Van de grootste wereldwijde websites gebruikt een derde nog steeds geen https-versleuteling. Dit constateert securityonderzoeker Scott Helme in zijn maandelijkse onderzoek naar de veiligheid van websites. Over het algemeen wordt de beveiliging van websites met protocollen steeds beter.

In zijn onderzoek over november 2021 richt onderzoeker Scott Helme zich op het gebruik van technieken die de veiligheid van websites moeten garanderen. Hiervoor onderzoekt hij met behulp van een crawler 1 miljoen websites die wereldwijd de meeste bezoekers hebben.

Over het algemeen is de onderzoeker tevreden over hoe websites zich beveiligen. Hij constateert dat de belangrijkste securitymaatregelen worden toegepast. Hoewel het gebruik van het versleutelingsprotocol https omhooggaat, valt het op dat slechts 72 procent van alle onderzochte 1 miljoen websites hierover nu beschikt. Dit betekent dat iets meer dan een kwart, 27 procent, dit nog niet heeft. Er valt daarmee nog winst te behalen.

Positiever is het gesteld met de vervanging van een ander verouderd versleutelingsprotocol; TLSv1.1. Nieuwe cijfers maken duidelijk zichtbaar dat dit protocol verdwijnt ten faveure van opvolgers TLS 1.2 en TLS v1.3. Deze laatste versie is nu al bij meer dan een derde van de onderzochte top 1 miljoen websites in gebruik.

Ontwikkelingen rondom certificaten

Op het gebied van certificaten zijn er ook interessante ontwikkelingen zichtbaar. Zo worden steeds vaker Let’s Encrypt-certificaten gebruikt. Dit soort certificaten zijn nu al goed voor een kwart van het totaal. Het aantal Cloudflare-certificaten neemt ook toe, nu goed voor ongeveer 12,5 procent van de top 1 miljoen websites.

Ondanks de blijvende toename van het aantal websites met https-versleuteling, daalt het gebruik van EV-certificaten snel. Volgens Helme is het duidelijk dat deze certificaten op den duur gaan verdwijnen. Onder meer komt dit doordat Google Chrome dit certificaat niet meer ondersteunt, evenals Firefox van Mozilla.

Meer RSA keys dan EDCSA keys

Verder keek Helme ook naar het gebruik van authenticatie-keys. Authenticatie-keys worden voor de beveiliging gebruikt tijdens het onderhandelen tussen servers en opvragers voor een https-verbinding. Tot zijn verrassing constateerde de onderzoeker dat websites hiervoor nog steeds RSA keys gebruiken in plaats van ECDSA keys.

Volgens hem geven RSA keys langzamere prestaties en minder security. Dit kan een grote impact hebben op de prestaties van de betreffende websites. Hij verwachtte dat websites juist veel meer gericht waren op hogere prestaties in combinatie met een goede beveiliging. Hiervoor zijn juist de ECDSA keys zeer geschikt. Die bieden betere prestaties en betere security op hetzelfde moment. Veel websites lijken daar dus anders over te denken.