Waarom HTTPS het allerbeste is voor je website

Er is de afgelopen tijd veel te doen geweest over beveiliging en privacy op het internet. Ik schreef eerder al over de belangrijkste trends op het gebied van online privacy, en over hoe je bezoekers kan beïnvloeden om jouw website te vertrouwen. Deze keer ga ik wat dieper in op HTTPS-beveiliging (ook wel bekend als “SSL”, of “het groene slotje in de browser”). Waar dit voorheen nog voorbehouden was aan webshops en grote bedrijven ben ik van mening dat tegenwoordig elke website goed beveiligd moet zijn. En dat vindt Google ook: websites met HTTPS scoren sinds kort hoger in de zoekresultaten. Des te meer reden om er mee aan de slag te gaan!

Wat is HTTPS?

HTTPS is de beveiligde tegenhanger van HTTP, het protocol dat gebruikt wordt om internetpagina’s op te vragen. HTTPS maakt gebruik van TLS (of eigenlijk: TLS/SSL), en dat is weer een encryptie protocol om internet verkeer te versleutelen. Het doel van de technologie is om communicatie tussen bezoekers en de websites die ze bezoeken volledig te versleutelen zodat er niemand mee kan kijken. Dergelijke beveiliging is vooral belangrijk voor toepassingen als online bankieren en het invoeren van gevoelige gegevens (denk aan je adresgegevens invullen bij een bestelling, of inloggen bij de Belastingdienst).

Je kunt zelf gemakkelijk zien of de website waar je op zit beveiligd is. Wanneer dit het geval is krijg je in de browser een slotje te zien:

Er is ook nog een uitgebreidere beveiligingsvariant waarbij ook de bedrijfsnaam in de adresbalk komt te staan. Dit heet “Extended Validation”. Hierbij wordt ook de verbinding versleuteld. Maar als extra beveiliging is ook door een onafhankelijke instantie vastgesteld dat de website waar je op zit ook daadwerkelijk van dat bedrijf is.

Waarom heeft mijn website HTTPS nodig?

Tot voor kort was het antwoord: niet, tenzij je met gevoelige gegevens werkt (persoonsgegevens, creditcard informatie, etcetera). Deze visie is echter achterhaald, onder andere door de onthullingen van Edward Snowden. Inlichtingendiensten blijken immers op grote schaal gegevens van internetgebruikers te onderscheppen en op te slaan. Door overal HTTPS te gebruiken kunnen inlichtingendiensten niet of nauwelijks meer zien wat er precies gecommuniceerd wordt (lees: wat een bezoeker op de website heeft ingevuld of opgevraagd).

Bij Comaxx hebben we daarom de stelling: HTTPS is standaard, tenzij er een hele goede reden is om het niet te gebruiken (en die redenen zijn zeldzaam). We merken dat HTTPS-beveiliging een bijkomend voordeel biedt: het vertrouwen van bezoekers in je bedrijf neemt toe. Het standaard beveiligen van de website geeft aan dat je als organisatie veiligheid en privacy belangrijk vindt.

Maar als deze argumenten nog niet genoeg zijn om je te overtuigen komen we bij het volgende:

Heeft HTTPS invloed op mijn Google-positie?

Het korte antwoord: ja. Sinds augustus 2014 krijg je van Google pluspunten wanneer de website met HTTPS beveiligd is. Zelfs als je tot hier nog niet overtuigd was lijkt me dit een goede reden om het toch in te zetten!

Hoe voorzie ik mijn website van HTTPS?

Het toevoegen van HTTPS-beveiliging is vrij simpel, het proces bestaat uit drie stappen:

1. Allereerst moet er een zogeheten SSL-certificaat aangeschaft worden
2. Vervolgens moet het certificaat geïnstalleerd worden op de webserver(s)
3. Ten slotte moet de website gebruik gaan maken van HTTPS in plaats van  HTTP (in sommige gevallen moet de webbouwer hier nog enkele aanpassingen voor doen)

Houd rekening met SEO

Het activeren van HTTPS betekent dat je website vanaf dat moment op twee url’s benaderbaar is: http://www.domein.nl en https://www.domein.nl. Google ziet deze twee url’s als wezenlijk verschillend. Gevolg: je pagina’s zijn bereikbaar via twee verschillende url’s, waardoor je risico loopt op duplicate-content minpunten. Zorg er dus voor dat je altijd een goede redirect instelt die alle http:// links doorstuurt naar https://.

En voorkom dat je likes, tweets en +1’s verliest

Ook als je op je website social sharing knoppen hebt staan is het verstandig om een aanpassing te doen. Ook social media zien de HTTP en HTTPS url’s als verschillend. Als je voorheen altijd HTTP links hebt gebruikt heb je waarschijnlijk de nodige likes, tweets en +1’s vergaard. Schakel je de site over naar HTTPS, dan zul je merken dat je Like button opeens naar 0 terugspringt. Er zijn immers nog geen likes voor de HTTPS versie van de pagina. Ook dit is op te lossen, door alle pagina’s vóór de HTTPS migratie te voorzien van een og:url tag met daarin de HTTP link naar de pagina.