Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Een SSL-certificaat moet standaard inbegrepen zijn bij webhosting

  • Door
  • Arnout Veenman
  • geplaatst op
  • 30 augustus 2016 10:00 uur

Een SSL-certificaat om zo een website via https te kunnen bereiken wordt steeds belangrijker. Ook Google gaat websites die via https bereikbaar zijn voortrekken in de zoekresultaten. Er is ook geen enkele reden meer om geen SSL-certificaat te hebben want door Let’s encrypt is een SSL-certificaat gratis en ook eenvoudig geautomatiseerd te installeren.

Nederlandse aanbieders van webhosting zouden wat mij betreft ervoor moeten zorgen dat bij hun webhostingpakketten er standaard een (gratis) SSL-certificaat is inbegrepen. Webhosters die gebruik maken van DirectAdmin hoeven daar enkel één teken in hun configuratie bestanden te veranderen om die mogelijkheid te activeren. Ook webhosters die andere (of eigen) control panels gebruiken zouden het installeren van SSL-certificaten via Let’s encrypt eenvoudig moeten kunnen automatiseren.

Kom dan niet bij me aan met het feit dat het al dan niet (gratis) verstrekken van SSL-certificaten een punt is waarop webhosters concurreren. Dit is nou net één van die dingen waarop je niet wilt concurreren. Nederlandse banken hebben ook niet voor niks met elkaar afgesproken niet op veiligheid te concurreren maar op dat gebied samen op te trekken. Een SSL-certificaat bij webhosting moet simpelweg de standaard zijn bij de dienst die webhosters aanbieden.

Als Nederlander is dan de vraag of dat dan ook gratis moet zijn. Daar heb ik maar één antwoord op, het moet simpelweg inbegrepen zijn bij webhosting. Dat is iets anders dan gratis. Het is net zoiets als een spamfilter bij je e-mail, dat hoort ook inbegrepen te zijn bij webhosting.

Webhosters horen simpelweg niet te concurreren op het gebied van veiligheid. Daar zitten natuurlijk wel grenzen aan. Een dienst als het scannen van een webapplicatie op veiligheidslekken kan natuurlijk wel een add-on zijn en ook een dienst waarmee je met collega-webhosters concurreert. Een SSL-certificaat moet wel gewoon standaard zijn!

Ronald, 30 augustus 2016 1:15 pm

Inderdaad alle sites SSL zouden moeten gebruiken.
Voor hosters die de Directadminfase voorbij zijn heeft het wat meer voeten in de aarde natuurlijk.

Die voeten in de aarde? Bijvoorbeeld loadbalancers die voor het platform staan. Daar moeten de certificaten op geïnstalleerd worden en dan zul je dus iets moeten schrijven wat automatisch gaat wil je Let's Encrypt gebruiken met zijn korte geldigheid (Waarom is dat eigenlijk?).
Dus niet onmogelijk maar ook weer niet een paar klikken.

Maar de meeste hosters bieden al jaren certificaten aan voor een paar euro per maand extra.. Het is net als met IPv6, er is geen business model voor. Het levert niets op in de ogen van de klant. En als Google ranking heel belangrijk gevonden wordt: een IPv6 enabled website scoort ook hoger :-)

Ronald, 30 augustus 2016 1:18 pm

En ook zou iedereen zijn eigen posts moeten lezen voordat hij op "Reactie plaatsen" klikt.
Eerste zin moet natuurlijk zijn:
Uiteraard zouden alle sites SSL moeten gebruiken.

Toin, 30 augustus 2016 5:19 pm

Inderdaad, alles moet voortaan gratis en inbegrepen zijn! Net zo goed als dat ik gratis kan adverteren op deze website, pixels voor banners kosten namelijk helemaal niets!

Ronald, 30 augustus 2016 5:35 pm

En dat het niet zo makkelijk is: https://www.ispam.nl geeft een uitroepteken. Stel het is jouw site. Maar jij wil geen uitroepteken natuurlijk! Gewoon een groen slotje punt. Moet toch gewoon werken!

Dus de klant belt je op. Waarom jij het stuk gemaakt hebt.

ISP: Lieve klant, dan roep je ergens iets aan wat niet ssl doet
Klant: ??
ISP: Ergens in je broncode heb je http:// staan i.p.v. https:// of //
Klant: Maar ik gebruik Wordpress. Dat kan toch gewoon met een groen slotje
ISP: U include fonts van google via http. Daardoor krijg je dus niet dat groene slotje.
Klant: Maar ik doe helemaal niets met fonts..
ISP:........
etc etc

En dat allemaal gratis en omdat je het standaard aanzet (het is immers gratis)

p.s. dat van die google fonts is op https://www.ispam.nl echt het geval..

Jeroen, 30 augustus 2016 9:20 pm

- Klant: "volgens uw website zit er een gratis ssl certificaat inbegrepen, maar als ik naar mijn website ga dan zie ik geen slotje",
- ISP: "ja maar dan moet u https:// gebruiken en niet http://"
- Klant "kan ik de bezoekers niet automatisch doorsturen?"
- ISP: "dan moet u een automatische redirect in uw htaccess toevoegen"
- klant: "htwattuh?"

En dat allemaal gratis en omdat je het standaard aanzet (het is immers gratis)

p.s. die redirect van http naar https ontbreekt echt bij http://www.ispam.nl.

Wouter, 31 augustus 2016 8:57 am

@Toin: moet volgens mij ook echt gratis zijn. Kan niet anders, want de laatste weken is het hier vrijwel alleen reclame content dat de klok slaat. Van content geschreven door een "beveiligingsspecialist" die denkt dat de doelgroep van ISPam een stel geestelijk gehandicapte zijn, uitleg over waarom het zo geweldig is om voor bedrijf X te werken, soms zelfs door bedrijven die nog helemaal geen enkele medewerker in dienst hebben, tot het uitgebreid uitmeten van de meest nutteloze onderzoekjes, die vooral het bedrijf dat het onderzoek gefinancierd heeft in een heel positief daglicht plaatst. Nee, dat adverteren op ISPam moet wel zo goed als gratis zijn, het is zo onderhand het afvoerputje van het internet geworden.

Dan ontopic: het is natuurlijk grote onzin dat SSL-certificaten gratis (of inbegrepen) MOETEN zijn, dat bepaalt iedere hoster gelukkig nog altijd zelf en kan ISPam niet even door de strot duwen. Wij bieden het overigens wel gratis aan bij al onze hostingpakketten. Dat doen we nu bijna 6 maanden en daarbij valt op dat de verkoop van reguliere (betaalde) certificaten hier niet tot nauwelijks onder te lijden heeft, en dat het inderdaad zo is dat het iets extra belasting op de servicedesk legt, ondanks dat wij het nadrukkelijk aanbieden als "As-is" optie (m.a.w. de klant moet het a.d.h.v. een handleiding in principe zelf uitzoeken, alhoewel we in de praktijk best nog eens helpen, omdat we toch een servicegerichte provider blijven)

Ik heb weleens de indruk, terecht of onterecht, dat Arnout denkt dat hij macht heeft in de branche om dingen erdoor te krijgen en/of zijn wil op te leggen. Dat gevoel bekruipt me bij dit artikel ook ernstig. Gelukkig is er niet 1 iemand in de branche die die macht heeft.

Ronald, 31 augustus 2016 9:15 am

Nu wordt er niet gezegd dat het perse gratis moet.

Hierboven zijn genoeg redenen genoemd waarom je het als serieus bedrijf niet standaard aan kan zetten en ook nog niet gratis kunt leveren met enige ondersteuning.

Praktijk is dan ook:
De kleine providers met een VPS en directadmin achtige console bieden het gratis aan bij hun € 30,00/jaar hosting. Zij hebben nog geen personeel en tijd om hun klant die service te verlenen.
Daarna wordt het serieus. Een server die mail, DNS en webhosting doet is niet meer beheersbaar (te veel mail, domeinnamen of webhosting). Splitsen dus.. Probleem: Ze zijn te druk. Hun dienst is populair maar vergt veel ondersteuning...

Ondertussen heb jij je mooie loadbalanced platform draaien en denkt: Ik vraag € 5,00 per maand voor SSL met een betaald certificaat (het kost je immers ook CPU, ondersteuning etc)..
En dat vinden bedrijven die het goed voor elkaar willen hebben niet altijd te duur. Soms wel.

Ieder zijn klant.

Alleen als we het standaard wel leveren wordt onze hosting dus € 5,00 per maand duurder.. en op een gegeven moment moet je uitleggen waarom het bij die ene € 3,00 per maand kost en bij jou € 15,00 per maand.
En dat je geen limieten hebt qua traffic of ruimte is nog uit te leggen. Dat jij een cluster hebt draaien met loadbalancers en redundante aansluitingen is moeilijker uit te leggen (ik heb al drie woorden gebruikt die de gemiddelde klant doet fronsen).
En hoe krijg ik uitgelegd dat als hij zijn directadmin server om zeep klikt hij er al snel een half uur en misschien wel een paar uur uit ligt? Omdat hij niet weet of het nu handig is die image van gisteravond te restoren (waardoor AL zijn klanten mail, DNS en sites een paar uur terug in de tijd gaan) of dat hij moet blijven zoeken naar het probleem.

Conclusie: Aan deze kant is het ook commercieel nog niet haalbaar.
Je biedt dus kale hosting aan met statistieken, IPv6 geen limieten en CDN. De rest is optioneel en moet betaalt worden en kan dus niet standaard.

En laten we hopen dat de klanten zo handig worden dat het wel kan.
Tot die tijd zou de titel mogen zijn: Websites zouden standaard goed moeten werken met SSL en IPv6

Stefan, 31 augustus 2016 12:36 pm

Ik ben het zeker eens met Ronald, de gemiddelde klant is niet zo technisch en dan is gratis niet haalbaar. Tenslotte kost het de medewerkers toch tijd om het goed in te stellen als de klant het zelf niet lukt.
De gedachte is gratis net als het Zweedse warenhuis de spullen in een doos met handleiding levert, anders kan de klant er beter voor betalen dat het voor hem geregeld wordt.

Sebastian, 1 september 2016 11:18 am

Hosting is al zo goedkoop hier. Klanten willen goedkoop, dus krijgen ze vaak ook goedkoop. Gratis een certificaat is leuk, maar als de klant het niet aan gezet krijgt of als zijn website nog allemaal http:// links bevat, wie gaat voor die support betalen?

Wanneer gaan wij eens kijken naar goed in plaats van goedkoop.

In de tijd van alles gratis en alles 'unlimited' wil ik geen hosting meer doen. Een klant is vaak best te overtuigen waarom hij voor goed moet gaan en niet gelijk een goedkoop product moet nemen. Want het klinkt wel leuk, hosting en een domeinnaam voor nog geen 50 euro per jaar. Maar als je daar je druk bezochte website op wil hosten waar je veel via verdien, zal je toch eens jn de kleine letterjes moeten gaan kijken waarom her zo goedkoop is, en waar je staat als er een probleem is.

Sebastian, 1 september 2016 11:45 am

Verder wel eens met het stukje veilgheid. Hosting moet voornamelijk veilig zijn. Maar er worden te vaak concessies gedaan die de beveiliging niet ten goede komt.

Ronald, 1 september 2016 11:54 am

SSL is natuurlijk noodzakelijk wanneer je bezoekers laat inloggen.

Als je nergens authenticatie vraagt is SSL alleen nog voor privacy zodat de gemiddelde sniffer niet de hele url kan zien. Aangezien bezoekers ook gewoon sites zonder SSL blijven bezoeken zullen zij dat wel niet zo een issue vinden of niet weten dat het zo is (dat laatste denk ik vooral).

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.