HTTPS voor jouw website is onvermijdelijk. Dit is waarom.

In 2014 kondigde Google al aan HTTPS als SEO-factor mee te gaan wegen. In een blog dat ik daar toen over schreef was mijn advies om niet enkel voor het SEO-effect een SSL-certificaat aan te schaffen voor jouw website. Je kunt er nu alleen niet meer onderuit, jouw website moet nu toch echt volledig op HTTPS draaien. Ik leg je uit waarom.

Dit artikel werd oorspronkelijk gepubliceerd op 6 juli 2017 en is op 30 mei 2019 geüpdatet en aangevuld.
Daarnaast is het samengevoegd met andere artikelen die ik schreef over HTTPS.

Wat is HTTPS?

Allereerst kort wat https precies betekent. HTTPS  staat voor HyperText Transfer Protocol Secure en is het internetprotocol waarbij gegevens versleuteld worden verzonden. Dit betekent dat kwaadwillenden de data die bezoekers naar jou verzenden -en andersom- niet zomaar kunnen achterhalen.

HTTP versus HTTPS

Websites verstuurden altijd de data via HTTP: HyperText Transfer Protocol. Lange tijd was dit voldoende, maar in een wereld waarin internet steeds belangrijker wordt, groeien ook de risico’s van misbruik. HTTP voldoet gewoon niet meer als het gaat om de beveiliging van persoonlijke gegevens. Dus is er een internetprotocol veiliger gemaakt: HTTPS.

SSL-verbinding: eigenlijk TLS

We spreken bij HTTPS vaak over SSL. Je hebt een SSL-verbinding of een SSL-certificaat. Maar eigenlijk is SSL oud en wordt dit niet meer gebruikt. Als het goed is, krijg je nu standaard TLS. De term ‘SSL-certificaat’ is alleen zo blijven hangen, dat velen die nog steeds gebruiken.

HTTPS en SEO: hoe zit het nu precies?

Zoals je al las, gaf Google in hun bericht uit 2014 aan HTTPS als ranking factor te gaan gebruiken (hadden ze dan ineens meer dan 200 rankingfactoren? ;-) ) Wat mij betreft kun je het effect voor je SEO flink nuanceren. Ten eerste gaf Google destijds zelf al aan dat het op dat moment een erg kleine factor was:

Google over HTTPS als ranking factor: minder dan 1 procent invloed.

Nadat HTTPS als rankingfactor was uitgerold, merkten vele SEO’ers maar erg weinig invloed. Te verwaarlozen zelfs.

En als iedereen het heeft…

Daar komt nog eens bij dat een eventueel positief SEO-effect natuurlijk volledig wegvalt wanneer iedereen een HTTPS-verbinding heeft. Daar moet je het dus niet voor doen. Maar waarvoor doe je het dan wel?

Voor je bezoeker. Geef je websitebezoeker het gevoel dat je deze serieus neemt en zijn/haar privacy respecteert. Mede daarom geeft Google ook waarschuwingen bij onbeveiligde verbindingen in hun webbrowser Chrome.

De eerste waarschuwingen bij niet-veilige websites

Google Chrome kondigde in april 2017 om per oktober 2017 de bezoekers van jouw website te waarschuwen wanneer je geen HTTPS hebt. Allereerst beginnen ze met de pagina’s waarop gevoelige informatie wordt gedeeld, zoals klantgegevens op de betaalpagina van een webshop. Sinds Chrome 62 krijgen websites met een beveiligde verbinding gewoon een slotje in de adresbalk, terwijl websites zonder SSL-certificaat met rode letters de melding ‘Niet beveiligd’ meekrijgen.

Melding 'Niet beveiligd' in rode letters in de adresbalk van Google Chrome.

Gefaseerde uitrol waarschuwingen niet-veilige websites

Google gaf tot Chrome 62 voorzichtige waarschuwingen wanneer een website geen beveiligde verbinding had. Die waarschuwing was niet zo opvallend, je zag alleen een cirkel met een ‘i’ erin voor de URL:

Waarschuwing niet beveiligde website met een i in een cirkel voor de URL.

Vanaf Google Chrome 62 kreeg je steeds duidelijkere waarschuwingen bij websites die nog via een HTTP-verbinding liepen. In incognitomodus zelfs nog iets eerder dan in de standaardmodus van Chrome. Zoals je hieronder ziet, wordt er expliciet ‘Not secure’ vermeld in de adresbalk.

Hoe Chrome 62 waarschuwt voor websites zonder https.

Weergave van waarschuwingen in Chrome 62 bij websites op http.

Eerst alleen pagina’s waarover data gaan

Deze waarschuwingen gaf Google Chrome eerst op pagina’s waarop bezoekers gegevens kunnen achterlaten. Denk hierbij aan  contactformulieren en winkelwagentjes in webshops. Je geeft daar per slot van rekening je privégegevens door. Zodra iemand begon met invullen van een formulier, verscheen de melding ‘Niet veilig’ (of in het Engels ‘Not secure’, zoals hierboven).

Vanaf juli 2018: standaard ‘Niet veilig’

Sinds juli 2018, met de uitrol van Chrome 68, krijgt iedere website die nog op HTTP draait standaard de melding ‘Niet beveiligd’ in de adresbalk voor de URL:

Not secure bij websites zonder HTTPS in Google Chrome

In februari 2018 kwam de aankondiging dat Chrome non-HTTPS websites standaard als onveilig gaat markeren. Ook Mozilla gaf al aan in Firefox meer te gaan sturen op HTTPS door waarschuwingen te geven.

Al met al ligt de focus steeds meer op waarschuwen voor websites zonder beveiligde verbinding. Of je nu wilt of niet, dat SSL-certificaat wordt eigenlijk wel zo’n beetje afgedwongen.

Of je hele website wordt als onveilig bestempeld

Het gaat zelfs verder. In sommige gevallen wordt jouw website zelfs geblokkeerd voor weergave, waardoor bezoek aan jouw website zelfs uiterst moeilijk wordt gemaakt.

Beeldschermvullende melding met "Je verbinding is niet privé" in Google Chrome.

In Google Chrome krijg je deze waarschuwing te zien waardoor je een website niet makkelijk opent. In dit geval is de datum van het certificaat niet (meer) geldig.

Ook Mozilla Firefox kent zo’n enorme waarschuwing:

Beeldschermvullende waarschuwing van Mozilla Firefox bij niet-beveiligde verbinding.

Wat betekent deze melding voor jouw website?

Wanneer jij nog geen HTTPS hebt draaien, is er een grote kans dat jouw bezoekers afgeschrikt zullen worden door een waarschuwing wanneer ze jouw website bezoeken. En zo’n waarschuwing zorgt voor vroegtijdige verlating van jouw website. Of negeer jij vaak waarschuwingen?

En dus ben je verplicht om HTTPS te gebruiken?

Je bent niet letterlijk verplicht om HTTPS te gebruiken. Als je de privacy van jouw bezoekers serieus neemt, heb je dat echter allang gedaan. Sinds 25 mei 2018 is er alleen wel een belangrijke extra reden om over te gaan op HTTPS: de AVG/GDPR.

AVG/GDPR en HTTPS

De AVG/GDPR bepaalt niet letterlijk dat je HTTPS moet gebruiken, maar verlangt wel verantwoordelijkheid over de privacy van de privégegevens die jij beheert. En dat je melding maakt van een eventueel datalek. Met de versleutelde verbinding neem je die verantwoordelijkheid. Je zorgt er zo voor dat de gegevens die iemand via jouw website verstuurt niet zomaar onderschept kunnen worden. In die zin voldoe je met je SSL-certificaat eerder aan AVG/GDPR dan met een standaard HTTP-verbinding.

Nog iets: je WiFi-netwerk is niet veilig

Hoewel we altijd dachten dat ons eigen WiFi-netwerk veilig zou zijn, blijkt dat niet het geval. Er is een lek gevonden in WPA2, dat moet zorgen voor de beveiliging van je WiFi-verbinding. Een belangrijk advies dat hierbij gegeven wordt is om op te letten of je websites met een HTTPS-verbinding bezoekt:

Een belangrijke tip is om bij het surfen zo veel mogelijk van https gebruik te maken, de beveiligde verbinding die je herkent aan het slotje in de adresbalk. –RTL Nieuws

 

Meekijken kan niet als er gebruik wordt gemaakt van een beveiligde verbinding. … Een beveiligde verbinding is te herkennen aan het slotje in de browser. – NOS

 

Dit betekent dat ze afraden om niet-beveiligde websites te bezoeken. En dus dat mensen die geen slotje zien bij jouw website, afhaken. Reden dus om snel dat SSL-certificaat te implementeren op jouw website, voordat je bezoekers afhaken wanneer je dat niet hebt.

WiFi-beveiliging opgelost, dus geen probleem?

Dat WPA2-probleem kan dan inmiddels wel opgelost zijn, WiFi is nog altijd gevoeliger om af te tappen dan een vaste internetkabel. Ook daarom is het zaak alles via een beveiligde verbinding te laten lopen.

Maar dat kost geld!

HTTPS hoeft je tegenwoordig niks te kosten. Er zijn gratis certificaten van Let’s Encrypt. En er zijn betaalde certificaten vanaf ongeveer €10. Dat is de veiligheid van jouw gegevens en die van jouw bezoekers toch wel waard?

En weet je wat helemaal geld kost? Afhakers. Mogelijke klanten die jouw website niet bezoeken vanwege een waarschuwing, of direct je website verlaten nadat ze zien dat de verbinding niet beveiligd is. Er is een forse kans dat je die niet meer terugziet.

Goede installatie kost je wel wat

Als jouw website nu nog geen SSL-certificaat heeft en je bent niet heel handig met websitetechniek, is het wel aan te raden om de installatie uit te besteden. Dat kost je wat, maar je voorkomt wel dat je bezoekers alsnog een melding krijgen. Want een niet juist geïnstalleerd SSL-certificaat levert toch weer een waarschuwing op.

‘Niet beveiligd’ niet alleen bij HTTP

Je zal niet de eerste zijn die het overkomt: je SSL-certificaat is geïnstalleerd en toch geeft de browser een waarschuwing. Wanneer je een melding krijgt met ‘Niet beveiligd’, betekent dit niet per se dat de website nog op HTTP draait. Er zijn andere oorzaken mogelijk, zoals:

  • Niet goed geïnstalleerd TLS/SSL-certificaat
  • TLS-certificaat verlopen
  • Gemengde inhoud

In de eerste 2 gevallen is het zaak dat er (opnieuw) een geldig certificaat wordt geïnstalleerd. Bij gemengde inhoud (ook wel ‘mixed content’) is er sprake van mediabestanden en/of interne links die nog wel over HTTP gaan, terwijl de website zelf wel op HTTPS draait. Als je een WordPress website hebt, spoor je die fouten zelf makkelijk op. Ook om het probleem van mixed content te voorkomen is het slim om de installatie van je TLS-certificaat uit te besteden. Scheelt je een hoop kopzorgen.

Of je http “bestaat” nog

Een andere mogelijkheid is dat je het verkeer naar HTTPS niet afdwingt. Dan is de HTTP-variant van je domein ook nog gewoon bereikbaar en krijgt je websitebezoeker daar alsnog een waarschuwing. Zorg er dus voor dat iedere opdracht in de adresbalk van een browser consequent naar je HTTPS-variant leidt. (met dank aan Mario Guagliardo van SitiWeb voor de aanvulling)

Je kunt niet meer onder HTTPS uit

Google wil naar “all HTTPS”, dat moge duidelijk zijn. En Google is daar niet alleen in. Ook Mozilla geeft sinds Firefox 51 een waarschuwing bij websites zonder HTTPS. En laten we eerlijk zijn: jij wilt toch ook gewoon dat jouw persoonlijke gegevens veilig zijn op de websites die je bezoekt?

Nieuwe website of website vernieuwen?

Wanneer je een nieuwe website laat maken of je website laat vernieuwen, mag het echt niet meer zo zijn dat je webbouwer nog een HTTP-website oplevert. Een webbouwer die nu nog een website oplevert zonder HTTPS doet wat mij betreft zijn werk niet goed. Het is overduidelijk dat alle websites uiteindelijk op HTTPS over moeten, dus waarom zou je dat nu bij een nieuwe website of het vernieuwen van een website nog nalaten?

Als je nog niet over was op HTTPS, wordt het nu tijd

Eigenlijk vind ik het gek als je nu nog niet over bent op HTTPS. Ik heb al sinds de eerste aankondiging beredeneerd dat je uiteindelijk wel over moet. Wil je je websitebezoekers wegjagen, blijf dan lekker op HTTP. Neem je jouw websitebezoeker serieus, dan zorg je gewoon voor die beveiligde verbinding.

Wanneer ben jij overgegaan op HTTPS? Of ben je nog niet over? Deel jouw mening en ervaring of stel je vraag hieronder.

20 antwoorden
  1. Chris
    Chris zegt:

    De invloed van SSL op SEO is inderdaad nog klein, maar wel aanwezig. Heb het zelf onlangs getest en zag een klein (maar significant resultaat). Ben het met je eens dat de eerste reden voor SSL inderdaad veiligheid zou moeten zijn en niet SEO. Vooral voor als je website hoog wil ranken binnen zwaar beconcurreerde niches dan kan het net even dat verschil maken..

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Dank voor je reactie Chris.
      SSL kan inderdaad wel net het verschil maken (maar dat hoeft niet ;-) ). Het ligt natuurlijk helemaal aan het speelveld, ofwel hoe sterk de concurrentie is. Wanneer het nu effect heeft, is dat effect wel weer weg wanneer de concurrenten ook overschakelen op SSL…
      Dus: mooi meegenomen als het nu van invloed op je vindbaarheid is, maar de reden om een SSL-certificaat in te zetten moet dus de veiligheid zijn :-)

      Beantwoorden
  2. Judith Blanken
    Judith Blanken zegt:

    Wij willen onze site gaan ombouwen naar HTTPS- echter zijn er dus ook verschillende certificaten- is dit ook nog van belang voor Google? Welke cenrtificaat moet je minimaal hebben?

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Er is geen verschil in de versleuteling of beveiliging van de verbinding, welk TLS-certificaat je ook kiest. Op Marketingmed is dit heel helder uiteengezet. Het verschil zit ‘m kort gezegd in:

      – Enkel https:// voor je URL
      – Https:// voor je URL met de mogelijkheid voor je bezoekers om de bedrijfsnaam voor het certificaat te achterhalen via de adresbalk
      – Https:// voor je URL inclusief vermelding van de bedrijfsnaam in de adresbalk

      De laatste wekt overduidelijk het meeste vertrouwen, maar kost ook beduidend meer. Het eerste certificaat is dus in principe voldoende, zeker voor een kleine(re) organisatie.

      Kunnen jullie hiermee verder Judith?

      Beantwoorden
  3. Erik Hermeler
    Erik Hermeler zegt:

    Ik gebruik het alleen bij enkele sites waarbij al veel geoptimaliseerd is, het is in enkele gevallen nog net dat beetje extra wat het verschil maakt.Ik merk het positie in de posities bij die sites waar het doorgevoerd is.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Lijkt me redelijk ok zoals jij het nu aangeeft Erik. En het zal per zoekterm verschillen of het resultaat heeft en hoeveel. Afhankelijk van diverse factoren en de concurrentie.

      Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Goed gezien. Overweging is vooral omdat het de bezoekers een vertrouwd gevoel geeft. Daarnaast voorzie ik op basis van de berichtgeving (o.a. Firefox die ook meer gewicht gaat hangen aan https) dat https de toekomst zal zijn.

      Beantwoorden
  4. Kim Nelissen
    Kim Nelissen zegt:

    Ik ben op dit moment aan het dubben om zo’n certificaat aan te schaffen. De bouwer van mijn website gaf me die tip. Is het inderdaad de moeite waard om als tekstschrijver (zoals ik) puur voor de SEO voor https te gaan?

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Nee Kim, niet puur voor de SEO. Je doet het voor je bezoeker. Die krijgt het gevoel dat je hem/haar serieus neemt door de data over een versleutelde verbinding te laten lopen. Daarnaast zal Google Chrome uiteindelijk waarschuwingen gaan plaatsen bij websites die niet over https lopen en zullen bepaalde applicaties in Firefox niet draaien op sites zonder https. Al met al is https dus binnenkort geen uitzondering meer, maar standaard. En dan is een mogelijk SEO-voordeel verdwenen (omdat vrijwel iedereen dan https heeft).

      Beantwoorden
  5. Jan
    Jan zegt:

    Het ligt er aan wat voor website je hebt en het SEO effect is te verwaarlozen.

    Google says this gives websites a small ranking benefit, only counting as a “very lightweight signal” within the overall ranking algorithm. In fact, Google said this carries “less weight than other signals such as high-quality content.” Based on their tests, Google says it has an impact on “fewer than 1% of global queries” but said they “may decide to strengthen” the signal because they want to “encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.”

    If you run a small brochure site, or do not require any personal information to access certain areas of your website then you are in no major rush to upgrade to an ssl certificate.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Klopt helemaal Jan, dank voor de uitgebreide aanvulling. De SEO-factor is niet het hoofddoel van het artikel, maar ik had even kunnen toelichten dat het werkelijk te verwaarlozen is.

      Beantwoorden
  6. Michiel
    Michiel zegt:

    Ik ben een tijdje geleden al overgaan, het had wel wat voeten in de aarde, maar het is het zeker wel waard. De waarschuwingen in browsers gaan prominenter worden en als je nog op HTTP draait, zal dat bezoekers afschrikken.

    Wat ik wel opvallend vind, is dat veel grote websites nog steeds op HTTP zitten. Bijvoorbeeld de website van het AD en nu.nl. Het zal wel een hele operatie zijn om zulke grote websites over te zetten, maar je zou met deze ontwikkelingen toch mogen verwachten dat ze allang waren overgestapt.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Het is inderdaad wel een flinke klus. Ik kies ervoor om dat soort dingen uit te besteden trouwens. Kan ik een ander de schuld geven als het misgaat :D

      Ja, er zijn nog veel grote sites die nog op HTTP draaien. Sowieso nog te veel sites die niet over zijn op HTTPS. Als 70% van de websites van ondernemingen op een netwerkbijeenkomst nog niet over is… En er zijn zelfs webbouwers die het nog niet standaard regelen bij nieuwe websites. Ik vind dat je dat nu verplicht bent. Niet eens de keuze aan de klant laten, gewoon doen, kost vrijwel niks extra. Want je maakt toch ook geen website meer die niet mobielvriendelijk is?

      Beantwoorden
  7. Michiel
    Michiel zegt:

    Eigenlijk kan je er al een tijdje niet meer omheen om over te stappen. Tot mijn verbazing waren er nog veel grote sites die op http draaiden, zoals nu.nl. Maar ik check de site zojuist en zie dat ze inmiddels op https zitten :). Met zo’n grote site zal de overstap ook wel flink wat voeten in de aarde hebben gehad, dus ze zullen er wel een tijd mee bezig zijn geweest.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Klopt helemaal dat je er al een tijd niet meer omheen kan Michiel. Ook ik verbaas me over de hoeveelheid websites die nog op HTTP draaien, of ze nu groot zijn of niet. SEO als factor vind ik niet relevant, omdat het SEO-voordeel miniem is en helemaal wegvalt wanneer >90% van de websites op HTTPS draait. Dat het voor een grote website als nu.nl een complexe klus is, lijkt me duidelijk. Niettemin hebben ze al meer dan 2 jaar gehad om over te gaan op HTTPS.

      Wat mij eigenlijk nog het meest verbaast is dat er nieuwe websites worden opgeleverd zonder HTTPS. Als webbouwer zou je zelfs niet eens meer moeten vragen aan je klant of die HTTP of HTTPS wil, maar gewoon standaard met HTTPS moeten opleveren.

      Beantwoorden
      • Michiel
        Michiel zegt:

        Klopt, er worden nog zat websites opgeleverd zonder HTTPS!

        Dat is niet geheel de verantwoordelijkheid van de webbouwer: die zou er zeker op moeten wijzen, maar het is vooral aan de klant om dat te regelen in samenwerking met de webhost.

        Sommige webhosts (zoals Siteground) bieden al standaard gratis HTTPS aan via Let’s Encrypt, maar er zijn ook nog zat webhosts waar het lastiger te regelen is. Als klant moet je dan ook nog een keuze maken in certificaat etc. dus dat is iets wat de klant zelf moet regelen.

        Beantwoorden
  8. AnjaVG
    AnjaVG zegt:

    Sinds een paar weken ben ik over op https. Ik was er altijd bang voor want je moet met zoveel dingen rekening houden en aanpassen. Maar dat bleek niet waar te zijn. Als je website draait op WordPress heb je aan 1 plugin “Really Simple SSL” genoeg. De plugin maakt een aantal kleine aanpassingen én geeft je een duidelijke handleiding van enkele dingen die je moet controleren. Eitje!
    (Ik moest natuurlijk eerst mijn webhost een mailtje sturen dat ze mijn SSL-certificaat mochten activeren.)

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Helemaal top Anja. Ik heb het zelf gewoon helemaal aan de serverkant laten regelen door mijn webbouwer, maar die plugin schijnt inderdaad ook goed te werken. Ben wel benieuwd of je die plugin geactiveerd moet houden of uiteindelijk gewoon kunt verwijderen. Weet jij dat?

      Beantwoorden
      • AnjaVG
        AnjaVG zegt:

        Op dit moment zou ik zeggen actief houden omdat de plugin onder andere de redirect van http naar https regelt. Dankzij jouw andere https-artikel weet ik nu dat dat essentieel is om foutmeldingen/waarschuwingen te voorkomen.

        Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

You have to agree to the comment policy.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.