Op 11 april 2017 introduceerden we gratis SSL voor al onze klanten. Daarmee hebben we het standpunt ingenomen dat versleuteld verkeer de standaard moet zijn, niet optioneel. De reacties van onze klanten waren hartverwarmend, zowel per e-mail als op social media. Hier doen we het allemaal voor, dank jullie wel! We zijn nu ruim een half jaar verder. Wat mij betreft is het dan ook tijd voor een terugblik op een zeer succesvolle lancering en om de impact ervan te bekijken.
Een terugblik op de uitrol van gratis SSL
Als je voor zo’n 100.000 websites in één dag gratis SSL activeert, dan kun je je voorstellen dat dit enige voorbereiding vereist. We hebben gewerkt met een groep bèta-testers, alle scenario’s voor wat er mogelijk mis zou kunnen gaan uitgedacht en uitvoerig rollback-mogelijkheden doorgenomen.
Alle maatregelen en noodplannen stonden dus klaar, maar gelukkig was geen één daarvan nodig. De uitrol ging geheel vlekkeloos en de reacties van onze klanten waren geweldig! Een aantal concullega’s waren er misschien wat minder blij mee. Sorry daarvoor, we zijn nou eenmaal de Antagonist 😉
Verdere perfectionering
De weken na de activatie kwamen er hier en daar nog een aantal kleine bugs naar boven. Het waren kleine problemen, iets wat nooit volledig uit te sluiten valt als je een geheel nieuwe, eigen oplossing introduceert. Een aantal bugs zaten in de HTTP/2-implementatie van onder andere de Apache-versie van een leverancier. Dit hebben we samen op kunnen lossen.
Een andere bug – of een feature, de meningen zijn erover verdeeld – zat in HAproxy. Wij laden certificaten die onze klanten zelf hebben gekocht eerder in dan de certificaten van Let’s Encrypt. Dit doen we om ze een hogere prioriteit te geven. Als fallback is er dan het Let’s Encrypt-certificaat. Bij wildcard certificaten ging het vaststellen van deze prioriteiten echter niet zoals het hoort, in ons geval.
Dit komt, omdat het certificaat van Let’s Encrypt ‘more specific’ is dan een wildcard-certificaat. Elk subdomein in een Let’s Encrypt-certificaat is namelijk als los ‘Subject Alternative Name’ opgenomen. Een volledig gespecificeerd domein is specifieker dan een wildcard. En daarom krijgt hij voorrang. We hebben dit opgelost door zelf HAproxy te patchen, zodat de juiste volgorde wordt nageleefd.
HTTP vs. HTTPS
Om je een indruk te geven van de impact van gratis SSL kunnen we het beste in een aantal grafieken duiken. Om een goed inzicht te krijgen in de adoptie van SSL zijn we voor de uitrol van gratis SSL bij gaan houden hoeveel request er over SSL en hoeveel over non-SSL lopen.
Sinds 11 april, de dag dat we het voor iedereen ingeschakeld hebben, zie je duidelijk een stijging in SSL-verkeer. Tegelijk wordt non-SSL verkeer minder. Het SSL-verkeer is sinds onze launch meer dan verdubbeld. We zijn blij dat we zo bij hebben kunnen dragen aan een veiliger internet. Maar natuurlijk willen we meer, het liefst 100%. En daar kun jij bij helpen!
Maak jouw website geschikt voor SSL!
Nu gaat tijdens de piek bijna 50% van het verkeer over SSL. Help mee dit richting 100% te krijgen! Forceer jij HTTPS nog niet? Volg deze eenvoudige stappen voor WordPress of check deze handleiding.
Als we verder inzoomen en het verkeer van één dag bekijken, dan valt op dat overdag het gebruik van SSL groter is dan ‘s nachts. Daar is een logische verklaring voor: ons platform krijgt overdag veel meer bezoekers, waar het ‘s nachts relatief rustig is. Veelbezochte websites die voornamelijk overdag populair zijn en SSL hebben, hebben ‘s nachts minder invloed op de statistieken. Dit verklaart het verschil tussen dag en nacht.
HTTP/1.1 vs. HTTP/2
Als we kijken naar het gebruik van HTTP/2 ten opzichte van versie 1.1, dan zien we een minder groot verschil dan tussen wel of geen HTTPS. HTTP/2 is een veel nieuwere techniek dan SSL. De adoptie hiervan is nog in volle gang, waar SSL al zo goed als volledig ondersteund is. Veel browsers en mobiele apparaten kunnen dus nog geen HTTP/2 praten.
Hopelijk verandert dit snel, want versie 2 van het HTTP-protocol biedt een behoorlijk aantal verbeteringen op gebied van performance en security! Helaas hebben we hier weinig invloed op, omdat client-side wordt bepaald of versie 2 wordt gebruikt. Onze kant, de server-side, is in ieder geval alvast volledig klaar voor HTTP/2!
Gratis vs. betaalde certificaten
Validatie is het belangrijkste verschil tussen gratis en betaalde certificaten. Wil je uitgebreide validatie en daarom een SSL-certificaat kopen? Vergelijk hier de verschillende vormen van SSL.
Tot slot
We hebben de afgelopen maanden natuurlijk niet stilgezeten. Er komen in de aankomende periode een aantal grotere verbeteringen aan, waaronder een paar die met SSL te maken hebben. Maar daarover later meer… 🙂
Op zoek naar veilige webhosting met eigen resources, waarbij zelf een SSL-certificaat installeren niet nodig is? Neem gerust eens een kijkje bij onze pakketten! Op ieder pakket maak jij gebruik van gratis SSL.
P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.