Certificaten: hoe worden ze gebruikt, en waarom zijn ze belangrijk? Hapklare statistieken over Let's Encrypt, en educatie voor leken

In het verlengde van het uitrollen van een encrypted DNZM, is het hoog tijd om - nu Let's Encrypt ongeveer een kwartaal in public beta is - te kijken wie er nog meer gebruik van maken, en waarom. James Jones kijkt naar wat data over uitgifte van certificaten. Hij zoekt daarbij vooral naar het antwoord op de vraag of Let's Encrypt-certificaten vooral worden gebruikt ter vervanging van bestaande certificaten (dus "om iets gratis te doen dat tot nu toe betaald was"), of op domeinen die eerder nog niet van een certificaat voorzien waren (dus "hee, nu het gratis is wil ik er misschien wel aan").

Hij ploegt moedig door ruim 92GB aan data heen ("this query takes about 4 hours on my home server", ha, telt dit nu als Big Data?), en komt tot de conclusie dat ruim 93% van de LE-certificaten op nieuwe domeinen terecht komt. Hij geeft zelf al aan dat er hier en daar wat caveats zijn, maar de dataset is behoorlijk groot, en zelfs als je dat percentage naar beneden afrondt, blijft het nog steeds duidelijk dat LE ertoe heeft bijgedragen dat er veel sites, die eerder plain-text waren, nu encrypted zijn. Ruim tweee en een half miljoen certificaten uitgereikt in een kwartaal, dat is geen kattepis.

Verder kijkt Jones nog naar de aantallen actieve certificaten (die dus op tijd verlengd zijn), en daar is te zien dat er ongeveer 700.000 LE-certificaten niet verlopen zijn. Dat maakt de uiteindelijke behoefte iets minder groot, ogenschijnlijk, aangezien er dus een fikse groep mensen is geweest die - vermoedelijk - het eens hebben uitgeprobeerd, en later hebben besloten dat het toch niet helemaal hun ding is. Het kan ook zijn dat er heel veel "gedumpte" certificaten het beeld een beetje vertekenen; bij de aanloop naar de SSL-ificatie van DNZM heb ik zelf ook wel een paar certificaten "verstookt" (eentje met alleen doenietzomoeilijk.nl, eentje met www.doenietzomoeilijk.nl als extra naam, enzovoorts). Om dat echt zeker te weten zou ik zelf de data eens binnen moeten lurken en ermee moeten spelen. Staat eerlijk gezegd niet heel erg hoog op de prioriteitenlijst, momenteel...

LE is in ieder geval gegroeid tot de nummer vier qua uitgedeelde certificaten (onder Comodo, Symantec en GoDaddy). Best netjes, er blijkt dus een behoorlijk grote behoefte te zijn die eerder niet werd vervuld. Tegelijk blijft er nog steeds een flinke markt voor betaalde certificaten, en dat is logisch: LE houdt zich niet bezig met wildcards en EV-certificaten, dus daarvoor blijven die partijen nodig. En zolang LE nog niet een kwestie is van "op een knopje drukken in een hosting control panel" zal die markt ook nog voornamelijk voor de reguliere certificatenboeren blijven.

Verder, los van het hoe en hoeveel, probeert Mozilla (die van de browser) voor de mensen die nog niet helemaal snappen wat de reden voor al die behoefte aan encryptie is, het waarom een beetje toe te lichten in de eerste aflevering in een serie over privacy. Daarin wordt, in lekentaal, uitgelegd waarom encryptie nodig is voor privacy. Ik ben benieuwd waar ze met de serie heen gaan, maar het is in ieder geval iets dat je aan je digibete Tante Mien kunt laten zien (nou ja, zolang Tante Mien Engels verstaat, natuurlijk), en waarmee Mozilla hoopt een beetje awareness te kweken bij Het Grote Publiek. Hopelijk slaat het aan. Als je niets te verbergen hebt, heb je nog steeds behoefte aan privacy, die boodschap mag nog wel iets breder bekend worden.

- Categorie: Artikelen / Tags: letsencrypt, mozilla, encryptie, privacy, tls, ssl

comments powered by Disqus

« Spelerij met Docker - Geheugensteuntje én voortuitgang op IPv6-gebied »