Sterke toename van HTTPS in 2017 ook verwacht in 2018

Op het gebied van SSL en online security is er in 2017 een hoop gebeurd, waarvan een aantal ontwikkelingen ook nog een flinke impact zullen hebben in het komende jaar. 2018 belooft dan ook een spannend en dynamisch jaar te worden. Een terug- en vooruitblik.

Stimulatie HTTPS gebruik

Een rode draad in 2017 is het stimuleren van het gebruik van HTTPS door de browsers en overheden, en een groeiend aanbod van gratis Domein validatie certificaten en standaard integraties zoals in cPanel. Google monitoort van de topsites wereldwijd het gebruik van HTTPS, in Nederland publiceert Pulse regelmatig over HTTPS gebruik in de publieke sector.  Naast monitoring hebben browsers zoals Google Chrome en Mozilla Firefox hun browser waarschuwingen meerdere malen aangescherpt. Op dit moment wordt er actief gewaarschuwd met een ‘Not Secure’ melding bij alle onbeveiligde webpagina’s die invulvelden bevatten.

Wat zijn de resultaten?

In februari vorig jaar meetten de browsers voor het eerst dat meer dan de helft van alle webpagina’s via HTTPS werden geladen. Tegen het einde van 2017 was dit gestegen naar 66% van alle pageloads via Firefox, en 69% van de pageloads via Chrome. Qualys meette begin deze maand een aandeel van bijna 65% beveiligde websites, terwijl dit 12 maanden daarvoor nog 51% van de gemeten websites was. Alle landen en platformen laten een constante stijging zien.

Bij Xolphin zien we een toename in de vraag naar DV certificaten, terwijl de verkoop van OV certificaten nagenoeg gelijk is gebleven. We zien een stijging van ongeveer 48% in de uitgifte van EV certificaten in 2017 ten opzichte van 2016.

Organisatorische verschuivingen

Er is al veel over geschreven, de discussie tussen Google en Symantec en de overname van de Symantec SSL divisie door DigiCert. Sinds december 2017 verzorgt DigiCert de certificaatuitgifte van Symantec, GeoTrust en Thawte certificaten. 2018 zal in het teken staan van het heruitgeven van alle voor 1 december 2017 uitgegeven certificaten. Daarnaast werd in oktober 2017 bekendgemaakt dat een grote investeerder een meerderheidsaandeel heeft gekocht van Comodo’s certificaten tak.

Technische ontwikkelingen

Er zijn veel technieken en initiatieven die extra controle en hierdoor veiligheid toevoegen aan het gebruik van HTTPS. Niet alle technieken blijken in de praktijk even bruikbaar te zijn.
Zo heeft Google aangekondigd dat ze per eind maart 2018 stoppen met het ondersteunen van Public Key Pinning, omdat er inmiddels betere alternatieven zijn - gebruikmaken van Certificate Transparency in combinatie met CAA records bijvoorbeeld. Vanaf september 2017 zijn alle CA’s verplicht CAA records te controleren. Vanaf oktober 2017 zou het gebruik van Certificate Transparency verplicht gesteld worden voor Domein- en Organisatie validatie certificaten, maar deze deadline is verschoven naar april 2018.

Het CA/Browser forum heeft een voorstel aangenomen voor het verder beperken van de looptijd van SSL certificaten. Per 1 maart 2018 mogen alle SSL certificaten een maximale looptijd van 825 dagen hebben, oftewel 2 jaar.

Een goede ontwikkeling is dat HSTS (HTTP Strict Transport Security) steeds meer wordt toegepast voor standaard gebruik van HTTPS, zodat het gebruik van een veilige verbinding afgedwongen wordt. Begin januari gebruikte ruim 15% van de met SSL beveiligde websites HSTS.  Ook het gebruik van Perfect Forward Secrecy is het afgelopen jaar toegenomen van 29,6% tot 37%. Het gebruik van het HTTP/2 protocol neemt langzaamaan toe, in 2017 van 12% naar ruim 22%. Voor het gebruik van HTTP/2 verplichten de meeste browsers gebruik van HTTPS.

Wat gebeurt er verder in 2018?

Vanaf januari dit jaar verplicht Mozilla in de Firefox browser voor alle nieuwe features het gebruik van HTTPS. Google heeft aangekondigd dat ze vanaf 1 juli dit jaar niet alleen webpagina’s met invulvelden, maar alle HTTP pagina’s gaan markeren als onveilig.

Vanaf mei wordt de nieuwe Europese privacywet GDPR van kracht, waarbij onveilig beheer van gegevens strenger zal worden afgestraft. Mede hierdoor is de verwachting dat het gebruik van HTTPS een nog grotere vlucht gaat nemen en het gebruik van veilige verbindingen definitief de standaard wordt.