Ook bij webhosting is hygiëne belangrijk

Wanneer je een vliegticket boekt dan verwacht je dat wanneer je eenmaal het vliegtuig instapt de piloten hun pre-flightchecks voor het opstijgen doen. Wanneer je je vliegticket boekt dan verwacht je ook dat je het ticket kan kopen voor de prijs die je op de website van de airline zag. Dat is ook niet meer dan logisch. Bij webhosting is dat wel anders. Anno 2017 is een website die (alleen) bereikbaar is via een onveilige verbinding (zonder ssl-certificaat) gewoon nog normaal en de prijzen op websites zijn bij de meeste hosters exclusief btw.

In de luchtvaartindustrie werden de pre-flightchecks ingevoerd ná een ramp met een Boeing B-17, alweer in 1935. Dat de prijzen inclusief alle (verplichte) toeslagen zijn gebeurd pas sinds enkele jaren ná dat toezichthouder ACM dat had afgedwongen.

In de hostingbranche is er nog géén ernstig incident geweest waardoor we wél kiezen voor het aanbieden van minimale veiligheidseisen zoals standaard een ssl-certificaat bij webhosting. En ook voor de prijzen die nu nog massaal exclusief btw zijn, zit de toezichthouder ACM nog op zijn handen. Wel heeft de Reclame Code Commissie in het verleden hosters op hun vingers getikt, alleen meer dan dat kan de RCC niet doen.

Dat neemt niet weg dat dit niet klopt. De hostingbranche is volwassen geworden en daar hoort het ook bij om je verantwoordelijkheid te nemen. Het is zoveel beter om te laten zien dat we een volwassen en fatsoenlijke branche zijn, die goed voor hun klanten en de maatschappij in zijn geheel zorgen. Dat we onze verantwoordelijkheid nemen. Laten we als hostingbranche het braafste jongetje van de klas zijn in plaats van het stelletje cowboys waar we helaas nog vaak voor worden aangezien.

Standaard een SSL-certificaat. Ja, natuurlijk. Het is tegenwoordig wel gratis door initiatieven als Let’s Encrypt alleen de ondersteuning van de certificaten, het ontwikkelen van een systeem om de ssl-certificaten goed worden aangevraagd, geïnstalleerd en vervangen moet ook worden ontwikkeld en het betekent ook weer dat je weer iets hebt dat je moet monitoren en onderhouden. Prijzen inclusief btw vermelden op mijn website. Mijn concurrent doet het ook niet. Ik ga mooi niet duurder lijken dan mijn concurrent en zo zijn er vast nog meer argumenten te bedenken om beide zaken niet te implementeren.

Tegenover de argumenten om niet standaard (gratis) een ssl-certificaat bij webhosting te leveren staat dat een dienst veilig dient te zijn. Webhosting van websites die niet een versleutelde verbinding bereikbaar zijn, zijn niet veilig. De klant die voor de dienst betaald mag verwachten dat die veilig is. Je kan ook geen auto zonder airbags of gordels kopen. Webhosting moet veilig zijn. De prijzen exclusief btw zijn een ander soort probleem. In de hostingbranche gijzelt iedereen elkaar. Geen bedrijf wil de eerste zijn. Daarom organiseren we vanuit ISPGids.com de btw-overstapdag!

Dat een ssl-certificaat standaard moet zijn en prijzen inclusief btw, zijn twee belangrijke hygiëne factoren bij webhosting. Ik denk dat er nog wel meer zaken zijn die standaard bij webhosting zouden moeten zijn. Denk bijvoorbeeld aan het (periodiek) maken van backups, spamfiltering, het gebruiken van DNSSEC en systemen om e-mail te beveiligen zoals STARTTLS, DANE, SPF, DKIM en DMARC, het hanteren van een NTD-procedure die voldoet aan de Gedragscode NTD en voor grotere hostingbedrijven het hebben van ISO-certificeringen zoals ISO 27001.

Als vergelijkingssite kan ISPGids.com een belangrijke rol spelen om zichtbaar te maken welke hostingbedrijven zich aan deze hygiënefactoren houden en welke niet. De komende tijd ga ik onderzoeken op welke wijze we dat het beste kunnen doen. Wie daar ideeën over heeft of wil reageren op dit artikel kan mij bereiken via arnout@xcat.nl.

mr. Arnout Veenman
Initiatiefnemer ISPGids.com