/dc-useruploads-images/54ebe274b1414dd58211f9615b03eb0b.png)
Deze zomer heb ik bij mij thuis een server opgezet. Ik wilde ergens foto’s, filmpjes, series en muziek kunnen delen met mijn vrouw, maar had niet genoeg aan de ruimte die commerciële webservers voor cloudopslag bieden. Nu bromt er in een hoekje van mijn huiskamer een Rapsberry Pi met een externe harde schijf van twee terabyte.
Op de server draait ook Owncloud, een soort Dropbox, maar eentje die je zelf beheert. Als ik in de speeltuin een foto van mijn kinderen maak met mijn smartphone, kan ik die direct uploaden naar mijn huisserver.
Handig.
Maar niet al te veilig.
Aanvankelijk ging het verkeer van mijn smartphone naar mijn server over HTTP, het onbeveiligde internetprotocol. Foto’s van mijn kinderen verstuur ik liever over een beveiligde verbinding, HTTPS. De S staat voor Secure en is een cryptografische tunnel die mijn gegevens in principe zou moeten verhullen voor iedereen die op de lijn kan luisteren, zoals overheden, Internet Service Providers, hackers en iedereen met wie ik een netwerk deel. Die kunnen weliswaar zien dat ik iets verstuur, maar niet wat.
Op zich zou het instellen van HTTPS een eitje moeten zijn. Je hebt een beveiligingscertificaat nodig dat de webserver voortaan meestuurt als je contact met hem maakt. Zo’n certificaat kun je zelf maken en installeren, maar liever koop je er een bij een Certificate Authority. Die controleert of jij inderdaad het domein beheert waaronder de webserver valt.
Ik had geen zin om een certificaat te kopen en heb er zelf een gemaakt. Het kostte me een avond. Wat een gedoe. Er was flink wat geploeter op de command line voor nodig om precies het juiste certificaat in het juiste mapje te krijgen en mijn webserver precies zo in te stellen dat hij het certificaat herkende, accepteerde en voortaan netjes zou gebruiken. Eén komma verkeerd en je bent weer een uur verder.
Maar: dit gepiel en gehannes is nu niet meer nodig. Want sinds een weekje is Let’s Encrypt beschikbaar voor het grote publiek.
Wat is Let’s Encrypt?
Een softwareprogramma, gemaakt door een aantal stichtingen en bedrijven. Hun doel: het internet veiliger maken. Sinds 2012 werken de organisaties aan een manier om meer internetverkeer over een beveiligde verbinding te laten verlopen: HTTPS. De truc die Let’s Encrypt heeft verzonnen is eenvoudig: zorg dat websitebeheerders makkelijker HTTPS kunnen instellen. Met het programma Let’s Encrypt kun je dat binnen een paar minuten doen.
Waarom is deze software nodig?
Simpelweg omdat er zoveel partijen mee kunnen kijken met wat jij allemaal op internet doet. Iets alleen met HTTP versturen is alsof je je brieven en formulieren zonder envelop op de post doet: iedereen die de brief of het formulier in handen krijgt, kan het lezen.
Lange tijd bestond het idee dat dit soort beveiligde verbindingen alleen echt nodig waren voor financiële transacties. Je wilt niet dat andere partijen mee kunnen kijken wat er allemaal van en naar je bankapp wordt verstuurd. Of erger nog, dat ze informatie kunnen stelen of veranderen. Inmiddels is het voor veel mensen heel normaal om even te checken of ze in hun adresbalk wel een groen slotje zien. Dat slotje geeft aan of je op een HTTPS-verbinding zit.
Maar sinds een paar jaar is het overduidelijk dat er veel van jouw data wordt onderschept door een veelvoud aan partijen:
- Advertentieboeren, webanalyticsbedrijven en datahandelaren proberen zo veel mogelijk informatie over je te verzamelen om geld aan je te verdienen. Als data onversleuteld worden verzonden, liggen ze geregeld voor het grijpen.
- Inlichtingendiensten zoals de NSA, GCHQ en de AIVD zijn ook blij met zoveel onversleuteld verkeer. Zo kon de NSA stiekem de interne kabels van Google aftappen omdat die data onversleuteld transporteerden. Nu wordt vrijwel alles bij Google over HTTPS verstuurd.
- Hackers zijn ook dol op onversleuteld verkeer. Zonder HTTPS liggen wachtwoorden, cookies en andere interessante identificerende informatie voor het grijpen. Zit je in de trein op de wifi van de NS? Reken er maar op dat andere reizigers allerlei informatie van jou kunnen onderscheppen.
De cijfers spreken elkaar nogal tegen, maar je mag ervan uitgaan dat slechts rond de 10 procent van de websites standaard een beveiligde verbinding aanbiedt. Slechts iets meer dan vijf procent van de Nederlandse overheidswebsites levert data via HTTPS.
Als versleutelen zo belangrijk is, waarom doen zo weinig sites het dan?
Er is een aantal redenen waarom webbeheerders niet op HTTPS overgaan:
- Het gedoe. Beheerders voelen niet de urgentie om er mankracht voor vrij te maken. Als je een wat grotere organisatie hebt, dan moet je certificaten aanschaffen, installeren, onderhouden (want ze verlopen meestal weer na een jaar).
- De kosten. Op internet, waar alles zo’n beetje gratis beschikbaar lijkt, hebben mensen geen zin om enkele tientjes tot enkele duizenden euro’s per jaar uit te geven aan certificaten.
- Technische drempels. Veel websites kunnen niet zomaar overstappen, omdat ze op hun site materiaal van derden hebben die niet wordt versleuteld. Veel media hebben bijvoorbeeld advertenties die niet via HTTPS worden geleverd. Als het medium dan toch op HTTPS overgaat, is de kans op foutmeldingen groot. Dat is slecht voor de gebruikservaring.
En hoe gaat Let’s Encrypt dat veranderen?
Simpel: door een robot het werk te laten doen. Let’s Encrypt heeft een uitgever van beveiligingscertificaten bereid gevonden om in te staan voor de authenticiteit van de certificaten. Zo weet een websitemaker zeker dat de browsers hun sites zullen vertrouwen.
Het aanvragen en installeren van zo’n certificaat is vrijwel geheel geautomatiseerd. Je hoeft alleen een paar commando’s in je webserver in te voeren en al het werk wordt je uit handen genomen. Uiteraard heb ik de proef op de som genomen en ik had het certificaat binnen tien minuten geïnstalleerd. Een verademing.
Wordt het internet eindelijk dichtgetimmerd?
Let’s Encrypt zal lang niet alle veiligheidsproblemen op het internet kunnen oplossen, maar kan het basisniveau van veiligheid wel flink verhogen. Als Let’s Encrypt zijn beloften waarmaakt, hebben veel website- en systeembeheerders geen excuus meer om onbeveiligde verbindingen in de lucht te houden. Daarmee kunnen ze veel kleine, en soms grote narigheid voorkomen.
Tot slot...
Of Let’s Encrypt de ‘killerapp’ gaat worden die de veiligheid op internet met een reuzenstap vergroot, dat moet natuurlijk nog blijken. Er kan nog van alles fout gaan. De implementatie van de software blijkt niet te deugen, de procedure van uitgifte en authenticatie blijkt niet goed, of de organisatie erachter blijkt financieel niet levensvatbaar: het kan allemaal. Maar als het Let’s Encrypt lukt om de belofte waar te maken - en tot nu toe levert het team wat het moet leveren - ligt een veiliger internet wel degelijk in het verschiet.
Wil je zelf aan de slag? Op de site van Let’s Encrypt vind je instructies over hoe je een certificaat kunt aanvragen en installeren. Er is ook al een actief forum waar je vragen kunt stellen en oplossingen voor eventuele problemen kunt vinden.Wil je meer weten?
Ik vond de twee onderstaande presentaties heel nuttig.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
