Mehr als die Hälfte aller per https erreichbaren Websites nutzen Zertifikate von Letsencrypt - Comodo mit knapp 15 Prozent dahinter weit abgeschlagen - Netstat-Statistik

23.04.2018 23:55:32, Jürgen Auer, keine Kommentare
Bildschirmphoto aus dem verlinkten Beitrag.

Ende 2015 startete Letsencrypt eine Dienstleistung, die das Internet nun doch nachhaltig verändern dürfte. Letsencrypt bietet kostenlose Zertifikate und entwickelte eine Logik, über die sich Zertifikate automatisch beantragen und bestätigen ließen. Dies ist inzwischen als ACME-Protokoll standardisiert.

Die Kosten für Zertifikate waren nicht mal so das Problem. Aber es war bis dahin immer notwenig, eine Zertifikatsanforderung quasi manuell zu beantragen, sie zur Zertifizierungsstelle zu übertragen, die eigene Hoheit über die Website zu bestätigen, das Zertifikat per Mail zu erhalten und es einzubauen und zu aktivieren.

So umständlich, wie sich das liest, ist das auch. Mit der Folge, daß das für Massenhoster undenkbar war. Und mit der zweiten Folge, daß bsp. ich es bevorzugte, Zertifikate für mehrere Jahre zu beantragen und zu installieren. Um das nicht ständig machen zu müssen.

Per ACME läßt sich das automatisieren. Letsencrypt bietet dafür die Infrastruktur an - plus kostenlose Zertifikate. Nun hat Netstat eine Statistik erstellt. Darin wurden alle Websites, die SSL nutzen, daraufhin überprüft, welches Unternehmen das Zertifikat ausgestellt hat.

Das Ergebnis: Mehr als 50 Prozent aller Zertifikate sind inzwischen von Letsencrypt ausgestellt. Die grüne, aufstrebende Linie in der Vorschaugrafik: Das ist der Anteil von Letsencrypt.
.

SSL Issuer Popularity

https://nettrack.info/ssl_certificate_issuers.html

.
Im Mai 2016 nutzen 4,87 % aller Websites ein Letsencrypt-Zertifikat. Comodo hatte etwa 25 %, Geotrust etwa 20 %, GoDaddy etwa 13 %.

Nun, im April 2018: Letsencrypt liegt bei mehr als 51 %. Comodo bei knapp 15 %, GeoTrust bei 5,5 % und GoDaddy bei etwa 6 %.

Daraus geht zwar nicht hervor, wieviele der neuen Letsencrypt-nutzenden Websites Wechsler von anderen Zertifikatsanbietern und wieviele davon neue https-Websites sind.

Wirft man aber einen Blick in den Google-Bericht zu https:

HTTPS encryption on the web

https://transparencyreport.google.com/https/overview?hl=en

Dann steigt der Anteil des https-Traffics schrittweise an.

Verblüffend ist allerdings diese Grafik bei Netstat zur Frage, ob eine Website https erzwingt:

HTTPS Usage

https://nettrack.info/https_usage_statistics.html

Da wird eine unverschlüsselte Anfrage an den Webserver geschickt und geprüft, ob die Seite ausgeliefert oder per Http-Status 301 auf die https-Version weitergeleitet wird.

Das stieg zwar von etwa 10 Prozent im Mai 2016 auf 28,6 % im Januar 2018 an. Seither stagniert das aber.

Leider fehlt bei Netstat eine Statistik zum Verhältnis http - https.

Es wäre aber auch denkbar, daß es viele Websites gibt, die nun erstmalig https einsetzen. Da es sich aber um Massenhoster handelt, würde https vom Webserver her nicht erzwungen.

Wer mehr zu Letsencrypt wissen möchte:

https://letsencrypt.org/

Server-Daten läuft aktuell noch mit einem gekauften Sternzertifikat. Aber das wird wohl über kurz oder lang auch per Letsencrypt beantragt werden.

Wenn Chrome ab der Version 68 vor unverschlüsselten Websites warnen wird, dann ist zu erwarten, daß sich noch mehr Website-Betreiber überlegen werden, endgültig zu wechseln. Massenhoster bieten bereits jetzt teilweise Verschlüsselung per Letsencrypt kostenlos an. So daß wahrscheinlich über kurz oder lang die meisten Websites, denen eine Domainvalidierung genügt, per Letsencrypt Zertifikate verwalten dürften.

Das bislang einträgliche Geschäft mit Zertifikaten dürfte damit größtenteils tot sein.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.