Authority DigiCert verzorgt tegenwoordig de uitgifte van Symantec certificaten. Heb je nog geldige certificaten uitgegeven voor 1 december 2017? Je kunt deze kosteloos laten heruitgeven zodat ze wel ondersteund worden.

Comodo gaat verder als Sectigo

Comodo CA heet vanaf 1 november 2018 Sectigo. Dit geldt voor de bedrijfsnaam, maar ook voor alle merk - en productnamen. Om de overgang geleidelijk te laten verlopen wordt het komende jaar 'Sectigo, formerly Comodo CA' gebruikt. Behalve de naamswijziging is er weinig impact, alle certificaten blijven gewoon werken. Qua installatie of gebruik zijn er geen wijzigingen of her-installaties nodig en de certificaten blijven vertrouwd door browsers en applicaties. Wel zijn er nieuwe trustlogo's op basis van het nieuwe Sectigo logo beschikbaar, en is er per 14 januari 2019 een nieuw intermediate certificaat in gebruik genomen.

Sectigo voorheen Comodo

Ontwikkelingen bij Xolphin

Xolphin is hard gegroeid en druk bezig met internationale uitbreiding, waarbij de focus ligt op West-Europa en Scandinavië. Hiervoor hebben we in 2018 veel aandacht besteedt aan verdere professionalisering. Zo is Xolphin sinds 2018 naast ISO 27001 en WebTrust nu ook 9001 gecertificeerd. Dit zorgt naast de aandacht voor informatiebeveiliging voor stricter kwaliteitsbeheer- en richtlijnen voor het valideren van certificaten. Vanwege de snelle groei is Xolphin in maart 2018 verhuisd naar een ruimer pand op een centrale locatie in Alkmaar. Dit bood meteen ruimte om het team uit te breiden: zo zijn de afdelingen finance, development en validatie flink uitgebreid. Het validatieteam kan inmiddels in 11 verschillende talen valideren, wat hard nodig is voor het optimaal bedienen van onze internationale klanten. Ook hebben we nu meer ruimte voor het bieden van stageplekken voor studenten en scholieren. Om ook buiten de Benelux ons hoge service level te garanderen, zijn er in diverse Europese landen lokale mensen voor Xolphin actief. 

Wat gebeurt er in 2019?

Volgens het CA Security Council, een samenwerkingsverband tussen de grote CA’s, is tegen het einde van dit jaar zeker 90% van het internetverkeer wereldwijd beveiligd met TLS. In augustus 2018 is TLS versie 1.3 gepubliceerd. De encryptie protocollen TLS 1.0 en 1.1 worden vanaf begin 2020 uitgefaseerd. TLS 1.2 wordt dan de nieuwe standaard, en het gebruik van de laatste versie, 1.3, wordt gestimuleerd. De verwachting is dat het gebruik van TLS 1.3 dit jaar met 30% zal toenemen.

Daarnaast is het de verwachting dat het gebruik van ‘encrypted phishing’ met gratis certificaten verder zal toenemen. Dit maakt het gebruik van certificaten met bedrijfsgegevens, die naast encryptie ook zorgen voor een identiteits garantie, steeds relevanter.  In dit licht zijn de plannen van de browsers voor de weergave SSL certificaten interessant, de vele wijzigingen op dit gebied van de afgelopen tijd hebben namelijk ook voor verwarring gezorgd. Het zou goed zijn als de browsers qua weergave een eenduidige weg inslaan, waarbij er voldoende aandacht besteed wordt aan de verschillende validatieniveaus.

Bronnen:

point up