Amsterdam
Haarlemmer Houttuinen 23
1013 GL Amsterdam
The Netherlands
Meppel
Blankenstein 260
7943 PG Meppel
The Netherlands

Ben jij benieuwd wat een SSL-certificaat en een HTTPS-verbinding voor jouw website kunnen betekenen en welke stappen er zijn voor een optimale HTTPS-verhuizing? Als website eigenaar wil je ongetwijfeld meegaan met de laatste ontwikkelingen en gehoor geven aan de vele geluiden rondom SSL/ HTTPS. Wat zijn de voor- en nadelen van een SSL-certificaat? Welke certificaten zijn er? Welke stappen zijn er nodig voor een verhuizing naar HTTPS? Deze vragen worden beantwoord in dit artikel.

Waarom een SSL-certificaat?

Het bieden van een online winkelervaring waarin de consument zich veilig en vertrouwd voelt is van essentieel belang voor het slagen van een website. Het belang van deze maatregel wordt vanuit verschillende invalshoeken onderstreept. Google verplicht gebruikers van AdWords bijvoorbeeld om delen van je website te beveiligen met een SSL-verbinding. Daarnaast lijkt Google het gebruik van SSL steeds meer af te dwingen door hier een SEO-factor van te maken.

Misschien is het je opgevallen dat het percentage van aantal verlaten winkelmandjes tijdens het afrekenproces zéér hoog is. Het geeft waarschijnlijk een bepaalde rust en zekerheid wanneer je weet dat gebrek aan vertrouwen bij online betalingen hier niet aan bijdraagt. Vanuit een juridische invalshoek kan een SSL-verbinding ook benaderd worden. In het kader van de Wet Bescherming Persoonsgegevens ben je als webwinkelier namelijk verplicht om klantgegevens te beveiligen.

Door de bovenstaande argumenten lijkt een beveiligde website langzaam de nieuwe standaard te worden. Een SSL-certificaat en een beveiligde verbinding via HTTPS brengt je een grote stap dichterbij deze standaard.

De voor- en nadelen van een SSL-verbinding geven in vogelvlucht het volgende overzicht.

Argumenten voor HTTPS/SSL

  • Een SSL/HTTPS-verbinding straalt veiligheid en vertrouwen uit naar bezoekers
  • Een SSL/HTTPS-verbinding is een ranking factor in Google
  • Google Analytics geeft meer inzicht in het inkomende verkeer met HTTPS
  • Een SSL/HTTPS-verbinding is gunstig voor de AdWords kwaliteitsscore en een voorwaarde om privacy gevoelige gegevens te verwerken
  • SSL is een passende maatregel in lijn met Wet Bescherming Persoonsgegevens (WBP)

Argumenten tegen HTTPS/SSL

  • Een SSL-verbinding is iets trager dan een onbeveiligde verbinding
  • Verloren Social Media signalen door een SSL-verbinding
  • Een SSL-verbinding brengt vaak jaarlijkse kosten met zich mee

Wat is SSL?

SSL staat voor (Secure Sockets Layer). Dit is protocol voor het versleutelen van data op internet met als doel om informatie te beveiligen zodat het niet kan worden afgeluisterd. Secure Socket Layer (SSL) en Transport Layer Security (TLS) is het meest gebruikte beveiligingsprotocol. Door middel van SSL-encryptie wordt een verbinding tot stand gebracht tussen een cliënt en een server. Hierbij wordt gevoelige informatie in codetaal verzonden via het web.

SSL-versleuteling als codetaal

Maar wat is SSL en hoe komt deze codetaal tot uiting? SSL maakt gebruik van encryptie, en zorgt ervoor dat informatie versleuteld wordt verzonden. Een SSL-protocol is dus een manier voor het creëren van een versleutelde verbinding tussen een webserver en een internetbrowser. Deze SSL-versleuteling verzekert dat alle gegevens, die tussen de webserver en browser worden uitgewisseld, geheim blijven voor buitenstaanders en niet gestolen kunnen worden. Op deze manier wordt privacy gevoelige informatie op een dusdanig ongewone manier weergegeven aan buitenstaanders, zodat zij er niks mee kunnen. Zonder de sleutel waarmee de SSL-verbinding ontgrendeld wordt, zal dit ook zo blijven. Er wordt bij een SSL-certificaat gebruik gemaakt van een public key en een private key. Tijdens een bezoek aan een website wordt de public key door de browser opgehaald. De private key is opgeslagen op de server, en hoort alleen bekend te zijn bij de eigenaar van de sleutel.

Wat is HTTPS?

Door de eerder beschreven SSL-encryptie komt er een HTTPS-verbinding tot stand, waardoor deze gegevens zijn beveiligd tegen buitenstaanders. Het verschil tussen HTTP en HTTPS is in één woord te omschrijven als: beveiliging. HTTPS is de afkorting voor (HyperText Transfer Protocol Secure) en is de uitbreiding op het HTTP-protocol. Het HTTPS-protocol wordt gebruikt voor het afhandelen van aanvragen tussen een browser webserver.

Om de SSL-verbinding en de versleutelde verbinding die daarmee tot stand komt te waarborgen staan de zogeheten “Certificate Authorities” aan de basis van website beveiliging.

Certificate Authority

Certificate Authorities (CA’s), geven digitale SSL-beveiligingscertificaten uit en maken gebruik van root certificaten. Deze root certificaten zijn standaard opgenomen in de meest gebruikte internetbrowsers en brengen een beveiligde verbinding tot stand. De identiteit van een Certificate Authority is dus opgenomen in een browser. Zonder dit rootcertificaat zou een browser geen motief hebben om het SSL-certificaat te erkennen. Wanneer een root-certificaat niet is opgenomen in een internetbrowser, worden beveiligingswaarschuwingen getoond aan de gebruiker.

Wat is een SSL-certificaat?

Omdat SSL-certificaten zijn gekoppeld aan een rootcertificaat worden ze om deze reden ook vertrouwd door internetbrowsers. Een SSL-certificaat is dus een veiligheidscertificaat voor je website. Je website krijgt een officieel digitaal certificaat. Deze is ondertekend door de eerder genoemde Certificate Authority (CA). Door dit certificaat kunnen je bezoekers zien dat hun gegevens veilig zijn, waardoor je website meer vertrouwen uitstraalt.

Een SSL certificaat bevat minimaal de volgende gegevens:

  • Het domein waaraan het SSL-certificaat verbonden is
  • De Certificate Authority die het certificaat heeft uitgegeven
  • Het root-certificaat
  • Het land waarin het veiligheidscertificaat is uitgegeven

SSL-verbinding vs. SEO-effecten

HTTPS als SEO-ranking factor

Dat Google beveiliging van een website prioriteit geeft is duidelijk naar voren gekomen. Een SSL-verbinding wordt in het algoritme van Google als SEO-ranking factor meegenomen. Het gaat vooralsnog om een minimaal verschil in ranking voordeel, maar de impact hiervan wordt groter. De onderstaande quote van Google bevestigt dit.

Google Quote over SSL/HTTPS verbinding

For now it’s only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Google geeft aan uitvoerig onderzoek gedaan te hebben naar de impact van HTTPS op SEO. Hun conclusie is dat het voorlopig invloed heeft op slechts één procent van de wereldwijde zoekopdrachten. Maar is dit werkelijk het effect of vallen de rankings hoger of misschien wel lager uit?

Gelukkig hebben meerdere partijen onderzoek gedaan naar de invloed van HTTPS als ranking factor. Onderzoek van MOZ toont aan dat er een zeer kleine positieve correlatie bestaat tussen HTTPS URL’s en rankings in Google.

De verschillen waren echter zo klein dat MOZ dit effect beschrijft als een tiebreaker. Als de kwaliteit signalen van 2 websites identiek zijn, krijgt de website met HTTPS voorrang.

Relatie tussen website snelheid en SEO

Omdat er bij HTTPS extra communicatie is vereist tussen de website en de server kan het invloed hebben op de snelheid van je website. De laadtijd van een website is pas een noemenswaardig probleem als het een negatieve invloed heeft op de rankings en als bezoekers je website verlaten. Google gebruikt de laadtijd van de website als een ranking factor voor zijn zoekmachine.

Volgens Google haakt 40 procent van de mobiele gebruikers af als een site niet binnen 3 seconden geladen is. Het is daarom belangrijk om te bekijken hoe snel jouw website is op HTTP en hoe lang het duurt voordat deze geladen is.

? - Speed Index Webpagetest

Test de snelheid door meerdere metingen te doen op verschillende dagen en tijden. Naast het testen van de Home pagina is het essentieel om elk belangrijk paginatype te onderwerpen aan deze test. Hierbij kun je denken aan belangrijke categorie- en productpagina’s, de interne zoekfunctie en de winkelmand pagina.

X - Google PageSpeed Insights

GooglePageSpeed Insights geeft een beperkt beeld van de daadwerkelijke prestaties van je site. De score wordt berekend op basis van technieken die vooraf geïmplementeerd zijn in de bouw van een website, waarbij je niet beoordeeld wordt op daadwerkelijke snelheid. Gebruik bij meting van websitesnelheid de Speed Index van webpagetest.org. Deze wordt berekend op basis van de “zichtbare” laadtijd.

Impact van HTTPS op SEO en snelheid

  1. HTTPS als ranking boost lijkt tot op heden een zeer kleine positieve bijdrage te hebben in de zoekresultaten. Het is het echter niet waard om alleen voor SEO-doeleinden over te stappen.
  2. Google heeft aangegeven HTTPS als SEO-ranking factor mee te nemen in het algoritme. Tot op heden gaat het nog om een klein ranking voordeel, maar volgens Google gaat de impact hiervan in de toekomst ongetwijfeld toenemen. Zoals de quote van Google over SSL/HTTPS verbinding aangeeft zal de ranking factor “website beveiliging” geleidelijk toenemen zodat iedereen de gelegenheid heeft om over te stappen op HTTPS.
  3. Het HTTPS-signaal wordt op individuele URL’s toegepast en Google heeft aangegeven dat het HTTPS-signaal functioneert als een tiebreaker. Met tiebreaker wordt bedoeld dat wanneer de kwaliteit signalen van 2 websites identiek zijn, de website met HTTPS voorrang krijgt. Google geeft dat kleine rankingvoordeel alleen aan HTTPS-URL’s. Dus als slechts een deel van jouw site op HTTPS draait, krijgen alleen die URL’s te maken met de ogenschijnlijke voordelen van het nieuwe algoritme.
  4. HTTPS geeft een lichte daling in snelheid en laadtijd ten opzichte van zijn voorganger HTTP. Met de beschreven tools en technieken kun je prestatieverschillen in snelheid vergelijken, in kaart brengen en verbeteren.

SSL-verbinding – AdWords effecten

Wat is eigenlijk de relatie tussen AdWords, een SSL-certificaat en een HTTPS-verbinding? Dat HTTPS als SEO-ranking factor gebruikt wordt, is duidelijk. Voor websites die concurreren binnen de organische zoekresultaten van Google is het ongetwijfeld een stimulans om je website te beveiligen met een SSL-certificaat en HTTPS-verbinding. Wanneer een webshop echter het besluit neemt om over te gaan op betaald adverteren, dan krijgt de adverteerder te maken met bepaalde verplichtingen die voortkomen uit het beleid van AdWords.

Verplicht SSL als voorwaarde

Google heeft webshops verplicht om delen van de webshop waarin privacy gevoelige gegevens worden uitgewisseld te beveiligen met een SSL-verbinding. Het gaat hierbij om pagina’s zoals nieuwsbrief inschrijvingen en pagina’s waarop bezoekers overgaan tot betalen. Zonder gebruik te maken van een SSL-verbinding ben je als webshop dus niet in staat om direct conversies te genereren vanuit AdWords. Zonder een SSL-verbinding kunnen organisaties wel adverteren via AdWords, maar dan zonder de uitwisseling van privacy gevoelige informatie. Hierbij kun je denken aan een naamsbekendheid campagne.

SSL en de AdWords voordelen

De meeste AdWords campagnes hebben echter het doel om direct verkopen te genereren of leads te verzamelen. Om dit op effectieve wijze te kunnen doen is het meestal onvermijdelijk om gegevens zoals e-mail en betaalgegevens uit te wisselen.

  • Google is verantwoordelijk voor 94% van de zoekopdrachten waar je tegen relatief lage kosten op pagina 1 kunt komen. Als je verkopen via AdWords wilt genereren dan kan AdWords niet zonder HTTPS.
  • Veel websites gebruiken SSL alleen op bepaalde pagina’s waar gevoelige informatie (zoals wachtwoorden of creditcardnummers) worden verzonden. Hierbij heb je de mogelijkheid om die pagina’s te beveiligen door de aankoop van een SSL-certificaat of gebruik te maken van een gedeeld SSL-certificaat.
  • De implementatie van HTTPS heeft een positief effect op de kwaliteitsscore van je landingspagina, wat uiteindelijk resulteert tot lagere advertentiekosten.
  • Wanneer je het besluit heb genomen om betaald te adverteren op Google en conversies te genereren is het de vraag welk SSL-certificaat past bij jouw website.

SSL-verbinding – Voor- en nadelen

SSL-verbinding straalt veiligheid uit en geeft vertrouwen

Door dit veiligheidscertificaat en de SSL-verbinding die daardoor tot stand komt kunnen bezoekers zien dat hun gegevens veilig zijn, waardoor je site vertrouwen uitstraalt. Uiteraard kun je dit ook duidelijk weergeven met een zogeheten Site Seal. Dit is een veiligheidszegel die je mag weergeven indien je in het bezit bent van een SSL-certificaat.

Verwijsgegevens blijven intact

Een ander voordeel van HTTPS is de zogeheten referrer data die intact blijft. Wanneer gebruikers tijdens de surfsessie verhuizen van een website met HTTPS naar een website met HTTP, dan komt dit verkeer binnen als direct verkeer. Dit resulteert tot een incompleet beeld van data. Met de implementatie van HTTPS krijg je inzichtelijk waar jouw bezoekers vandaan komen, zelfs wanneer zij van een HTTP-website komen.

Wet Bescherming Persoonsgegevens (WBP)

Je bent als webwinkelier of website eigenaar wettelijk verplicht om klant- of persoonsgegevens te beveiligen in het kader van de Wet Bescherming Persoonsgegevens.

HTTPS is trager dan HTTP

HTTPS kan zorgen voor een langere laadtijd. Dit kan weer leiden tot een lager conversiepercentage en in extreme gevallen tot een minder goede vindbaarheid in zoekmachines. In veel gevallen heeft het verlies van snelheid echter geen noemenswaardige impact.

Verloren Social Media signalen

Wanneer je de website beveiligd met SSL en HTTPS, vervallen de sociale signalen die voortkomen uit Social Media zoals Facebook, Twitter, Pinterest en Google+. Het aantal sociale signalen (zoals het aantal Facebook likes) begint dus weer vanaf 0. Er zijn wel mogelijkheden om deze signalen te behouden, maar vereisen wel kennis van HTML.

Kosten SSL-verbinding

Afhankelijk van het soort SSL-certificaat dat je neemt, kun je jouw website beveiligen met HTTPS op jaarbasis vanaf €0,- tot €50,-.

Onderstaande twijfels en drempels worden geregeld meegenomen in de beslissing om wel of niet over te stappen op HTTPS. Met de juiste stappen hoef je van de onderstaande punten echter geen last te hebben. Laat je keuze om de website te beveiligen met SSL en HTTP daarom hier niet vanaf hangen.

Bezwaren bij een HTTPS-verhuizing

Verlies van linkjuice door verlies van externe links.

Wat betekent een SSL-verbinding voor de SEO metrics pagerank en linkjuice? Aangezien alle externe links verwijzen naar de HTTP-variant hebben veel webmasters de conclusie getrokken dat de Pagerank van de HTTPS-versie in waarde daalt. Google heeft onlangs bekend gemaakt dat er geen verlies van link juice optreedt wanneer een website verhuist van HTTP naar HTTPS.

Het krijgen van een duplicate content penalty.

Kan de overgang naar een SSL-verbinding een duplicate content penalty tot gevolg hebben? Google ziet de HTTP-variant en de HTTPS-variant van je website namelijk als verschillende domeinen met identieke inhoud.

Google heeft onlangs zijn algoritme aangepast om de HTTPS-versie van een pagina’s voorrang te geven op de HTTP-versie. Specifieker omschreven gaan zij tijdens het crawlen van webpagina’s eerst op zoek naar HTTPS-varianten voordat er gekeken wordt naar de HTTP-variant. Als de HTTPS-versie voldoet aan een aantal voorwaarden, wordt alleen deze versie meegenomen voor indexering en plaatsing in Google.

 

SSL-certificaten vergelijken en kopen

Een geschikt SSL-certificaat kopen gaat makkelijker als je weet wat voor verschillende SSL-certificaten er zijn. De verschillende typen certificaten onderscheiden zich voornamelijk in zichtbaarheid, prijs, aanvraagprocedure en extra certificaat inhoud.

Omdat bezoekers vaak geen verstand hebben van veiligheid omtrent een SSL-verbinding, gaat het bij de meeste bezoekers om de veiligheidsperceptie. Hoe veilig wordt een website dus ervaren voor de gangbare bezoeker? Vanuit deze invalshoek worden SSL-certificaten in dit artikel onder andere benaderd.

Ongeacht welk SSL-certificaat er wordt gekozen, blijft een beveiligde SSL-verbinding altijd zichtbaar. Daarnaast gaat de aanschaf van een SSL-certificaat ook samen met een Site Seal. Mocht je de zichtbaarheid van een beveiligde internetverbinding willen vergroten, dan kan deze Site Seal geplaatst worden op een zichtbare plek.

Domain Validation (DV) SSL-certificaat

Een DV-certificaat is een certificaat waarbij alleen de identiteit van een website wordt gecontroleerd. Doordat het validatieproces minder uitgebreid is vallen de kosten voor dit certificaat lager uit.

  • Het DV SSL-certificaat kan binnen een paar minuten beschikbaar worden gesteld.
  • DV SSL-certificaat is gratis te verkrijgen of tegen minimale kosten.
  • Een DV SSL-certificaat straalt het minste vertrouwen uit.

Organisation Validation (OV) SSL-certificaat

Het OV SSL-certificaat bevestigd naast de website ook het bestaan van de onderneming. Naast het domein zijn bedrijfsgegevens dus ook in het certificaat vermeld. Deze informatie is echter alleen zichtbaar wanneer je in de browser de certificaat details opvraagt. Voor de gangbare bezoeker is er dus geen zichtbaar verschil tussen een DV- en een OV SSL-certificaat.

  • Een klik op het SSL-slot in de adresbalk laat naast de website ook bedrijfsgegevens zien.
  • Voor de gangbare bezoeker straalt OV SSL net zo weinig vertrouwen uit als DV SSL.
  • Validatieproces neemt gemiddeld 2 á 3 weken in beslag.

Zichtbaarheid HTTPS in browsers Domain/Organisation Validated SSL-verbinding

EV (Extended Validation) SSL-certificaat

Net als bij OV SSL worden zowel website als bedrijfsnaam opgenomen in het certificaat. EV SSL-certificaten geven daarnaast echter een duidelijk visueel signaal af door de groene balk in de browser. De bedrijfsnaam is daarom ook direct zichtbaar voor de gangbare bezoeker. SSL-certificaat brengen de hoogste kosten met zich mee.Validatieproces neemt veel tijd in beslag. Beveiligde SSL-verbinding is direct en duidelijk zichtbaar.

Zichtbaarheid HTTPS in browsers Extended Validated SSL-verbinding

Aandachtspunten bij het kopen van een SSL-certificaat

Het is raadzaam om gebruik te maken van de zogeheten 2048-bit key certificaten. Door veiligheidsstandaarden die zijn opgelegd zullen de Certificate Authority’s deze hoogswaarschijnlijk wel naleven, maar informeren hierover kan absoluut geen kwaad.

Vraag ook na of het SSL-certificaat ondersteund wordt door mobiele apparaten en zo ja, welke mobiele webbrowsers ondersteund worden door een SSL-verbinding.

Mobiele Web Browsers die worden gebruikt zijn:

  • ACCESS Net Front
  • Atomic
  • Internet Explorer (Alle Windows Apparaten)
  • Dolphin HD
  • Fennec Alpha
  • Opera Mini
  • Opera Mobile
  • Openwave
  • Chrome for Mobile
  • Firefox Mobile
  • RIM BlackBerry
  • Safari (iPhone, iPad, and iPod Touch)
  • SkyFire
  • Sony PlayStation Portable
  • xScope

Het is aan te raden om een SSL-certificaat te bestellen bij jouw huidige webhosting provider. In veel gevallen zijn de installatiekosten dan gratis.

Gedeeld SSL-certificaat en de zichtbaarheid hiervan

Het type SSL-certificaat kopen behoort tot de mogelijkheden, maar je kunt ook gebruik maken van een gedeeld SSL-certificaat.

Een gedeelde SSL-verbinding is geschikt wanneer je in korte tijd gebruikt wilt maken van een verbinding met SSL. Deze beveiliging komt niet tot stand door een eigen SSL-certificaat, maar van het webhosting bedrijf die gebruik maakt van SSL. Hiermee kun je tegen minimale kosten gebruik maken van een SSL-verbinding via een gedeelde server. Met gedeeld SSL heb je de mogelijkheid om delen van jouw website zeer snel te beveiligen (zoals de betaalpagina) door dit in te stellen in je CMS. Omdat SSL-verbindingen gebonden zijn aan één domeinnaam, wordt een andere domeinnaam dan die van jouw website, zichtbaar in de URL-balk. Op delen waar jouw website gebruik maakt van gedeeld SSL, kan de URL er als volgt uitzien:

De zichtbaarheid van een ander domein in de URL wekt in sommige gevallen minder vertrouwen bij de klant. Vooral bij betaalpagina’s, waar de klant gevoelige informatie invoert, kan dit een rol spelen. De mate van beveiliging (dus de mate van encryptie) hoeft echter niet minder te zijn ten opzichte van een eigen SSL-certificaat.

  • Een gedeelde SSL-verbinding komt het meest tot zijn recht bij een website waarin privacy gevoelige informatie minder centraal staat en een SSL-certificaat installeren teveel tijd in beslag neemt.

Een gratis SSL-certificaat?

Let’s Encrypt is een zogeheten certificaatautoriteit en geeft sinds korte tijd SSL-certificaten uit aan websites. Let’s Encrypt biedt gratis domein gevalideerde (DV) SSL-beveiligingscertificaten in combinatie met automatische installatie. De SSL-certificaten van Let’s Encrypt kunnen niet in de Wildcard variant uitgegeven worden (waarover later nog meer) en laten ook geen bedrijfsnaam zien in de adresbalk van de browser, zoals bij Extended Validation (EV) SSL.

Wanneer kosten voor een SSL-verbinding een issue zijn en je liever geen derde partij in de adresbalk vermeld wilt zien, dan biedt een gratis SSL-certificaat een goede uitkomst.

Verschillende certificaten pakketten

Naast de keuze tussen DV, OV en EV SSL-certificaten bieden SSL-providers deze certificaten vaak in pakketten aan. Het gewenste pakket is afhankelijk van hoeveel domeinen en subdomeinen je wilt beveiligen.

Single domain certificaat

Een single domain certificate is het standaard type certificaat, wat voor één domein te gebruiken is. Voor website eigenaren die alleen het hoofddomein willen beveiligen biedt dit pakket een uitkomst.

Wildcard certificaat

Naast de domeinnaam beveiligd een Wildcard Certificate ook een onbeperkt aantal subdomeinen. Doordat een wildcard certificaat één certificaat gebruikt wordt, kan dit een economische manier zijn om de gehele website te beveiligen.

Multi-domain certificaat

Een multi-domain certificate geeft de mogelijkheid om meerdere domeinnamen en subdomeinen te beveiligen met een SSL-verbinding. In het certificaat wordt een standaard aantal subdomeinen en de zogeheten rootdomeinen vastgelegd.

Welk SSL-certificaat is geschikt voor mij?

Vanuit de veiligheidsperceptie van jouw bezoekers kun je bepalen welk SSL-certificaat bij jouw site past en hoe belangrijk de zichtbaarheid van de SSL-verbinding is. Een website van een bank, een webshop en een blog hebben verschillende doelen met ieder hun eigen eisen omtrent beveiliging van het verkeer. Omdat een bezoeker vaak geen verstand heeft van veiligheid omtrent een SSL-verbinding en HTTPS-certificaat, gaat het bij de gangbare bezoeker om de veiligheidsperceptie. Wanneer je hierin een besluit hebt genomen is het certificaten pakket de volgende stap. Dit is afhankelijk van het aantal domeinen en subdomeinen die je wilt beveiligen.

Stappenplan – Van HTTP naar HTTPS

Heb je een keuze uit een SSL-certificaat kunnen maken? Dan wordt het nu tijd om deze te installeren en de SSL-verbinding tot stand te brengen.

Neem vooraf aandachtig de stappen door en breng in kaart welke aanvullende acties je moet ondernemen om de HTTPS-verhuizing succesvol te doorlopen. Maak een planning waarin je alle activiteiten vastlegt en wat voor stappen er bij elke activiteit nodig zijn.

Plan de verhuizing van HTTP naar HTTPS bij voorkeur in op een moment wanneer het bezoekersverkeer laag is. Zo heb je tijd om eventuele fouten te herstellen.

Het belang van een goede voorbereiding

Talloze ervaringen van HTTPS-migraties hebben bewezen dat een verhuizing van HTTP naar HTTPS zeker niet te licht genomen moet worden. Ahrefs.com heeft onlangs 10.000 domeinen geanalyseerd om te achterhalen hoe goed HTTPS is geïmplementeerd op duizenden websites. Hun belangrijkste bevindingen zijn hieronder te zien.

Zoals je aan de afbeelding kan zien hebben slechts 1 op de 10 websites een foutloze verhuizing van HTTP naar HTTPS. Om een verhuizing van HTTP naar HTTPS zo foutloos mogelijk te doorlopen is het daarom van belang om alle factoren in kaart te brengen die een HTTPS-migratie beïnvloeden.

Het onderstaande stappenplan beschrijft alle noodzakelijke stappen die genomen moeten worden om de risico’s bij een verhuizing van HTTP naar HTTPS te minimaliseren.

SSL-certificaat installeren

Naast het uitzoeken van een geschikt SSL-certificaat kan een SSL-certificaat installeren gezien worden als een langdurig proces en kost het in veel gevallen meer tijd dan je van tevoren aanneemt. Een website met een klein aantal pagina’s is over het algemeen snel te voorzien van een SSL-certificaat. Een SSL-certificaat installeren op een grote website is echter een proces dat veel tijd in beslag neemt.

Wanneer je geen eigen VPS of webserver hebt, hoor je altijd contact op te nemen met de webhoster. In veel gevallen vindt je op de website van de provider de benodigde informatie voor het opzetten van een SSL-verbinding. Een SSL-certificaat installeren op een shared server kan niet aan de hand van een uniforme handleiding. De SSL-installatie en de stappen die daarbij genomen worden verschillen per webhosting.

Maak je gebruik van een Content Delivery Network?

Een CDN of Content Delivery Network is een soort hosting waarop meerdere servers met elkaar in verbinding staan. Wanneer je gebruik maakt van een CDN, dan is het van groot belang om ervoor te zorgen dat deze CDN ook compatibel, geschikt en bereikbaar is voor HTTPS- en een SSL-verbinding. Om een volledig beveiligde SSL-verbinding tussen een browser en je website aan te maken, is het belangrijk dat alle objecten die op je pagina worden ingeladen ook daadwerkelijk via het HTTPS-protocol worden ingeladen.

SSL-certificaat check als controlemiddel

Om te controleren of de SSL-verbinding goed tot stand is gekomen en goed is geïnstalleerd kun je gebruik maken van een SSL-security check. Met de Qualys Labs-SSLCheck controleer je of het certificaat juist op de server is geïnstalleerd en of er mogelijke problemen zijn. Zorg hierbij voor een hoge score van A of A+.

Maak daarom altijd gebruik van een SSL-check om te controleren of het SSL-certificaat en de SSL-verbinding correct is geïnstalleerd.

Opstellen van een mailadressen lijst

Stel een excel bestand op waarin je alle oude inkomende HTTP-links en de daarbij horende websites verzameld. Na de verhuizing van HTTP naar HTTPS kun je vervolgens zoveel mogelijk website eigenaren een mail sturen met daarin de vraag om de URL’s aan te passen naar de HTTPS-website met SSL-verbinding.

Uiteraard verwijzen de HTTP-varianten zonder deze stap ook naar de HTTPS-website, maar hiermee geef je in ieder geval aan een website te hebben met een beveiligingscertificaat. Neem voor het installeren van een SSL-certificaat en het aanvragen van een Certificate Signing Request daarom altijd contact op met je webhoster en eventueel CDN of raadpleeg de informatie op de website.

Oude links doorverwijzen met een 301-redirect

Vervolgens is het zaak om de HTTP-versie door te sturen naar HTTPS-versie middels een doorverwijzing. Het is vele malen makkelijker om 301-redirects te implementeren op server niveau. Dit gaat met name op wanneer de verhuizing honderden URL’s omvat. De ‘301-redirect’ is de meest effectieve manier om die pagina’s door te verwijzen. Een 301 redirect stuurt de bezoekers automatisch en permanent door naar de juiste URL. Dit maakt de 301-redirect de beste methode, omdat het de bezoeker niet alleen automatisch doorstuurt (de zogeheten 302-redirect doet dit namelijk ook), maar dit ook op een veilige wijze doet.

Deze verwijzingen zullen de HTTP-pagina’s vervangen door de HTTPS-versie van jouw website met een SSL-verbinding.

Let op: dit is een hele belangrijke stap in de verhuizing van HTTP naar HTTPS. Wanneer je geen verstand hebt van 301-redirects op serverniveau, is het zeer raadzaam om het over te laten aan iemand die hiervoor de benodigde kennis en ervaring heeft. Neem daarom contact op met je website bouwer en informeer naar de mogelijkheden.

Wijzigen van datafeed URL’s

Op de dag van de HTTP naar HTTPS verhuizing is het zaak om de datafeed URL van alle vergelijkers, affiliates, Google Shopping, en andere partijen te wijzigen.
Direct na de verhuizing horen ook alle AdWords bestemmings-url’s omgezet te worden van HTTP naar HTTPS. Gebruik hiervoor de AdWords Editor.

Naast de advertentie-kanalen hoor je Google Analytics ook te informeren over de verhuizing van HTTP naar HTTPS.

Vervangen van absolute en hard-coded URL’s

Maakt jouw website gebruik van relatieve of absolute interne links? Een absolute URL bevat zowel het protocol, als het domeinnaam (al dan niet met subdomein) en een aanvullend pad en bestandsnaam:

Absolute URL = http://www.domeinnaam.nl/pad/zoekmachine-optimalisatie.html

Relatieve URL = /pad/zoekmachine-optimalisatie.html

In tegenstelling tot absolute URL’s staan relatieve URL’s direct goed na een verhuizing van HTTP naar HTTPS. Absolute URL’s hoor je echter handmatig te vervangen of via een tool.

Voor WordPress websites heb je bijvoorbeeld de search/replace database script InterconnectIT tool tot je beschikking. Voor het geval je gebruik maakt van absolute links is het raadzaam om de hele website te controleren op absolute links.

Controleer ook direct of alle afbeeldingen met relatieve URL’s in de code staan. De juiste manier is:

Bekijk daarnaast de HTTPS-links in JavaScripts en CSS-files. Hard Coded links worden daarnaast ook niet overschreven door de 301-redirect op server niveau. Om dit (en dus eventueel SSL-verbinding foutmeldingen) te voorkomen is het mogelijk om links niet te specificeren. Dit kunt je doen door alles voor de ‘trailing slashes’ weg te halen.

Dus http://www.site.com wordt //www.site.com
Wanneer je ‘trailing slashes’ hebt weggehaald, zal de HTTPS-versie worden gebruikt omdat dit is geforceerd middels de 301-redirect.

Opsporen van mixed content

Wanneer een pagina HTTP-elementen bevat, wordt dit een mixed content (gemengde inhoud) pagina genoemd. Mocht de bekeken pagina elementen bevatten die worden opgehaald via reguliere HTTP, dan is de verbinding slechts gedeeltelijk beveiligd. De volgende scripts worden niet meegenomen bij het vervangen van URL’s en horen handmatig gewijzigd te worden.

  • Custom scripts zijn software programma’s die interactiviteit toevoegen aan uw website. Een goed voorbeeld daarvan is de ingebouwde zoekfunctie op een HTTPS-website.
  • Third party scripts zijn codes op jouw website die afkomstig zijn van een derde partij. Een voorbeeld hiervan is de Facebook koppeling.

Het is heel belangrijk om mixed content tegen te gaan bij een HTTPS-migratie. Het is niet bevorderlijk voor het vertrouwen van bezoekers op jouw website wanneer zij deze melding krijgen. Om dit probleem te verhelpen, horen alle aanvragen over HTTP te worden vervangen door aanvragen via HTTPS. In veel gevallen gaat het hier over JavaScript bestanden, stylesheets, afbeeldingen, video’s en andere media.

Wanneer een browser alsnog onveilige content vindt op de pagina’s, wordt dit duidelijk gemaakt aan de hand van onderstaand icoon:

Om deze waarschuwingen op te sporen kun je gebruik maken van een SSL-controle tool. De SSL-check van Jit-Bit kan jouw website crawlen en hierbij zoeken naar bestanden die deze waarschuwing weergeeft in de adresbalk.

Webmaster Tools

Vervolgens is het zaak om aan de slag met Google Webmaster Tools. Voeg de nieuwe HTTPS-versie toe en verifieer het bij Webmaster Tools. Dupliceer en upload het robots.txt-bestand voor de nieuwe HTTPS-versie op je webserver. Bewerk het via robots.txt-tester (binnen Webmaster Tools onder Crawlen) en controleer het op fouten.

Upload de sitemap met alle HTTPS URL’s. Op deze manier help je Google voor de herindexatie van alle pagina’s met een SSL-verbinding.

Rel=canonical tags plaatsen

Deze canonical tag werkt in feite als een redirect. Deze code geeft aan op welke pagina (in het voorbeeld http://www.website.nl/artikel/) de originele tekst vermeld staat.

De pagina met duplicate content wordt op deze manier niet meer geïndexeerd en de linkjuice wordt naar de juiste URL-doorgestuurd.

Het kan zijn dat je al eerder gebruikt maakte van canonical tags, maar dan bij de HTTP-versie van je website. Het is dan zaak om dit proces te herhalen bij de HTTPS-variant.

Rel=canonical tags plaats je in desectie van een website:

Na de HTTPS-migratie

Als de nieuwe versie online staat, dan kun je Google helpen om deze nog sneller te laten indexeren. Via Webmaster Tools kun je de website of losse pagina’s indienen via de tool: Fetchen als

Google (onder Crawlen). Hiermee kun je ook controleren of Google in staat is de website te crawlen en hoe deze binnen verschillende browsers wordt weergegeven.

Overgaan tot SSL – Wat neem ik mee in mijn beslissing?

Een beveiligingscertificaat heeft op lange termijn meer voordelen dan nadelen. Voor de SEO-boost is een SSL verbinding vooralsnog geen reden om te verhuizen van HTTP naar HTTPS. Aangezien een SSL-verbinding in veel gevallen verplicht is bij AdWords en je hiermee meer verkopen genereert is een SSL-verbinding zeker aan te raden.

Bij de keuze van het beste SSL-certificaat dat aansluit bij jouw wensen hoor je vooraf rekening te houden met de veiligheidsperceptie van bezoekers. De vraag hierbij is hoeveel vertrouwen je wilt uitstralen naar bezoekers met de adresbalk. Een Extended Validation (EV) SSL-certificaat geeft duidelijker de veiligheid van online betalen aan terwijl een gratis SSL-certificaat of Domain Validation (DV) SSL-certificaat tegen lage kosten deze veiligheid verschaffen, maar weliswaar minder prominent. Een gedeeld SSL-certificaat is makkelijk te implementeren, maar straalt door de weergave van een externe partij in de adresbalk het minste vertrouwen uit.

Bij de verhuizing geldt dat voorkomen beter is dan genezen. Een fout met SSL-verbinding kan resulteren in mixed content waarschuwingen, en dat heeft een averechts effect op het vertrouwen in jouw website. Hier is echter geen sprake van, mits je de stappen bij de verhuizing van HTTP naar HTTPS correct uitvoert.