Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Ondersteuning HTTPS aan browserzijde vrijwel compleet

Adoptie aan serverzijde tegen een plafond aangelopen

'HTTPS' in adresbalk van browserscherm
  • woensdag 5 juni 2024

De adoptie van HTTPS (beveiligd webverkeer) stagneert, en dan met name aan serverzijde. Dat blijkt uit metingen van Google, Firefox, W3Techs en Cloudflare. Volgens de Electronic Frontier Foundation (EFF) wordt HTTPS inmiddels inderdaad door alle moderne webbrowsers standaard ondersteund. Dat HTTPS niet op alle servers beschikbaar is, komt volgens hen door verouderde en verlaten servers, door servers die omwille van de performance of hun beperkte content/functionaliteit niet versleutelen, door mobiele apparaten die toch niet altijd HTTPS ondersteunen, en doordat beheerders om hun eigen privacy en veiligheid te beschermen geen certificaat willen aanvragen.

Een half procentpunt per jaar

Hieronder kun je zien dat het percentage van het verkeer op de webdiensten van Google dat versleuteld is inmiddels op 96 procent zit. Voor Nederland komt die meting uit op 95 procent.

De groei is er echter allang uit: de afgelopen 6 jaar kroop het gebruik van HTTPS omhoog met ongeveer een half procentpunt per jaar. Tegelijkertijd is het ook logisch dat de adoptie van deze beveiligingsstandaard asymptotisch is: naar verwachting zullen de laatste oude en problematische web-clients de komende jaren vanzelf van het internet verdwijnen.

Hoewel deze hoge scores suggereren dat HTTPS inmiddels de de facto standaard is op het web, valt daar wel wat op af te dingen. De statistieken van Google zijn (alleen) afkomstig van Chrome-gebruikers die de telemetrie-optie aan hebben staan, wat een nogal beperkt beeld geeft van het webverkeer.

Percentage HTTPS-versleuteld verkeer op de diensten van Google. [bron: Google]

Figuur 1: Percentage HTTPS-versleuteld verkeer op de diensten van Google. [bron: Google]

Percentage HTTPS-versleuteld verkeer op de diensten van Google afkomstig uit Nederland. [bron: Google]

Figuur 2: Percentage HTTPS-versleuteld verkeer op de diensten van Google afkomstig uit Nederland. [bron: Google]

Firefox

De statistieken afkomstig van Firefox-gebruikers zijn veel minder eenzijdig dan die van Google, doordat deze het hele spectrum van alle (bezochte) websites op internet bestrijken. Deze metingen geven een adoptiegraad van maar 80 procent op de geladen webpagina’s (wat bovendien weer iets anders is dan het verkeer), maar laten wel dezelfde afvlakking zien.

Percentage HTTPS-versleutelde webpagina’s door Firefox-gebruikers. [bron: Let's Encrypt/Firefox Telemetry]

Figuur 3: Percentage HTTPS-versleutelde webpagina’s door Firefox-gebruikers. [bron: Let's Encrypt/Firefox Telemetry]

W3Techs

W3Techs maakt voor het verzamelen van zijn data gebruik van een web-crawler en heeft dus net als Firefox een veel bredere blik dan Google en Cloudflare. Zij komen op een adoptiegraad van 86 procent voor de beschikbaarheid van TLS op de door hun onderzochte websites.

Percentage websites dat HTTPS heeft ingesteld als default protocol. [bron: W3Techs]

Figuur 4: Percentage websites dat HTTPS heeft ingesteld als default protocol. [bron: W3Techs]

Waar Google de hoeveelheid verkeer die binnenkomt op hun webdiensten meet en Firefox het aandeel versleutelde webpagina’s dat geladen wordt, levert W3Techs weer een net iets andere statistiek: zij geven het percentage van de websites die HTTPS hebben ingesteld als hun default protocol. Dat maakt al deze metingen lastig vergelijkbaar.

Top-100 van websites

Google geeft ook de overall HTTPS-adoptiegraad van de top-100 van websites. Die score is maar liefst 97 procent. Tel je ook de sites mee die niet per default naar de HTTPS-ingang refereren, dan kom je zelfs op 100 procent uit. Volgens een schatting van Google zijn deze sites verantwoordelijk voor ongeveer 25 procent van het wereldwijde webverkeer.

Percentage HTTPS-beveiligde ingangen voor de top-100 van websites. [bron: Google]

Figuur 5: Percentage HTTPS-beveiligde ingangen voor de top-100 van websites. [bron: Google]

Cloudflare

Cloudflare, die reverse proxy/cache-diensten (CDN) verzorgd voor drukbezochte websites, geeft een vergelijkbare score: 98 procent van de bij hun binnenkomende verbindingen doet dat over HTTPS (TCP-poort 443). Ook hier betreft het natuurlijk cijfers van veelbezochte sites.

Percentage binnenkomende verbindingen over HTTPS. [bron: Cloudflare]

Figuur 6: Percentage binnenkomende verbindingen over HTTPS. [bron: Cloudflare]

Oudere versie van HTTP en TLS

De metingen van Cloudflare laten ook zien dat nog maar 10 procent van die beveiligde verbindingen gebruikmaakt van HTTP versie 1 en nog maar 6 procent van TLS versie 1.2. HTTP/3, dat gebouwd is op het veel efficiëntere QUIC-protocol (en TLS 1.3 als onderdeel daarvan), wordt inmiddels gebruikt door bijna 30 procent van de verbindingen.

Aandeel van de verschillende versies van HTTPS. [bron: Cloudflare]

Figuur 7: Aandeel van de verschillende versies van HTTPS. [bron: Cloudflare]

Aandeel van de verschillende versies van TLS. [bron: Cloudflare]

Figuur 8: Aandeel van de verschillende versies van TLS. [bron: Cloudflare]

W3Techs komt voor de serverzijde op diezelfde 30 procent uit, wat impliceert dat ook de ondersteuning van HTTP/3 aan browserzijde compleet is.

Percentage websites dat HTTP/3 gebruikt. [bron: W3Techs]

Figuur 9: Percentage websites dat HTTP/3 gebruikt. [bron: W3Techs]

Badkuipcurve?

Dit alles laat zien dat er aan browserzijde geen probleem is voor wat betreft de ondersteuning van HTTPS. Hetzelfde geldt voor drukbezochte websites: nagenoeg alle sites bieden een goedwerkende TLS-ingang. Met name de minder grote websites lijken HTTPS ook minder aan te bieden. Hoewel we dat niet direct met statistieken kunnen onderbouwen, verwachten we net als eerder gezien bij de adoptie van andere moderne internetstandaarden een "badkuipcurve": De grootste sites presteren het best omdat internet hun kerntaak is (zoals de metingen van Google en Cloudflare laten zien). Kleine sites doen het goed omdat die veelal door een van de grote bulkaanbieders gehost worden (die veiligheid als onderdeel van hun platform adverteren). En de sites ertussenin doen het het slechtst omdat die zelf gehost en/of ontwikkeld worden en niet altijd de aandacht krijgen die ze verdienen.

Uit de metingen van W3Techs blijkt ook dat de HTTPS-adoptiegraad afneemt als je achtereenvolgens naar de top-1.000, top-10.000, top-100.000 en top-1.000.000 websites kijkt.

Percentage HTTPS als default ingang voor de top websites. [bron: W3Techs]

Figuur 10: Percentage HTTPS als default ingang voor de top websites. [bron: W3Techs]

Verlaten en nauwelijks bezocht

Onze eigen statistieken, die alle domeinnamen in de .nl-zone bestrijken, laten zien dat 48 procent van de websites van een geldig TLS-certificaat is voorzien. Hoewel dat veel lager is dan de 80-85 procent scores van Firefox en W3Techs, kunnen we dat wel verklaren: Zo’n 30 procent van alle namen onder het .nl-domein is geparkeerd en een groot deel daarvan zal geen HTTPS-ingang hebben. Bovendien bevat de hele zone natuurlijk ook een aanzienlijk aantal domeinnamen waarvan de website verlaten is (abandoned) en/of nauwelijks bezocht wordt.

Hoewel Let’s Encrypt de adoptie van HTTPS een enorme boost heeft gegeven, worden self-signed certificaten en certificaten met een jarenlange geldigheidsduur inmiddels niet meer ondersteund. Dat maakt ook dat websites die geen aandacht meer krijgen al snel onveilig worden.

Percentage websites onder het .nl-domein voorzien van een geldig TLS-certificaat. [bron: SIDN]

Figuur 11: Percentage websites onder het .nl-domein voorzien van een geldig TLS-certificaat. [bron: SIDN]

Verplicht voor overheidsorganisaties

Na het stoppen van hun 'HTTPS Everywhere'-browserextensie begin vorig jaar, concludeert de EFF dat HTTPS inmiddels inderdaad door alle moderne webbrowsers standaard ondersteund wordt. Dat HTTPS niet op alle servers beschikbaar is, komt volgens hen door verouderde en verlaten servers, door servers die omwille van de performance of hun beperkte content/functionaliteit niet versleutelen, door mobiele apparaten die toch niet altijd HTTPS ondersteunen, en doordat beheerders om hun eigen privacy en veiligheid te beschermen geen certificaat willen aanvragen.

Een stagnerende adoptie was vorige zomer aanleiding om het gebruik van HTTPS (en HSTS) door Nederlandse overheidsorganisaties te verplichten. Deze standaarden staan al sinds mei 2017 op de 'pas toe of leg uit'-lijst (ptolu) van Forum Standaardisatie, en TLS nog veel langer. In 2018 zijn binnen het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) aanvullende Streefbeeldafspraken voor HTTPS en HSTS gemaakt, wat betekent dat deze 2 standaarden eind 2018 op alle overheidssites toegepast hadden moeten worden.

De 'Wet digitale overheid' (Wdo) maakt het mogelijk om de toepassing van moderne internetstandaarden bij (semi-)overheidsinstanties verplicht te stellen. Voor HTTPS en HSTS is dat vorige zomer dus gedaan via het 'Besluit beveiligde verbinding met overheidswebsites en -webapplicaties'. De verwachting is dat een dergelijke harde verplichting ook voor DNSSEC zal volgen. Volgens de geldende Streefbeeldafspraken had deze standaard immers eind 2017 (!) al op alle overheidsdomeinen geïmplementeerd moeten zijn.