PuzzelstukkenHet SSL / HTTPS certificaat wint wereldwijd aan populariteit. Dat het meetelt in de Google-ranking is hier een belangrijk reden voor. Maar ook vanwege veiligheid, privacy en een betrouwbare uitstraling is het aan te raden. Voor een succesvolle migratie zijn (1) de keuze van het juiste certificaat, (2) inzet van redirects, (3) inzicht in technische facetten, (4) mogelijke beveiligingsissues en (5) aanmelding bij Google belangrijk. Niet alleen de beveiliging draait om het samenbrengen van de juiste puzzelstukjes, dat geldt ook voor weg er naar toe.

Tijd voor een SSL / HTTPS certificaat

Ruim 25% van de sites wereldwijd maakt gebruik een SSL. Zoals je ziet aan het groene slotje en de ‘https://’ voor de domeinnaam in de browserbalk gebruikt ook deze site een SSL certificaat. Wil jij je site ook gaan omzetten van http naar https? Lees dan hieronder hoe ik het heb gedaan. De eerste vraag is natuurlijk: waarom heb ik een SSL certificaat / HTTPS verbinding nodig? Hieronder een aantal redenen:

  • je site komt betrouwbaarder over
  • het werkt positief voor je Google ranking
  • je biedt veiligheid en privacy, ook bij een openbare Wifi-hotspot

Wat doet een SSL / HTTPS certificaat?

Via het SSL-protocol wordt informatie die de gebruiker en de site uitwisselen versleuteld. Zonder op de technische details in te gaan, bepalen de server van de website en de browser van de bezoeker tijdens een zogenaamde ‘https handshake‘  de gezamenlijke sleutel om de informatie kunnen ontcijferen. Hierbij is het van belang dat je zeker weet dat je verbinding hebt met de site waar je verbinding mee denkt te hebben. En daar zorgt het certificaat voor. Via het certificaat kan de browser de identiteit van de site vaststellen. De bezoeker kan vervolgens via een groen ‘slotje’ in de browserbalk zien dat het veilig is om gegevens met de site uit te wisselen.

Verschillende certificaten en iconen

De verschillende SSL certificaten kunnen worden ingedeeld in drie groepen. De verschillen staan hieronder uitgelegd. Besef dat implementeren van zo’n certificaat niet automatisch betekent dat je site veilig is of minder gevoelig voor hackers. Het tijdig uitvoeren van updates en kiezen van sterke wachtwoorden blijft net zo hard nodig.

Soorten SSL certificaten

  • het Domein Validatie SSL certificaat controleert alleen of de aanvrager ook daadwerkelijk de domeinnaam beheert. Het is geldig voor slechts één domeinnaam, niet voor subdomeinen. Aanvragen gaat geautomatiseerd en is vaak binnen enkele minuten geregeld. De kosten per jaar liggen tussen € 20,- en € 50,-. Een bijzondere variant van dit certificaat is het Wildcard SSL certificaat. Dat doet hetzelfde als het domein validatie certificaat, alleen is dit ook geldig voor alle subdomeinen. Het is wat duurder, maar is dan ook bruikbaar voor domein.nl, en andere varianten, zoals  bijvoorbeeld extra.domein.nl. Het werkt ook automatisch voor eventueel later aangemaakte subdomeinen.
  • het Organisatie Validatie SSL certificaat kijkt of de organisatie de domeinnaam beheert, controleert de KVK-inschrijving en belt met de contactpersoon voor een extra controle. Het certificaat is doorgaans na minimaal 2 en maximaal 5 werkdagen beschikbaar. Jaarlijkse kosten liggen tussen € 35,- en € 75,-.
  • het Uitgebreide Validatie SSL certificaat vraagt, naast de controles van het Organisatie Validatie certificaat, ook van jou een uitgebreid ingevuld validatie formulier. Levertijd is tussen 3 en 7 werkdagen, en de prijs van € 150,- tot € 300,- per jaar. Bij dit certificaat komt de volledige bedrijfsnaam in het groen in de browserbalk te staan (zie ook het kopje hieronder).

De prijs is afhankelijk van waar je het certificaat aanschaft en of je installatie zelf doet. Er zijn verschillende aanbieders van certificaten. De belangrijkste zijn VeriSign, GeoTrust, Comodo, Thawte en RapidSSL. De verschillen zitten vooral in de extra opties, zoals meerdere domeinnamen of subdomeinen op hetzelfde certificaat, mobiele ondersteuning of ondersteuning voor oudere browsers. Bekendere  merken als Verisign of Thawte kunnen voor meer vertrouwen zorgen, maar zijn vaak duurder. Verderop komt het aanvragen en activeren van een SSL certificiaat aan bod.

Soorten SSL / HTTPS iconen

Wanneer een site gebruik maakt van het SSL protocol is dat te zien aan de ‘https://’ voor de url in browserbalk en aan het slotje daarachter (in Firefox en Chrome). Dat slotje kan verschillen in kleur. Dit is afhankelijk van de vraag of de beveiliging overal op de site is toegepast. De kleur geeft voor de bezoeker aan wat hij of zij beter wel of niet kan doen op de site. Uiteraard wil je het liefst een volledig beveiligde site. Explorer en Edge plaatsen het slotje meer aan rechterkant en zonder kleur. Verderop volgen tips om veelvoorkomende problemen op te lossen die een ‘groen slotje’ in de weg staan.

Groen slotje SSL en HTTPS veiligde browser heeft een beveiligde verbinding met de site en de pagina

Slotje met uitroepteken onveilige elementen op paginade inhoud van de pagina is deels onbeveiligd. Gegevens invoeren is veilig, maar de informatie op de pagina kan door derden zijn aangepast.

Icoon slotje met rood kruis SSL / HTTPS onveiliger is risicovolle, onbeveiligde inhoud aangetroffen of er zijn problemen met het certificaat. Het is mogelijk dat een derde de verbinding met de site manipuleert.

Indien je een Uitgebreide Validatie certificaat hebt, komt ook je bedrijfsnaam in het groen in de browserbalk te staan. Het is daarom er geschikt voor bedrijven die veel betrouwbaarheid willen uitstralen zoals banken, webwinkels en maildiensten. Dit ziet er (in Firefox en Chrome) dan als volgt uit:

Icoon HTTP - SSL cerficaat uitgebreide validatie

 

Een SSL / HTTPS certificaat aanvragen en activeren

Er zijn vele aanbieders van de verschillende soorten certificaten. Gelukkig is er een site die de verschillende SSL certificaten vergelijkt. Nadat je een certificaat hebt aangeschaft, moet eerst je domeinnaam worden gevalideerd. Hiervoor gebruik je een Certificate Signing Request (CSR). Hoe je dit doet, verschilt per hostingplatform. Op de site SSLcertificaten.nl zijn handleidingen voor het activeren en installeren van SSL certificaten voor de diverse platformen te vinden. Je kunt er ook voor kiezen het aanvragen en activeren door je hostingprovider of internetbureau te laten doen. De keuze uit verschillende soorten SSL certificaten is dan meestal wel beperkt(er) en de prijs hoger.

Overzetten / migreren naar SSL / HTTPS

Het overzetten van een bestaande site naar een SSL protocol en een url met https moet niet worden onderschat. Met de juiste voorbereiding kan het geruisloos en voor de bezoekers ongemerkt gebeuren. Ook de vindbaarheid in zoekmachines hoeft er niet onder te leiden (en zal op langere termijn juist verbeteren). Mij is het ook gelukt de switch snel en geruisloos te maken. Mede dankzij het uitgebreide artikel van Webtalis over het migreren van een WordPress site naar SSL / HTTPS. Enkele aandachtspunten hieruit zijn ook zondermeer van toepassing op andere migraties vanaf andere platformen. Deze deel ik daarom samen met mijn eigen aanvullingen hieronder.

Alle links redirecten naar HTTPS

Wat men vaak niet beseft is dat een url die begint met ‘https://’ in technisch opzicht een totaal andere url is dan die begint met ‘http://’. Zonder een redirect op de site blijven alle bestaande verwijzingen eindigen op de oude (niet beveiligde) omgeving zolang ze niet worden aangepast. Om te voorkomen dat je iedereen met een link naar je site moet vragen de verwijzing aan te passen,  pas je het .htaccess bestand aan. Je stuurt dan voor de site als geheel alle verkeer dat binnenkomt op ‘http://’ door naar ‘https://’. Denk er ook aan te checken of de canonical url van alle pagina’s goed staat. Anders denkt Google dat de oude url nog steeds de echte url is.

Beveiligingsissues implementatie SSL protocol en HTTPS

Je wilt natuurlijk dat je bezoeker een melding krijgt dat de site volledig beveiligd is. Niet dat er nog onbeveiligde elementen op de pagina zijn. Elementen worden als ‘onveilig’ aangemerkt als ze worden ingeladen vanuit een (oude) ‘http:// omgeving’. Bijvoorbeeld afbeeldingen of formulieren. Maar het kan ook gaan om (links in) widgets en plugins die vanaf de server van derden worden ingeladen. Daarnaast verwijzen video’s vanuit Youtube die voor begin 2013 zijn toegevoegd naar een ‘http://’-adres. Dit kan ertoe leiden dat ze worden geblokkeerd, of tot de melding van onbeveiligde elementen op de pagina.

Basisregel is dat er alleen nog maar content wordt ingeladen vanuit een beveiligde https:// omgeving. Via Whynopadlock kun je iedere pagina van je site scannen op onveilige elementen. Daarnaast werkt ook een andere methode nog altijd: de broncode van de pagina nakijken (met CTRL + F) op links die beginnen met ‘http://’ en die toebehoren aan elementen die worden ingeladen. Vergeet ook niet CSS- en Javascript-elementen te checken.

Je bent ook afhankelijk van anderen voor je SSL beveiliging

De veiligheid van je site hangt niet alleen af van je eigen SSL instellingen. Ook de instellingen van de server waar de site op draait tellen mee. Je kunt snel en eenvoudig testen of er nog verbeterpunten in de configuratie van de server zijn via de SSL Server test van SSLLabs. Vul je domeinnaam in, klik op submit en na ongeveer een minuut heb je resultaten. Bij scoorde de serverconfiguratie een ‘A’, op een schaal van F tot A+.

SSL report met score A voor NickLink.nl

Mijn HTTPS adres zo snel mogelijk in Google

Meld je site ‘opnieuw’ aan bij Google

Zoals gezegd is een url met ‘https://’ in technisch opzicht totaal iets anders dan dezelfde url met ‘http://’ ervoor. Daarom is het belangrijk de https-versie van je site als zijnde een nieuwe url aan te melden bij Google Search Console. Anders zul je zien dat geleidelijk de weergaves voor de http://-variant teruglopen, zonder dat deze ergens opnieuw zichtbaar worden. Om diezelfde reden beveelt Google ook aan een nieuwe sitemap up te loaden als de migratie voltooid is. Alsof het een nieuwe site betreft. Op deze manier is Google op direct op de hoogte van je migratie.

Zet externe links om naar HTTPS

Door externe links vanaf bijvoorbeeld je social media om te zetten naar https:// geef je ook op andere wijze aan Google het signaal af dat er nieuwe variant van de website, mét SSL protocol, is gelanceerd.

Tot slot: schrik niet van je social counts

Technisch gezien is de HTTPS-variant van je site een nieuwe url. Dit betekent dat ook de tellers die het aantal shares op social media tellen op je HTTPS-site op nul beginnen. Het verschilt per social netwerk of, en zo ja na hoeveel tijd, je de shares weer terugziet. Google+ is doorgaans het snelst, Facebook en LinkedIn doen er langer over. Sommigen spreken over weken of zelfs maanden. Het is mogelijk om de ‘oude’ scores te behouden. Deze blijven dan wel staan op de score die je tot dan toe had, er komt niets meer bij. Het kan een idee zijn deze methode toe te passen totdat het aantal shares via de nieuwe HTTPS-url weer wat zijn aangegroeid en je weer wat ‘social proof’ hebt verzameld.


Over de auteur

Nick Nijhuis vergroot als marketingcoach de opbrengsten uit online marketing. Daarnaast is hij hogeschooldocent en projectleider op het gebied van digital marketing.