Het ecosysteem van internetbeveiliging nam een onverwachte wending in 2015 met de oprichting van Let’s Encrypt, een certificeringsautoriteitEen Certificeringsautoriteit (CA) is een vertrouwde entiteit… (CA) zonder winstoogmerk die een nieuwe aanpak introduceerde voor het uitgaveproces van digitale certificaten. Ondersteund door prominente namen als Mozilla, Akamai, Cisco, IdenTrust en de Electronic Frontier Foundation (EFF), presenteerde Let’s Encrypt zich aan de wereld met een ambitieuze belofte: “Het is gratis, geautomatiseerd en open”. Slechts enkele maanden na de officiële lancering sloot Google Chrome zich aan als sponsor van het project, waardoor de positie als een van de meest invloedrijke spelers op de markt voor digitale certificaten werd versterkt.
Dit fenomeen roept echter vragen op over de afhankelijkheid van de kritieke internetinfrastructuur van Amerikaanse entiteiten en hun wereldwijde impact, vooral in regio’s zoals Europa.
Automatisering: De sleutel tot het succes van Let’s Encrypt
Een van de grootste doorbraken die Let’s Encrypt heeft geïntroduceerd, was de automatisering in het uitgifteproces van certificaten. In 2019 publiceerde de IETF (Internet Engineering Task Force) de standaard RFC8555, die het protocol Automatic Certificate Management Environment (ACME) beschrijft, grotendeels ontwikkeld door dezelfde makers van Let’s Encrypt. Dit protocol stelt webserver in staat om automatisch digitale certificaten te verkrijgen, vernieuwen en intrekken, waardoor de handmatige complexiteiten worden weggenomen en HTTPS-beveiliging toegankelijker wordt gemaakt voor ontwikkelaars en kleine bedrijven.
De automatisering van Let’s Encrypt heeft echter een belangrijke beperking: het geeft alleen certificaten voor domeinvalidatie (DV, Domain Validation) uit. Dit betekent dat het garandeert dat de aanvrager controle heeft over het domein, maar het verifieert niet de identiteit van de organisatie of persoon daarachter. Dit contrasteert met de QWAC-certificaten (Qualified Website Authentication Certificates), gereguleerd door de Europese eIDAS, die een diepere analyse van de natuurlijke en juridische identiteit van de aanvrager vereisen, met respect voor de idiosyncrasie van elk land.
De exponentiële groei van Let’s Encrypt
Sinds het uit de bèta kwam in januari 2016, heeft Let’s Encrypt explosieve groei gekend. Tegenwoordig heeft het miljarden certificaten uitgegeven en is het een van de meest gebruikte CA’s ter wereld. In 2020 ging de organisatie werken met zijn eigen certificeringsroot, waardoor de afhankelijkheid van IdenTrust, die vanaf het begin deel uitmaakte van het project, gedeeltelijk werd doorbroken. Dit viel ook samen met een verschuiving in de wereldwijde distributie van digitale certificaten, waar Let’s Encrypt een dominante marktpositie inneemt.
Dit groei brengt echter uitdagingen voor andere certificeringsautoriteiten. Bijvoorbeeld, Digicert, een van de weinige relevante Europese CA’s, heeft marktaandeel verloren aan Amerikaanse concurrenten, terwijl de cijfers van IdenTrust zijn afgenomen door hun historische relatie met Let’s Encrypt.
Europa: Een digitale reus met weinig eigen infrastructuur
Europa is de op twee na grootste economische regio ter wereld in het aantal internetgebruikers, met 448 miljoen inwoners en een penetratie van 99%. Echter, in de sfeer van certificeringsautoriteiten en andere kritieke webinfrastructuren, is zijn rol marginaal. Van de belangrijke wereldwijd gebruikte CA’s, heeft alleen Digicert Europese wortels, en hun marktaandeel is aanzienlijk kleiner dan dat van hun Amerikaanse concurrenten.
Het Amerikaanse overwicht beperkt zich niet tot de CA’s. Webbrowsers, de poorten naar het internet voor miljarden mensen, zijn ook in buitenlandse handen. Slechts twee Europese browsers, Vivaldi en Mullvad, hebben enige relevantie, terwijl Opera, ooit Noors, in 2016 naar Chinese handen overging. Zelfs Mozilla, bekend om zijn transparantie en open source model, is diep beïnvloed door het Amerikaanse perspectief, zowel qua management als financiering.
De wereldwijde impact van het Amerikaanse overwicht
De afhankelijkheid van Noord-Amerikaanse infrastructuren in een zo geglobaliseerd ecosysteem zoals het internet brengt zowel strategische als economische risico’s met zich mee. Door sleutelonderdelen zoals de CA’s, browsers en communicatieprotocollen te beheersen, kan de Verenigde Staten significante invloed uitoefenen op hoe webbeveiliging wordt gegarandeerd. Bovendien bemoeilijkt dit overwicht de digitale autonomie van regio’s zoals Europa, die, ondanks initiatieven zoals eIDAS, niet in staat is geweest om concurrerende alternatieven in termen van technologische infrastructuur vast te stellen.
Het eIDAS, met de nadruk op gekwalificeerde certificaten zoals QWAC, probeerde de basis te leggen voor een solide regelgeving die is aangepast aan de Europese digitale realiteit. Echter, het falen in de adoptie van tools zoals eIDAS Nodes en het gebrek aan investeringen in eigen infrastructuren heeft de impact beperkt, waardoor de ruimte open is voor meer wendbare en globale projecten zoals Let’s Encrypt.
Conclusie
Let’s Encrypt heeft de toegang tot webbeveiliging gedemocratiseerd met zijn gratis, geautomatiseerde en open aanpak, wat heeft geleid tot een toename in de adoptie van HTTPS-certificaten wereldwijd. Dit succes toont echter ook de toenemende afhankelijkheid van kritieke infrastructuren van Amerikaanse oorsprong aan. Europa, ondanks dat het een sleutelspeler is in termen van internetgebruikers, blijft achter in het beheren van zijn eigen technologische infrastructuur.
Het verhaal van Let’s Encrypt en de dominantie van Amerikaanse CA’s benadrukt de noodzaak voor een meer strategische en gecoördineerde aanpak van Europa om zijn digitale soevereiniteit te beschermen en te waarborgen dat de volgende generatie webbeveiligingstools niet alleen afhankelijk is van buitenlandse actoren.