Forventet stigning i HTTPS i 2018 realiseret

22 January 2019

Der er sket mange udviklinger på det internationale SSL-marked og hos Xolphin. 2018 var et vendepunkt for brugen af SSL: for første gang nogensinde, er der mere sikre hjemmesider end usikre hjemmesider. Tidligt sidste år var en stor stigning i brugen af HTTPS forventet, hvilket førte til at sikre forbindelser er den nye standard. Et år senere, synes dette at være en realistisk skøn: I dag bruger de 100 bedste websteder over hele verden HTTPS, mellem 70% og 80% af alle sider er indlæst via HTTPS, og i juni 2018 var 32,6 millioner SSL certifikater globalt i brug. Dette er en stigning på 68% i forhold til 2017 og 500% i forhold til 2016! Lad os se på andre interessante udviklinger i 2018.

Virkningen af ??den nye privatlivslovgivning

Indførelsen af ??GDPR i maj havde stor indflydelse på europæisk SSL-brug. Den nye europæiske lov om beskyttelse af personlige oplysninger har været gældende fra den 25. maj 2018. Den nye lov om beskyttelse af personlige oplysninger gjorde SSL obligatorisk for alle europæiske websteder, der indsamler data. Næsten hver hjemmeside har et inputfelt som et loginfelt eller et kontaktformular. Håndtering af kundedata uden kryptering og uden et SSL certifikat har nu alvorlige konsekvenser.

Ændringer i visningen af HTTPS i Chrome

Google gav brugen af ??SSL et løft ved at øge synligheden af ??advarsler til websteder uden HTTPS. Fra juli 2018 advarer Chrome om usikre forbindelser. I begyndelsen af ??2017 begyndte Chrome at vise en "sikker" meddelelse til websteder med HTTPS. Google stoppede med at vise denne "sikre" meddelelse i september 2018, og erstattede den med en advarsel for usikre websites i stedet: nu vises en "ikke sikker" advarsel for alle usikre websites. Denne advarsel bliver mere synlig over tid. I dag viser de fleste browsere advarsler for usikre websteder og usikre indtastningsfelter.

Chrome timeline HTTPS

SSL certifikatbrug pr. type

Lavpris DV certifikater bruges mest: ca. 94% af alle udstedte certifikater er DV certifikater. Certifikater med virksomhedsdata bruges ofte af (større) websteder med flere besøgende. Brug af DV, OV og EV certifikater er henholdsvis 38%, 49% og 13%. Denne forskel er endnu større for e-handelswebsteder, hvis brug af certifikater med virksomhedsdata er 66% (hvoraf 50% bruger OV certifikater og 50% bruger EV certifikater). Desuden blev gyldighedsperioden for alle SSL certifikater begrænset til 2 år fra marts 2018, og TLS version 1.3 blev udgivet i august 2018.

Brugen af ??SSL til phishing-websteder er steget hurtigt sidste år. DV certifikater uden virksomhedsdata har den mindst strenge udstedelsesproces, og de er enten gratis eller meget billige. Derfor bruges de ofte til phishing formål. Forskning viser, at mere end halvdelen af ??alle phishing websteder bruger HTTPS. HTTPS forbindelsen giver phishing websteder et vildledende og troværdigt udseende. Udstedelsesprocessen og validering af EV certifikater er meget strengere. Denne strenge valideringsproces minimerer chancen for misbrug af phishing websteder. For at styrke betydningen af ??certifikater med virksomhedsdata etablerede flere CA'er London protokollen i juni 2018.

I Holland er brugen af ??EV certifikater mere end fordoblet i de sidste tre år. Sectigo (tidligere Comodo) har den største andel heraf med næsten 70%. Mens de vigtigste brugere plejede at være finansielle- og e-handelswebsteder, ser vi nu en stigning i brug hos SME's.

Overgang fra Symantec til DigiCert

Alle Symantec, GeoTrust og Thawte certifikater udstedt fra den gamle Symantec infrastruktur, før december 1, 2017, er ikke længere betroet siden slutningen af 2018. Den nøjagtige dato er forskellig for hver browser. Efter denne dato vil certifikater udløse en fejl, når du besøger et websted med et gammelt Symantec certifikat. Nu tager DigiCert sig af udstedelsen af Symantec certifikater. Har du stadig gyldige certifikater udstedt før december 1, 2017? så kan du få dem genudstedet uden beregning.

Comodo fortsætter som Sectigo

Fra 1. november 2018 fortsætter Comodo CA som Sectigo. Dette gælder firmaets navn og alle mærker og produktnavne. For at sikre en smidig overgang bruges 'Sectigo, tidligere Comodo CA' i 2019. På trods af det nye navn vil ikke meget andet ændre sig. Alle certifikater vil fortsætte med at fungere. Der kræves ingen justeringer eller nye installationer, og alle certifikater vil stadig være tillid til af browsere og applikationer. Nye tillidslogoer baseret på det nye logo er tilgængelige, og fra den 14. januar vil der blive anvendt et nyt mellemcertifikat.

Sectigo formerly Comodo

Udviklinger hos Xolphin

Xolphin vokser hurtigt og arbejder aktivt på international ekspansion, især i Vesteuropa og Skandinavien. I 2018 har vi investeret i yderligere professionalisering. Vores ISO 27001 certificering og WebTrust certificering er blevet udvidet med en ISO 9001 certificering. Disse nye certificeringer sikrer endnu strengere kvalitetsstyring og retningslinjer for valideringen af certifikater. På grund af vores hurtige vækst flyttede vi til et mere rummeligt kontor på en central placering i Alkmaar i marts sidste år. Dette gav os også mulighed for at udvide vores team: Finansierings-, udviklings- og valideringsafdelingerne er vokset betydeligt. Valideringsgruppen kan i dag validere på 11 forskellige sprog, hvilket er nødvendigt for at kunne servicere vores internationale kunder optimalt. Det nye kontor giver os også mere plads til at tilbyde praktikophold til studerende. For at opretholde et højt serviceniveau uden for Beneluxområdet har vi nu flere lokalt ansatte i andre europæiske lande.

Hvad sker der i 2019?

CAs Sikkerhedsråd, et partnerskab mellem mange store CA'er, forudsiger at mindst 90% af al webtrafik bruger TLS inden udgangen af ??dette år. De forældede krypteringsprotokoller TLS 1.0 og TLS 1.1 vil blive udfaset, begyndende tidligt i 2020. Derefter bliver TLS 1.2 den nye standard. Brugen af ??TLS 1.3 vil blive aktivt stimuleret. CAs Sikkerhedsråd forventer en stigning på 30% af TLS 1.3-brug i 2019.

Brugen af ??'krypteret phishing' med gratis certifikater forventes at fortsætte med at stige. Dette gør certifikater med virksomhedsdata, hvilket udover kryptering også giver en identitetsgaranti, endnu mere relevant. Når det er sagt, den måde browsere har til hensigt at vise SSL certifikater er ganske interessant, især i betragtning af den forvirring, der allerede er forårsaget af de seneste ændringer i browsere. Det ville være gavnligt, hvis alle browsere viser lignende meddelelser afhængigt af SSL certifikatets valideringsniveau. På grund af den konstante stigning i cyberkriminalitet og opmærksomheden omkring dette vigtige emne, forventer vi at efterspørgslen efter e-mail certifikater og sårbarhedsscanninger stiger i 2019.

Ressourcer:

point up