Het gebruik van SSL certificaten voor websitebeveiliging heeft het afgelopen jaar erg veel aandacht gekregen. Niet vreemd, er gebeurt ook een hoop op dit gebied! Wat verwachten wij in 2016?
Let's Encrypt
Let's Encrypt biedt vanaf december 2015 als een open source initiatief gratis domein gevalideerde SSL certificaten aan. Het initiatief is een samenwerking tussen een aantal grote Amerikaanse organisaties.
Het aanbieden van gratis eenvoudige SSL certificaten is niet nieuw. Echter omdat het nu om een samenwerking tussen grote organisaties gaat, krijgt het aandacht onder het grote publiek en wordt het grootschalig uitgerold. Let's Encrypt levert SSL certificaten zonder bedrijfsgegevens die zorgen voor een beveiligde verbinding maar geen identiteitsgarantie geven. Een positieve ontwikkeling, want dit zorgt voor meer gebruik van SSL, een stijgend veiligheidsbewustzijn bij gebruikers en een veiliger
internet.
Naar een volledig versleuteld internet
Gebruik van https:// in plaats van http:// wordt de standaard. Grote online partijen zoals Facebook, Google en Cloudflare passen dit al langer toe, en Let's Encrypt zal het gebruik een flinke boost geven. Echter zal Let's Encrypt niet gaan controleren op zogenaamde 'high risk' domeinen. Hierdoor zullen phishing websites ook gemakkelijker aan een SSL certificaat kunnen komen.
Mede hierdoor overweegt o.a. Google de weergave van SSL in de Chrome browser aan te passen: websites zonder SSL geven dan een waarschuwing, websites met een standaard SSL certificaat geven geen melding of visueel kenmerk, en alleen websites met streng gecontroleerde Extended Validation certificaten worden duidelijk visueel benadrukt als veilig. Hierdoor zal de toegevoegde waarde en het gebruik van EV certificaten toenemen.
Oude protocollen worden vervangen
In 2016 zullen verschillende voor SSL gebruikte standaarden definitief verdwijnen. Het SHA-1 algoritme was jarenlang de standaard voor SSL certificaten en is zeer wijd verspreid. De overgang naar de opvolger SHA-2 gaat dan ook langzaam. Omdat wederom is aangetoond dat het protocol tegenwoordig kraakbaar is, valt in 2016 definitief het doek voor SHA-1. De browsers dwingen dit af door het gebruik van SHA-1 certificaten niet meer toe te staan. Naast SHA-2 is ECC als alternatief voor RSA in opkomst, een algoritme dat door een kortere sleutel sneller en efficiënter werkt. Dit maakt ECC erg geschikt voor mobiele apparaten.
Meer aandacht voor SSL instellingen
Voor een veilige verbinding is meer nodig dan de aanschaf van een certificaat en de installatie ervan. Het komt vaak voor dat de installatie niet goed is uitgevoerd en dat de serverinstellingen niet optimaal zijn. Bijvoorbeeld het nog toestaan van de onveilige SSL protocollen versie 2.0 en 3.0. Hierdoor blijft een website, en hiermee de uitgewisselde gegevens, kwetsbaar. Een handige tool om dit te controleren is SSLLabs.
Security scanning
Alleen een veilige verbinding is niet voldoende. Cybercriminaliteit groeit enorm, dus er is meer aandacht nodig voor het veilig houden van websites. Er zal meer aanbod komen op het gebied van vulnerability scanning en uitgebreide penetratietests.