Radware heeft de beschikbaarheid in de cloud aangekondigd van zijn webgebaseerde DDoS-beschermingsdienst tegen versleuteld verkeer, zonder dat hiervoor TLS/SSL-certificaten gedeeld of het verkeer gedecrypteerd hoeft te worden voor inspectie. Deze ontwikkeling is niet vanzelfsprekend. Tot nu toe hing veel van de beveiligingsmaatregelen op laag 7 af van het kunnen ontsleutelen van het verkeer binnen het domein van de provider om te kunnen analyseren wat er gaande was. Dit bracht echter kwesties met zich mee: privacy, regelgeving, sleutelbeheer en in veel gevallen duidelijke ongemakken voor beveiligings- en compliance-teams.
Met deze lancering positioneert het bedrijf zichzelf als een baanbrekende speler in de sector en beweert het dat het gaat om een cloudoplossing die DDoS-aanvallen op laag 7 kan blokkeren zonder certificaten te vereisen of verkeer te hoeven decrypten. Het is belangrijk om te benadrukken dat dit de interpretatie van Radware zelf is en niet een conclusie van een onafhankelijke instantie in de aankondiging. Desalniettemin wijst deze stap op een duidelijke markttrend: steeds meer organisaties willen hun webapplicaties beschermen die aan het internet gekoppeld zijn, zonder gevoelige gegevens zoals certificaten of sleutels aan derden te hoeven geven.
De gekozen timing is ook logisch. Versleuteld verkeer overheerst al jaren het publieke web. Google meldt dat het percentage HTTPS-verbindingen in Chrome is gestegen van 30-45% in 2015 tot bijna 95-99% vanaf 2020, en dat deze adoptie sindsdien op hoog niveau gestabiliseerd is. Tevens geeft Google aan dat bij alleen openbare sites Linux bijna 97% HTTPS-gebruik vertoont, Windows 98% en Android en macOS zelfs meer dan 99%. Met andere woorden: vandaag betekent het beschermen van webverkeer vaak het beschermen van versleuteld verkeer.
Deze context maakt het inspecteren van HTTPS-verkeer bijzonder delicaat. Ontsleutelen voor inspectie kan technisch mogelijk zijn, maar brengt ook juridische en operationele complicaties met zich mee. Niet alle organisaties willen certificaten delen, en velen kunnen dat niet uit compliance- of beleidsredenen of uit voorzorg. Radware’s voorstel probeert precies dat knelpunt te aanpakken: geautomatiseerde bescherming in de cloud bieden tegen versleutelde web-DDoS-aanvallen, zonder dat de klant de controle hoeft over te dragen.
Volgens de informatie van het bedrijf is het systeem gebaseerd op gedragsanalyse en machinaal leren om een basislijn van legitiem verkeer vast te stellen, afwijkingen te detecteren en dynamische mitigatieregels te genereren. De belofte is dat de platform in real-time kan reageren op laag 7-aanvallen zonder voortdurende handmatige afstellingen van beleidsregels. Praktisch betekent dit dat het onderscheid wordt gemaakt tussen echte gebruikers en geautomatiseerde patronen die bedoeld zijn om een applicatie plat te leggen, een website te overbelasten of een dienst te degraderen.
Dit is vooral relevant omdat cyberaanvallen niet in intensiteit afnemen. Volgens Radware’s globale threat report van 2026 zijn netwerk-DDoS-aanvallen met 168% toegenomen, terwijl aanvallen op applicatielaag zelfs met 128% stegen in 2025. Hoewel we deze cijfers met de kanttekening dat ze afkomstig zijn van een leverancier moeten bekijken, illustreren ze wel een trend die de industrie al enige tijd observeert: kwaadaardig verkeer wordt persistenter, meer geautomatiseerd en beweegt zich gemakkelijker binnen versleutelde kanalen.
Een ander interessant aspect van de aankondiging is de flexibiliteit in implementatie. Radware presenteert deze capaciteiten niet als één enkele oplossing, maar als een van de opties binnen verschillende deployment-modellen. De bescherming kan worden ingezet via het cloudplatform met optioneel SSL-decryptie, maar ook on-premises met DefensePro, via Alteon Protect of in native Kubernetes-architecturen met Kubernetes WAAP. Zo kan iedere organisatie kiezen in hoeverre ze een cloud-, lokale, hybride of gecontaineriseerde beveiligingsoplossing wil inzetten. Voor veel bedrijven is die flexibiliteit even belangrijk als de technologie zelf.
Wat deze aankondiging vooral duidelijk maakt, is dat de markt voor cybersecurity evolueert. Jarenlang was de heersende gedachte dat decryptie onvermijdelijk was om versleuteld verkeer te kunnen inspecteren. Nu proberen providers een andere weg te vinden: betere bescherming bieden zonder zo diep in privacyniveaus te duiken. In een tijd waarin privacy, dataselectie en regelgeving steeds zwaarder wegen, wordt elke technologie die de noodzaak vermindert om cryptografische geheimen te delen, direct aantrekkelijker.
Daarnaast heeft het ook operationele implicaties. Voor veel organisaties vormt niet alleen de dreiging het probleem, maar ook de administratieve en technische complexiteit van security-oplossingen. Elk gedeeld certificaat, elke wijziging in sleutels, compliantereviews en audits kosten tijd, geld en brengen risico’s met zich mee. Een platform dat die last kan verlichten zonder de effectiviteit in het afweren van geavanceerde web-DDoS-aanvallen te verliezen, heeft niet alleen een betere blokkeringservaring, maar maakt het operationeel eenvoudiger en efficiënter.
Hoe de markt zal reageren en of deze aanpak daadwerkelijk dezelfde effectiviteit zal tonen als belooft, moet nog blijken. Maar Radware geeft met deze stap een duidelijke boodschap: de toekomst van web-DDoS-bescherming ligt niet alleen in meer mitigatiekracht, maar ook in manieren vinden die beter aansluiten bij versleutelde omgevingen, regelgeving en complexe cloud-werelden. Minder afhankelijkheid van decryptie kan daarin een significant voordeel zijn.
Veelgestelde vragen
Hoe kan men een laag 7 DDoS-aanval op HTTPS-verkeer stoppen zonder verkeer te hoeven decrypten?
Door gedragspatronen, volume, frequentie en signalen uit het versleutelde verkeer te analyseren zonder de inhoud te openen. Radware verzekert dat haar dienst gedrag analyseert en machinaal leert om afwijkingen te detecteren en mitigatieregels in real-time te genereren, zonder voortdurende decryptie te vereisen.
Wat zijn de voordelen van het niet delen van TLS/SSL-certificaten met een cloudgebaseerde DDoS-beschermingsprovider?
Het vermijden van privacy- en nalevingsproblemen en het makkelijker beheer van sleutels. Certificaten delen of verkeer decrypten in de cloud kan weerstand oproepen binnen gereguleerde sectoren of organisaties met strikte interne polisies omtrent het bewaren van credentials en cryptografische geheimen.
Hoe verschilt een laag 7 web DDoS van een traditioneel netwerk-DDoS?
Netwerk-DDoS probeert meestal de infrastructuur te overbelasten door grote volumes verkeer te sturen. Een laag 7 web-DDoS simuleert legitieme HTTP/HTTPS-pagina-oproepen om applicaties te overbelasten, resources uit te putten of de gebruikservaring te degradere. Radware richt zich specifiek op bescherming binnen web- en applicatielaag.
Is deze bescherming nuttig voor Kubernetes-applicaties en hybride omgevingen?
Ja, volgens Radware. Het bedrijf geeft aan dat de bescherming inzetbaar is in cloudomgevingen, on-premises, hybride modellen en in Kubernetes-native omgevingen via Kubernetes WAAP, wat goed aansluit bij moderne applicaties die over meerdere omgevingen verdeeld zijn.