-

Waarom overstappen op HTTPS de moeite waard is

In augustus 2014 heeft Google aangekondigd dat het hebben van een beveiligde verbinding voor je website, vaak aangeduid met HTTPS, als rankingsignaal meegewogen wordt in het rangschikken van de zoekresultaten. Recent onderzoek laat ook zien dat sites met een beveiligde verbinding een licht voordeel hebben in Google’s zoekresultaten. Hierdoor overwegen steeds meer bedrijven om de overstap naar HTTPS te maken. Wat is HTTPS? Wat zijn de voordelen van HTTPS? Waar moet je rekening mee houden bij de overstap van HTTP naar HTTPS?

1. Wat is HTTPS?

HTTPS is de beveiligde variant van HTTP, het protocol dat gebruikt wordt om internetpagina’s op te vragen. HTTPS maakt gebruik van TLS (of eigenlijk: SSL/TLS). TLS heeft het ‘oude’ protocol SSL vervangen. SSL is niet veilig meer en Google raadt aan om alleen nog TLS te gebruiken. In dit artikel gebruiken we de term SSL-certificaat, maar technisch gezien is het dus eigenlijk een TLS-certificaat.

Het doel van de technologie is om communicatie tussen bezoekers en de websites die ze bezoeken volledig te versleutelen zodat niemand mee kan kijken. Hierdoor wordt gegarandeerd dat wat je als bezoeker op een website leest niet door een derde is gemanipuleerd. (Behalve als de server gehackt is).

2. Voordelen van HTTPS

Er zitten diverse voordelen aan het gebruik van HTTPS waaronder:

  • Veiliger

Door de versleuteling van de communicatie tussen de bezoekers en de website wordt het websitebezoek veiliger.

  • SEO

Google heeft aangegeven dat websites met HTTPS een klein rankingvoordeel hebben in de organische zoekresultaten. Onderzoek van Searchmetrics (maart 2015) bevestigt dit. Google liet recent ook weten dat het rankingvoordeel voor websites met HTTPS in toekomst wellicht nog groter zal worden, allereerst voor login en aankoop pagina’s.

  • Vertrouwen

Websites die gebruik maken van HTTPS worden in de meeste browsers weergeven met een groen slotje, dit om de bezoeker te informeren over dat de verbinding beveiligd is. De kleur van het slotje of gehele weergave van de HTTPS-markering per browser verschillen. Afhankelijk van het type certificaat kan een bedrijfsnaam in een groene label getoond worden.

  • Wettelijke eis

In de wet staat dat het verplicht is om het verzenden van persoonsgegevens via internet te beveiligen. Het College Bescherming Persoonsgegevens (CBP) adviseert daarom om gebruik te maken van een TLS Certificaat. HTTPS is daarom verplicht voor toepassingen als online bankieren en het invoeren van gevoelige gegevens (denk aan je adresgegevens invullen bij een bestelling, of inloggen bij de Belastingdienst).

  • Presentatie in de zoekresultaten

Een HTTPS website wordt in de zoekresultaten anders weergegeven. Bij websites met HTTPS wordt in de URL van een zoekresultaat ‘https://’ toegevoegd. Zie onderstaande voorbeeld:

website-zonder-httpsAfbeelding 1: Weergave van een website zonder HTTPS in Google.

website-met-httpsAfbeelding 2: Weergave van een website met HTTPS in Google.

3. Soorten SSL-certificaten

SSL-certificaten zijn er in verschillende validatiemethoden. In principe zijn er drie validatiemethoden, namelijk Domain SSL, Organisation SSL en EV SSL. De versleuteling tussen de browser en server is in de meeste gevallen bij elk certificaat gelijk, het verschil zit voornamelijk in de aanvraagprocedure en extra informatie die getoond wordt in de browser van de bezoeker. Google raadt aan om het SSL-certificaat af te nemen met minimaal ‘2048-bit’-encryptie.

Domain SSL

Een Domain Validation (DV) SSL beveiligt zowel www.domein.nl als domein.nl. Daarnaast zorgt dit certificaat ervoor dat er een hangslot en HTTPS in de browser getoond wordt. (Zie afbeelding 1). In voorbeeld is Chrome als browser gebruikt, dit omdat Google veel nadrukt legt op het gebruik van HTTPS.

dv-certificaat
Afbeelding 3: Website met DV certificaat

Organisation SSL

Bij de aanschaf van een Organisation Validation (DV) -certificaat worden alle bedrijfsgegevens van de website-eigenaar ook opgenomen en gecontroleerd. Deze informatie wordt getoond zodra je de bezoeker de details van het certificaat opvraagt, een gemiddelde bezoeker zal dit niet zo snel doen. Het verschil tussen een DV-certificaat en OV-certificaat certificaat is voor de bezoeker dus minimaal.

Extended Validation SSL

Met een Extented Validation (EV) certificaat krijgen de bezoekers van je website een groen label te zien met daarin je bedrijfsnaam. Hiermee wordt richting bezoekers extra benadrukt welke organisatie achter de website zit end dat de verbinding beveiligd is, dit zorgt voor extra vertrouwen. In de onderstaande screenshot is te zien hoe dat er in de praktijk uitziet:

ev-certificaatAfbeelding 4: Website met EV certificaat

Van bovenstaande certificaten zijn er meerdere types, namelijk single-domain, wildcard en multi-domain certificaat. Een single-domain certificaat beveiligt één domein, daarbij kan je zowel de non-www als www versie voorzien van SSL. Met een wildcard-certificaat beveilig je naast je root domain ook alle onderliggende subdomeinen. Met een multi-domain-certificaat kan je meerdere domeinen en subdomeinen beveiligen.

4. Aandachtspunten bij het overstappen naar HTTPS

Ben je van plan om over te stappen naar HTTPS, houdt dan rekening met de volgende technische punten.

  1. Migratie

Overgaan naar HTTPS betekent dat je nieuwe URL’s krijgt. De URL’s veranderen namelijk van http://www.website.nl naar https://www.website.nl. Nadat het SSL-certificaat juist is geconfigureerd is het van belang dat alle oude URL’s voorzien worden van een zogeheten 301 redirect naar de nieuwe URL’s. Indien de migratie van de oude URL’s naar de nieuwe URL’s niet goed uitgevoerd wordt, kan dit resulteren in een daling in de organische zoekresultaten.

  1. Aanpassen URL’s en interne links

Zorg ervoor dat alle interne links verwijzen naar nieuwe HTTPS URL’s. Daarnaast is het van belang dat URL’s van alle assets zoals Javascript, CSS en afbeeldingen aangepast worden naar HTTPS. Ook andere instructies waar URL’s in voorkomen, zoals de canonical tag, dienen aangepast te worden naar de HTTPS-versie. De verbinding wordt in de browser pas als veilig gemarkeerd zodra alle onderdelen van de site via HTTPS worden ingeladen. Ook kan ‘mixed content’ resulteren in foutmeldingen of een onjuiste weergave van de website.

  1. Webmaster Tools, XML Sitemap & Robots.txt

Voeg de HTTPS-versie van je website toe in Google Webmaster Tools. Ook is het van belang om de XML sitemap opnieuw in te dienen in Google Webmaster Tools.

Zorg dat de HTTPS-versie van je website niet geblokkeerd is in robots.txt bestand op je webserver. Zorg ook dat sitemap.xml is bijgewerkt naar HTTPS. De verwijzing van de sitemap in het robots.txt bestand dient ook aangepast te worden.

  1. Performance

Een overstap naar HTTPS heeft impact op de site performance. Met behulp van diverse technische optimalisaties is het mogelijk om HTTPS websites te versnellen.

Indien bijvoorbeeld voor elk HTTP-verzoek een nieuwe connectie opgezet moet worden, betekent dit dat ook voor elk verzoek een SSL-handshake uitgevoerd moet worden. Zorg dus voor juiste instelling van de HTTP Connection Header.

Het is ook mogelijk om browsers te forceren direct een connectie te leggen met de HTTPS versie om zodoende een redirect via het netwerk en server van HTTP naar HTTPS te voorkomen. Dit is niet alleen sneller maar ook veiliger en wordt nu nog voornamelijk alleen bij financiële instellingen toegepast.

  1. Controle

Als laatste is het belangrijk om te controleren of het HTTPS correct is geconfigureerd. Dit kan met de tool SSLlabs.com. Deze tool wijst je op eventuele fouten in de configuratie van het SSL certificaat. Google heeft aangegeven dat ze in de toekomst ook eventueel de kwaliteit van de SSL-configuratie gaan controleren. Ook is het aan te raden om je website te crawlen met behulp van tools, zoals Deepcrawl of Screaming Frog, om te controleren of alle interne links zijn gewijzigd naar HTTPS.

Overstappen steeds interessanter

Op dit moment is het SEO-voordeel van een HTTPS website nog vrijwel afwezig. Migraties naar HTTPS die we bij OrangeValley hebben gedaan afgelopen jaar laten noch een positief noch een negatief effect zien, maar dit zal is toekomst zeker groter worden. Tegelijkertijd straalt een website met een SSL certificaat meer vertrouwen uit richting de bezoeker, wat de conversie weer ten goede komt. En het hoeft zeker niet ten koste van de site performance te gaan.

Een goed moment om over te stappen naar HTTPS is bijvoorbeeld bij het lanceren van een nieuwe website. Maar de overstap naar een beveiligde verbinding voor je site zal alleen maar interessanter worden naarmate de tijd vordert en Google en je bezoekers je er steeds meer voor zullen waarderen.

Deel dit bericht

2 Reacties

Karel

Dit geldt hoofdzakelijk voor webshops en niet zozeer voor informatieve website, correct? Emerce bijv heeft nog geen HTTPS, is het SEO-voordeel voor dit soort sites even groot als voor webshops?

Arjan Doppenberg

@Karel: Ik verwacht dat uiteindelijk het SEO-voordeel zowel voor informatieve websites als webshops even groot zal zijn. Dit aangezien Google als doel heeft om het internet veiliger te maken. Daarnaast is het belang van een beveiligde verbinding bij informatieve websites zoals een autoriteit als de overheid ook erg groot. Google heeft wel aangegeven dat ze geïnteresseerd zijn in het implementeren van een groter rankingvoordeel voor login- en aankooppagina’s, aangezien veiligheid bij dit soort pagina’s extra belangrijk is.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond