Nederlandse websites zijn voor hun tls-certificaat steeds vaker afhankelijk van Let's Encrypt, de Amerikaanse certificaatautoriteit (CA) die gratis certificaten uitgeeft. Bijna 75 procent van de tls-certificaten waarvan .nl-sites gebruikmaken zijn door Let's Encrypt uitgegeven, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN) op basis van eigen cijfers.

Het aantal .nl-sites dat over een beveiligde verbinding beschikt is de afgelopen negentien maanden met bijna vijftig procent gestegen naar 1,33 miljoen. Het grootste deel van deze groei wordt veroorzaakt door ruim 355.000 nieuwe Let's Encrypt-certificaten, een toename van bijna 61 procent. Verder vond SIDN bijna 89.000 nieuwe certificaten van andere certificaatautoriteiten, een toename van 29 procent. Het aandeel van Let's Encrypt, als er wordt gekeken naar alle typen tls-certificaten, bedroeg in februari bijna 71 procent.

Wat opvalt aan de cijfers van SIDN is dat de certificaatautoriteiten op één na allemaal Amerikaanse partijen zijn. De uitzondering is Trust Provider, een relatief kleine Nederlandse 'intermediate' CA maar deze is ook weer afgeleid van het DigiCert-rootcertificaat. "De groei in het gebruik van tls-certificaten is goed nieuws voor de veiligheid van .nl-websites, maar de toegenomen afhankelijkheid op dv tls--certificaten uitgegeven door slechts enkele grote CA’s (zoals Let’s Encrypt) introduceert .nl-breed ook een risico", zegt onderzoeker Maarten Wullink.

Wullink noemt als voorbeeld een DigiNotar-achtige affaire of een probleem met het uitgiftesysteem van Let's Encrypt. "Enige diversiteit is naar onze mening vereist voor grootschalig gedistribueerde systemen, bijvoorbeeld in termen van partijen, jurisdicties en technologieën", aldus de onderzoeker.