Is het gratis Let’s Encrypt wel verstandig om te gebruiken

Is het gratis Lets Encrypt wel verstandig om te gebruiken

Is het gratis Let’s Encrypt wel verstandig om te gebruiken

Websites van organisaties of bedrijven moeten een beveiligde verbinding hebben wanneer zij persoonsgegevens versturen of ontvangen. Zowel via contactformulieren, webshops of via de e-mail. Sinds jaren zijn er betaalde certificaten van bijvoorbeeld Comodo, GlobalSign of GeoTrust. In 2015 is het gratis Let’s Encrypts certificaat van start gegaan. Maar is het wel verstandig om dit te gebruiken?

Sinds 2015 heb ik mijn hele website (inclusief e-mail) beveiligd met een betaalde SSL Certificaat. Meer hierover kunt u lezen in het artikel MJB Events PR met SSL Certificaat. Laten we eerst de reden bespreken waarom het van belang is om uw website te beveiligen met een SSL Certificaat.

Beveiligen van persoonlijke gegevens

Volgens de Wet Bescherming Persoonsgegevens (WBP) moeten persoonlijke gegevens versleuteld worden verstuurd. Denkt u maar aan adres-, betalings- en contactgegevens van u als klant. Het maakt daarbij niet uit of dit via een contactformulier, offerte aanvraag, webshop of via de e-mail worden verstuurd.

Wanneer een website hier niet aan voldoet, kan het Autoriteit Persoonsgegevens boetes opleggen tot over de € 5.000,- euro. Zonde van het geld, omdat een certificaat varieert tussen de € 6,00 tot enkele honderden Euro’s! (Prijzen zijn afhankelijk van het soort certificaat en de looptijd daarvan).

Werking van het SSL Certificaat (zo werkt het)

Gratis Let’s Encrypt?

In 2015 heeft een team ontwikkelaars een gratis dienst aangeboden, genaamd Let’s Encrypt. Dit kan bij verschillende webhostingbedrijven met enkele klikken worden geïnstalleerd.

Door Let’s Encrypt te installeren op uw server van uw website, maakt u vanaf dat moment gebruik van deze dienst. Zo heeft u net zoals een betaalde certificaat de https:// mogelijkheid om de website via de beveiligde verbinding aan te bieden. Alleen zijn hier enkele nadelen aan verbonden.

  • Malvertising verspreiden (malware via advertenties)
  • Verspreiden van malware
  • Geen vertrouwen bij de bezoekers
  • Veiligheidsmelding door de browser
  • Het komt goedkoop over bij de bezoekers
  • Onzorgvuldigheid met klantgegevens
  • Er is geen support bij de gratis diensten
  • Er is geen verzekerde waarden
  • De duur van het certificaat is erg kort (drie maanden)
  • Gratis certificaten leveren geen multi domeinen of wildcard

Gevoelige informatie

Volgens verschillende veiligheidsexperts wordt bewezen dat Let’s Encrypt eigenlijk niet veel toegevoegde waarde heeft aan een website. Doordat er geen persoonlijke verificatie is (wat bij een betaald certificaat wel het geval is), word de website niet gecontroleerd of deze echt bij het certificaat en op de betreffende webserver staan.

Naast het missen van deze controle speelt er nog een belangrijke rol. Weet u wie de gegevens allemaal te zien krijgen? Doordat Let’s Encrypt gratis wordt aangeboden (en bij veel webhostingbedrijven te installeren is), worden de gegevens versleuteld. Maar door wie eigenlijk? Dat is misschien hierbij de belangrijkste vraag. Hoe serieus neemt u de veiligheid van uw bezoeker en klant?

Ook de levensduur van een Let’s Encrypt certificaat is verontrustend. Deze certificaten zijn maar 3 maanden (90 dagen) geldig. Vaak worden deze certificaten opnieuw gegenereerd. Mocht dit niet gebeuren, dan krijgt u van de browser een onveilige website waarschuwing.

De levensduur van een betaald certificaat varieert. Deze zijn beschikbaar voor één, twee en drie jaar. Afhankelijk voor wat voor website en met welke doeleinden u het certificaat wil gebruiken!

Is Let’s Encrypt echt zo slecht?

Nee, Let’s Encrypt is in het leven geroepen om iedereen de mogelijkheid te bieden om gebruik te maken van een beveiligde verbinding (https), door middel van een SSL Certificaat.

Heeft u een gewone hobby website omdat u het leuk vindt om blogartikelen te schrijven?, tekeningen te delen? of foto’s te laten zien? Dan kunt u gerust gebruik maken van het gratis Let’s Encrypt.

Heeft u een bedrijfswebsite waar u persoonlijke gegevens van ontvangt? Dan zal ik u willen aanraden om gebruik te maken van een betaald certificaat. Deze certificaten beginnen al vanaf € 6,00 (domeinvalidatie) per jaar tot enkele honderden Euro’s. Afhankelijk van wat voor certificaat u besteld met welke levensduur!