HTTPS voor jouw website is onvermijdelijk. Dit is waarom.

In 2014 kondigde Google al aan HTTPS als SEO-factor mee te wegen. Toen al was mijn advies om niet enkel voor het SEO-effect een SSL-certificaat aan te schaffen voor jouw website. Nu kun je er echter helemaal niet meer onderuit, jouw website moet nu toch echt volledig op HTTPS draaien.

Dit artikel werd oorspronkelijk gepubliceerd op 6 juli 2017 en is op 11 februari 2018 geüpdatet en opnieuw gepubliceerd.

Wat is HTTPS?

Allereerst kort wat https precies betekent. HTTPS  staat voor HyperText Transfer Protocol Secure en is het internetprotocol waarbij gegevens versleuteld worden verzonden. Dit betekent dat kwaadwillenden de data die bezoekers naar jou verzenden -en andersom- niet zomaar kunnen achterhalen.

Eerste waarschuwingen bij niet-veilige websites

Google Chrome kondigde in april 2017 om per oktober 2017 de bezoekers van jouw website te waarschuwen wanneer je geen HTTPS hebt. Allereerst beginnen ze op de pagina’s waar gevoelige informatie wordt gedeeld, zoals klantgegevens op de betaalpagina van een webshop. Uiteindelijk zal Chrome bij iedere website waarschuwen wanneer er geen sprake is van een versleutelde verbinding.

Uitrol waarschuwingen niet-veilige websites in Google Chrome 62

Google gaf voorzichtige waarschuwingen wanneer een website geen beveiligde verbinding had. Die waarschuwing was echter niet zo opvallend, je zag enkel een cirkel met een ‘i’ erin voor de URL:

Waarschuwing niet beveiligde website

Vanaf Google Chrome 62 wordt er duidelijker gewaarschuwd voor websites die nog via een HTTP-verbinding lopen. In incognitomodus zelfs nog iets eerder dan in de standaardmodus van Chrome. Zoals je hieronder ziet, wordt er expliciet ‘Not secure’ vermeld in de adresbalk.

Hoe Chrome 62 waarschuwt voor websites zonder https

Weergave van waarschuwingen in Chrome 62 bij websites op http.

Eerst pagina’s waarover data gaan

Deze waarschuwingen zie je nu op pagina’s waarop bezoekers gegevens kunnen achterlaten. Het gaat bijvoorbeeld om contactformulieren en winkelwagentjes in webshops. Je hebt daar per slot van rekening privégegevens van je bezoeker nodig. Zodra iemand begint met invullen van een formulier, verschijnt de melding ‘Niet veilig’ (of in het Engels ‘Not secure’, zoals hierboven).

Gebruik je pop-ups?

Wanneer je een pop-up gebruikt voor jouw opt-in aanbod, of een andere manier hebt waarmee mensen zich kunnen inschrijven op jouw mailings, heb je hier ook mee te maken. Je vraagt ook daar weer persoonlijke gegevens van mensen. Die gaan anders ook vrolijk onversleuteld over het internet, waardoor kwaadwillenden die gegevens gewoon kunnen kapen. Ook daarom HTTPS dus.

Vanaf juli 2018: standaard ‘Niet veilig’

In juli 2018, met de uitrol van Chrome 68, krijgt iedere website die nog op HTTP draait standaard de melding ‘Niet veilig’ in de adresbalk voor de URL:

Not secure bij websites zonder HTTPS in Google Chrome

In februari 2018 kwam de aankondiging dat Chrome non-HTTPS websites standaard als onveilig gaat markeren.

Ook Mozilla gaf al aan in Firefox meer te gaan sturen op HTTPS door waarschuwingen te geven.

Wat betekent dit voor jouw website?

Dit betekent voor jouw website dat jouw bezoekers afgeschrikt zullen worden door een waarschuwing wanneer ze jouw website bezoeken. En zo’n waarschuwing zorgt voor vroegtijdige verlating van jouw website. Of negeer jij vaak waarschuwingen?

En dus ben je verplicht om HTTPS te gebruiken?

Je bent niet letterlijk verplicht om HTTPS te gebruiken. Als je de privacy van jouw bezoekers serieus neemt, heb je dat echter allang gedaan. Vanaf 25 mei 2018 is er alleen wel een belangrijke extra reden om over te gaan op HTTPS: de AVG/GDPR.

AVG/GDPR en HTTPS

De AVG/GDPR bepaalt niet letterlijk dat je HTTPs moet gebruiken, maar verlangt wel verantwoordelijkheid over de privacy van de privégegevens die jij beheert. En dat je melding maakt van een eventueel datalek. Met de versleutelde verbinding neem je die verantwoordelijkheid. Je zorgt er zo voor dat de gegevens die iemand via jouw website verstuurt niet zomaar onderschept kunnen worden. In die zin voldoe je met je SSL-certificaat eerder aan AVG/GDPR dan met een standaard HTTP-verbinding.

Maar dat kost geld!

HTTPS hoeft je tegenwoordig niks te kosten. Er zijn gratis certificaten van Let’s Encrypt. En er zijn betaalde certificaten vanaf ongeveer €10. Dat is de veiligheid van jouw gegevens en die van jouw bezoekers toch wel waard?

Goede installatie kost je wel wat

Als jouw website nu nog geen SSL-certificaat heeft en je bent niet heel handig met websitetechniek, is het wel aan te raden om de installatie uit te besteden. Dat kost je wat, maar je voorkomt wel dat je bezoekers alsnog een melding krijgen. Want een niet juist geïnstalleerd SSL-certificaat levert toch weer een waarschuwing op.

SSL geïnstalleerd, maar toch een waarschuwing

Je zal niet de eerste zijn die het overkomt: je SSL-certificaat is geïnstalleerd en toch geeft de browser een waarschuwing. Dat gebeurt over het algemeen wanneer er sprake is van ‘mixed content’. Je website is dan wel overgezet naar HTTPS, maar er staan bijvoorbeeld nog interne links naar de oude URL met HTTP. Of je afbeeldingen zijn niet allemaal overgezet naar HTTPS. Daarom is uitbesteden van de installatie van het SSL-certificaat een aanrader.

Of je http “bestaat” nog

Een andere mogelijkheid is dat je het verkeer naar HTTPS niet afdwingt. Dan is de HTTP-variant van je domein ook nog gewoon bereikbaar en krijgt men daar alsnog een waarschuwing. Zorg er dus voor dat iedere opdracht in de adresbalk van een browser consequent naar je HTTPS-variant leidt. (met dank aan Mario Guagliardo van SitiWeb voor de aanvulling)

Effect op SEO

Al sinds Google in 2014 aankondigde HTTPS als rankingsignaal mee te wegen, is er reuring over het effect van HTTPS op SEO. Het effect blijkt erg klein te zijn. Je doet het ook niet voor je SEO. Sterker nog: wanneer straks meer dan 90% van de websites op HTTPS draait, is een eventueel SEO-voordeel verdwenen.

Je kunt niet meer onder HTTPS uit

Google wil naar “all HTTPS”, dat moge duidelijk zijn. En Google is daar niet alleen in. Ook Mozilla geeft in Firefox 51 een waarschuwing bij websites zonder https. En laten we eerlijk zijn: jij wilt toch ook gewoon dat jouw gegevens veilig zijn op de websites die je bezoekt?

Nieuwe website of website vernieuwen?

Wanneer je een nieuwe website laat maken of je website laat vernieuwen, mag het niet meer zo zijn dat je webbouwer nog een HTTP-website oplevert. Een webbouwer die je nu nog een website opevert zonder HTTPS doet wat mij betreft zijn werk niet goed. Het is overduidelijk dat alle websites uiteindelijk op HTTPS over moeten, dus waarom zou je dat nu bij een nieuwe website of het vernieuwen van een website nog nalaten?

Ben je al over op HTTPS, en sinds wanneer? Of ben je nu van plan om over te gaan? Laat het weten in een reactie hieronder.

4 antwoorden
  1. Jan
    Jan zegt:

    Het ligt er aan wat voor website je hebt en het SEO effect is te verwaarlozen.

    Google says this gives websites a small ranking benefit, only counting as a “very lightweight signal” within the overall ranking algorithm. In fact, Google said this carries “less weight than other signals such as high-quality content.” Based on their tests, Google says it has an impact on “fewer than 1% of global queries” but said they “may decide to strengthen” the signal because they want to “encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.”

    If you run a small brochure site, or do not require any personal information to access certain areas of your website then you are in no major rush to upgrade to an ssl certificate.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Klopt helemaal Jan, dank voor de uitgebreide aanvulling. De SEO-factor is niet het hoofddoel van het artikel, maar ik had even kunnen toelichten dat het werkelijk te verwaarlozen is.

      Beantwoorden
  2. Michiel
    Michiel zegt:

    Ik ben een tijdje geleden al overgaan, het had wel wat voeten in de aarde, maar het is het zeker wel waard. De waarschuwingen in browsers gaan prominenter worden en als je nog op HTTP draait, zal dat bezoekers afschrikken.

    Wat ik wel opvallend vind, is dat veel grote websites nog steeds op HTTP zitten. Bijvoorbeeld de website van het AD en nu.nl. Het zal wel een hele operatie zijn om zulke grote websites over te zetten, maar je zou met deze ontwikkelingen toch mogen verwachten dat ze allang waren overgestapt.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Het is inderdaad wel een flinke klus. Ik kies ervoor om dat soort dingen uit te besteden trouwens. Kan ik een ander de schuld geven als het misgaat 😀

      Ja, er zijn nog veel grote sites die nog op HTTP draaien. Sowieso nog te veel sites die niet over zijn op HTTPS. Als 70% van de websites van ondernemingen op een netwerkbijeenkomst nog niet over is… En er zijn zelfs webbouwers die het nog niet standaard regelen bij nieuwe websites. Ik vind dat je dat nu verplicht bent. Niet eens de keuze aan de klant laten, gewoon doen, kost vrijwel niks extra. Want je maakt toch ook geen website meer die niet mobielvriendelijk is?

      Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

You have to agree to the comment policy.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.