Https en SSL: wat betekent dat en waarom heb je het nodig?
Het is je vast wel opgevallen: Google Chrome en Firefox laten tegenwoordig heel duidelijk zien of een website beveiligd is of niet. En dat heeft dan niets te maken met hackers of virussen, ‘veilig’ betekent in dit geval een beveiligde verbinding, waarmee de informatie die je bezoekers delen op je website versleuteld wordt.
Je beveiligt je verbinding door een SSL (Secure Socket Layer)* certificaat aan je website toe te voegen. Het eerste gedeelte van de URL van je website verandert dan van http in https (HyperText Transfer Protocol Secure) en er komt een hangslotje voor te staan.
Waarom https?
Met een beveiligde verbinding laat je je bezoekers zien dat je hun veiligheid en privacy op het internet serieus neemt.
Als je een webshop hebt is het simpel natuurlijk. Dan is zo’n beveiligde verbinding gewoon verplicht. Maar ook als je geen betalingen via je site verwerkt, heb je bijvoorbeeld wel een contactformulier en een aanmeldformulier voor je nieuwsbrief, waar je bezoekers dus ook persoonlijke gegevens doorgeven.
Zoekmachineoptimalisatie
Google benadrukt al jaren het belang van een veiliger internet en geeft de voorkeur aan websites met https boven http. Het staat niet bovenaan in het lijstje van ranking factoren, maar toch. Het helpt een beetje mee.
AVG
Nog een reden voor een beveiligde verbinding: de Algemene Verordening Gegevensbescherming. Op de website van de Autoriteit Persoonsgegevens lees ik:
Verzamelt u persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet u uw website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.
Bijkomende bonus: snelheidswinst!
Dit heb ik nooit zelf getest, maar alleen ergens gelezen → Feitelijk heeft dit te maken met http/2, weer een ander verhaal. Dit is een nieuw, sneller protocol dan http. Als je hosting provider http/2 ondersteunt, kunnen alleen websites met een beveiligde verbinding daar gebruik van maken. Zo wordt je site dus sneller, wat fijn is voor je bezoekers en ook weer voor je relatie met de zoekmachine.
Overstappen naar https
Een SSL-certificaat aanvragen kan tegenwoordig gelukkig vrij eenvoudig én gratis. Let’s Encrypt is een initiatief dat het web veiliger wil maken door gratis, open source certificaten aan te bieden. Kijk even of je hosting provider dit inmiddels ondersteunt.
Mijn eigen hoster, Greenhost, liep voorop in het introduceren van Let’s Encrypt-certificaten in Nederland. Ik kan dat ook heel gemakkelijk zelf instellen in Greenhost’s Service Center.
Http veranderen in https
Ja, dat moet je zelf nog even doen op een paar verschillende plekken. Het is niet automatisch duidelijk dat de URL van je website nu anders is. Om te beginnen moet je het in je WordPress backend aanpassen. Onder Instellingen, bij WordPress-adres en Siteadres:
WordPress zorgt er nu voor dat (bijna) overal achter de schermen http wordt vervangen door https. In de Mediabibliotheek en in je navigatiemenu bijvoorbeeld, of de verwijzingen naar scripts en stijlbestanden.
Google Analytics en Search Console
Als je een Google Analytics account aanmaakt kun je kiezen tussen http of https bij het invullen van je domeinnaam. Als je al een account had kun je dit alsnog veranderen. Ga naar Beheerder (helemaal links onderaan in het menu) en dan naar Property > Instellingen en naar Weergave > Instellingen.
In Google Search Console moet je een nieuwe Property toevoegen en dan je nieuwe Sitemap indienen.
Voor alle zekerheid zou je even moeten noteren wanneer je de overstap van http naar https gemaakt hebt. En in de weken daarna bij Google Analytics en Search Console checken of de metingen inderdaad via de juiste url verlopen.
Social Media
Je hebt neem ik aan een link naar je website in je social media profielen. Daar kun je het ook allemaal even veranderen. Het is niet zo dat je site ineens niet meer bestaat als je dat niet verandert, maar het duurt langer voor de browser om hem op te zoeken als iemand op zo’n link klikt.
Afhankelijk van welke plugin je gebruikt om je artikelen te delen, zou het kunnen dat de teller terug naar 0 gaat. Ik heb dat zelf nog niet meegemaakt bij mijn eigen sites (ik gebruik Social Warfare) of die van mijn klanten, maar het schijnt weleens te gebeuren.
Wel https maar geen (groen) hangslotje?
Hoe kan dat nou? Je hebt alles goed ingesteld, je ziet ook https in de adresbalk van de browser staan, maar toch geen slotje. Of misschien niet overal. Die pagina’s hebben dan ‘gemengde inhoud’ (veilig en niet veilig). In dat geval laat Google Chrome het hangslotje en Firefox zet er een waarschuwingsteken op.
Gemengde inhoud, wat is dat nou weer?
Gemengde inhoud kan betekenen dat er (interne) links op een pagina staan die met http:// beginnen. Die had je daar ingevoegd toen je website of een andere site waarnaar je verwijst nog geen SSL had. Heel vaak gaat het om afbeeldingen, die staan ook als link in de code van de pagina. Vanaf het moment dat je je site hebt omgezet en je bij Instellingen http naar https veranderd hebt (zie hierboven), veranderen de verwijzingen naar je afbeeldingen wel in de Mediabibliotheek, maar niet in de pagina’s en berichten waar ze al in stonden. Dat betekent gelukkig niet dat die links het niet meer doen. Maar de browser registreert de gemengde inhoud en kan de pagina daardoor niet veilig verklaren.
Onveilige inhoud wegwerken
Laat je pagina’s zonder slotje scannen op de website Why No Padlock? Je ziet dan meteen wat er aan ‘onveilige’ content op zo’n pagina staat. In de meeste gevallen kun je dat zelf handmatig veranderen.
Nog iets vergeten?
Er zijn natuurlijk heel veel plekken waar links naar je website staan. Ik kom zelf ook nog wel eens een link tegen waar http voor staat, maar zo erg is dat dus niet, dan verander je het gewoon nog even.
* SSL is eigenlijk een ouder protocol, dat vervangen is door TLS (Transport Layer Security). In de praktijk gebruikt bijna iedereen nog steeds de term SSL , vandaar dat ik het hier ook maar zo noem.
Heb je hier iets aan gehad? Deel het dan met je vrienden en vriendinnen op social media. Dankjewel!
Hoi Marleen,
Ik krijg op mijn website de melding dat de verbinding niet beveiligd is doordat voor Gravatar de avatars niet via https maar http worden verzonden. Ik zie dat jij ook gebruik maakt van Gravatar maar dit probleem niet hebt. Moet ik nog iets downloaden ofzo?
Groetjes,
Chantal
Hoi Chantal,
Da’s een goeie vraag, ik heb geen idee! Ik heb daar in ieder geval niets voor gedaan. Eigenlijk heel vreemd dat gravatar niet via https gaat. Dat zoeken we op!
Groetjes, Marleen
Oh wat goed! Bedankt voor deze informatie én de oplossing Marleen.
Groet!
Dankjewel, Miralda. Is het gelukt? Groet, Marleen