HTTPS: Wat, waarom en hoe?

Home » Blog » Geen categorie » HTTPS: Wat, waarom en hoe?

Hoewel HTTPS in 2014 al door Google werd opgenomen als officieel rankingsignaal, lieten veel webmasters de migratie naar een beveiligde verbinding op dat moment links liggen. Echte grote verschillen in rankings bleven namelijk uit waardoor HTTPS – zeker vanuit SEO oogpunt – niet direct prioriteit kreeg. Echter is het tij anno 2017 gekeerd en bleek uit een recent onderzoek dat in Firefox ongeveer de helft van alle websites wordt getoond middels de beveiligde HTTPs verbinding. Tel hierbij het feit op dat onderwerpen als privacy en veiligheid relevanter zijn dan ooit en je zult begrijpen waarom je niet moet bedenken of, maar vooral wanneer je over moet naar een beveiligde verbinding. Wij vertellen je graag over het wat, waarom en hoe van HTTPS.

https

Wat is HTTPS?

HTTPS staat voor HyperText Transfer Protocol Secure. HTTPS is een protocol waarbij aanvragen tussen een browser en een server op een veilige manier worden afgehandeld. Een HTTPS verbinding komt echter niet zomaar tot stand; hiervoor is SSL nodig. SSL staat voor Secure Sockets Layer en maakt gebruik van encryptie. Dit betekent dat de informatie die tussen de server en browser wordt gecommuniceerd, via een versleutelde verbinding verzonden wordt. SSL en HTTPS zijn dan ook nauw met elkaar verbonden. Om deze beveiligde verbinding te kunnen waarborgen, zijn de zogeheten Certificate Authoritites in het leven geroepen.

Een Certificate Authority is een onafhankelijke partij die SSL-certificaten aan websites uitgeeft. Een Certificate Authority verklaart dat het SSL-certificaat hoort bij de organisatie die op het certificaat staat vermeld. Wat een Certificate Authority precies doet om een certificaat goed te keuren, hangt af van het soort certificaat waar het om gaat. In totaal zijn er drie verschillende SSL-certificaten.

Type SSL-certificaten

Het verschil van de verschillende SSL-certificaten zit hem in de validatiemethode bij uitgifte. Hoe strenger de validatie, hoe meer kenmerken waaraan moet worden voldaan en hoe meer werk een Certificate Authority eraan heeft. Dit is dan ook de reden dat een domeinvalidatie sneller wordt uitgegeven dan een uitgebreide validatie. Ongeacht het soort certificaat bevat deze altijd tenminste het domein waaraan het SSL certificaat gekoppeld is, het land waarin het SSL certificaat is uitgegeven, de Certificate Authority die het certificaat heeft uitgegeven en het root certificaat.

  1. SSL-certificaat met domeinvalidatie

Zoals de naam al doet vermoeden, wordt er bij een domeinvalidatie een SSL-certificaat gevalideerd aan de hand van een domeinnaam. Dit is de meest eenvoudige validatie en kan binnen enkele minuten worden uitgegeven. Er kan gekozen worden voor een domeinvalidatie wanneer gegevens via een beveiligde verbinding verzonden moeten worden, maar de identiteit en het controleren hiervan minder belangrijk is.

  1. SSL-certificaat met organisatievalidatie

Bij een organisatievalidatie wordt er niet alleen gevalideerd aan de hand van een domein naam. Er zijn namelijk aanvullende bedrijfsgegevens nodig. Deze bedrijfsgegevens worden na het indienen ervan gecontroleerd en gepubliceerd. Deze gegevens zijn voor eenieder te allen tijde inzichtelijk. Een SSL-certificaat met organisatievalidatie is, net als bij een domeinvalidatie, relatief snel uit te geven.

  1. SSL-certificaat met uitgebreide validatie

De uitgebreide validatie houdt in dat er een uitgebreid proces wordt gestart om te controleren of de aanvraag legitiem is. Het uitgeven ervan duurt dan ook langer dan bij de andere validaties. Echter profiteer je wel van de bekende groene adresbalk waarin adresgegevens worden opgenomen. Dit alles zorgt voor extra vertrouwen bij de eindgebruiker.

Behalve het soort validatie, zijn er ook verschillende vormen van SSL-certificaten. Zo is een domeincertificaat geldig voor 1 (sub)domein, is een SAN certificaat geldig voor meerdere subdomeinen (maximaal 100) en is een wildcard certificaat geldig voor alle subdomeinen die onder een domeinnaam vallen. Het is dus belangrijk om niet alleen te kijken naar het type certificaat, maar ook welke vorm je nodig hebt.

Waarom HTTPS?

Overstappen naar een beveiligde verbinding doe je dus middels het HTTPS protocol dat gebruik maakt van SSL. Maar waarom zou je een website migreren naar HTTPS? Hiervoor zijn verschillende beweegredenen.

  • SEO rankingfactor

Zoals al eerder aangegeven, is HTTPS is in 2014 officieel opgenomen als rankingfactor in het algoritme van Google. Hoewel deze beveiligde verbinding niet van grote directe invloed is op je rankings, draagt het wel een steentje bij. SEO blijft tenslotte een optelsom van vele ranking signalen die door een zoekmachine wordt opgepikt.

  • Vertrouwen en gebruikerservaring

Nog belangrijker is misschien nog wel de gebruikerservaring. SEO en UX gaan tegenwoordig hand in hand samen. Het is dan ook belangrijker dan ooit om in te spelen op de gebruikerservaring van een bezoeker. Wordt de website als veilig gemarkeerd en straalt deze vertrouwen uit? Dan zijn bezoekers sneller geneigd te converteren dan wanneer dit niet het geval is.

  • Browsers halen je in

Of je het nu wilt of niet; wie niet meegaat zal worden ingehaald door browsers als Chrome en Mozilla Firefox. Zo bestempelt Chrome 56 sinds begin dit jaar HTTP-websites die wachtwoorden en creditcardgegevens doorsturen als ‘niet veilig’. Uiteindelijk wil Google alle HTTP-websites als niet veilig bestempelen.

chrome https

Chrome 56 bestempelt sinds begin 2017 HTTP-websites die wachtwoorden en creditcardgegevens doorsturen als ‘niet veilig’ …

 

chrome https

… en wilt uiteindelijk alle HTTP websites als niet veilig bestempelen.

 

  • HTTP/2

Ten slotte speelt HTTP/2 een rol. HTTP/2 is de nieuwe versie van het HTTP-protocol. Omdat Google Chrome en Mozilla Firefox het gebruik van SSL verplichten bij HTTP/2, kun je er straks niet meer omheen. Hoewel HTTP/2  op dit moment nog lang niet overal wordt toegepast, is dit wel de standaard die uiteindelijk zal gelden.

Niet zo vreemd ook, als je je bedenkt dat HTTP/1 geïntroduceerd is in 1999. HTTP/1 is vandaag de dag sterk verouderd. Je kunt je voorstellen dat een website er in 1999 heel anders uit zag dan dat dit nu het geval is.

Mede dankzij de komst van Content Management Systemen als WordPress en Magento is het mogelijk – en gemakkelijk – om grotere, mooiere en meer uitgebreide websites te ontwikkelen. De keerzijde hiervan is dat voor het gebruik van de vele thema’s en plugings gebruikt wordt gemaakt van externe bronnen. Nu is dit op zichzelf niet erg, maar wel wanneer hiervoor veel externe scripts van een andere server opgehaald dienen te worden. Het inladen van zo’n externe bron kan namelijk pas worden gestart, wanneer een eerder verzoek is afgerond. Dit wordt ook wel head-of-line blocking genoemd.

Dankzij HTTP/2 is dit anders. De grootste en belangrijkste verandering hierbij zit hem in de snelheid. Alle verzoeken worden namelijk samengevoegd en via één verbinding naar de browser verstuurd. Tijdens het inladen van een verzoek, kan een ander verzoek op de achtergrond ook worden ingeladen. Dit wordt ook wel multiplexing genoemd. Met de komst van HTTP/2 kan data daarom nog sneller worden uitgewisseld. Uit een onderzoek is gebleken dat 80 procent van de onderzochte websites sneller laden met HTTP/2 dan met HTTP/1.1. Wereldwijd wordt HTTP/2 inmiddels al door ruim twee derde van de ruim 70 webbrowsers ondersteund. Stap je over naar HTTPS? Dan kan het dus heel interessant zijn om ook de overstap te maken naar HTTP/2.

http1vshttp2

 

Hoe zorg je voor een succesvolle HTTPS migratie?

Nu je weet wat HTTPS is en waarom je wel de overstap moet maken, is het tijd voor de laatste stap. Namelijk een succesvolle HTTPS migratie. Dit wordt door menigeen onderschat. Hoewel het proces op zichzelf geen lang en ingewikkeld traject hoeft te zijn, kent het wel de nodige haken en ogen. Een nulmeting voorafgaand aan de migratie is hierbij cruciaal. De handleiding van Moz kan je hierbij goed helpen. Wanneer er onzorgvuldig wordt omgegaan kan men te maken krijgen met problemen als:

Niet redirecten van alle URL’s

Wanneer de pagina’s niet in het .htaccess bestand – uitgaande van een Apache server – op de juiste manier worden geredirect, kan het zijn dat pagina’s via zowel HTTP als HTTPS bereikbaar zijn. Het gevolg hiervan is duplicate content en zal je website alles behalve goed doen. Controleer daarom altijd of alle URL’s netjes worden omgeleid en hier zich geen problemen in voor doen.

Mixed content

Mixed content is een ander typisch voorbeeld dat regelmatig misgaat bij het migreren naar HTTPS. Er is sprake van mixed content wanneer een HTTPS pagina HTTP inhoud bevat. De pagina lijkt hiermee beveiligd, maar is dit in werkelijkheid niet. Dit probleem kan ontstaan door het gebruik van bijvoorbeeld Google Fonts, Javascript, CSS of afbeeldingen. Wanneer er sprake is van mixed content kan Why no Padlock uitkomst bieden. Hierin krijg je namelijk een indicatie van waar het exacte probleem zich kan bevinden.

Nazorg

Ten slotte, vergeet vooral het stukje nazorg niet. Want wanneer je website bereikbaar is via HTTPS, is de migratie hiermee nog niet direct afgerond. Zo moet het nieuwe beveiligde domein opnieuw worden ingediend in Google Search Console. Ook het controleren van de sitemap – bevat de sitemap daadwerkelijk alleen HTTPS URL’s? – en het wijzigingen van de locatie van de sitemap in de robots.txt wordt vaak over het hoofd gezien.

Een succesvolle HTTPS migratie vergt de nodige tijd en aandacht. Wil jij jouw website naar HTTPS migreren en wens je hierbij hulp te gebruiken? Neem geheel vrijblijvend contact met ons op om te zien wat we voor je kunnen betekenen.

Relevante diensten

Meer lezen over dit onderwerp? Bekijk onze relevante diensten.

Reageren