Https voor jouw website is onvermijdelijk. Dit is waarom.

In 2014 kondigde Google al aan HTTPS als SEO-factor mee te wegen. Toen al was mijn advies om niet enkel voor het SEO-effect een SSL-certificaat aan te schaffen voor jouw website. Nu kun je er echter helemaal niet meer onderuit, jouw website moet in 2017 toch echt volledig op https draaien.

Wat is https?

Allereerst kort wat https precies betekent. HTTPS  staat voor HyperText Transfer Protocol Secure en is het internetprotocol waarbij gegevens versleuteld worden verzonden. Dit betekent dat kwaadwillenden de data die bezoekers naar jou verzenden -en andersom- niet zomaar kunnen achterhalen.

Wat is er aan de hand?

Google Chrome heeft aangekondigd om per oktober 2017 de bezoekers van jouw website te waarschuwen wanneer je geenHTTPS hebt. Allereerst beginnen ze op de pagina’s waar gevoelige informatie wordt gedeeld, zoals klantgegevens op de betaalpagina van een webshop. Uiteindelijk zal Chrome bij iedere website waarschuwen wanneer er geen sprake is van een versleutelde verbinding.

Uitrol waarschuwingen niet-veilige websites in Google Chrome 62

Google geeft nu al waarschuwingen wanneer een website geen beveiligde verbinding heeft. Die waarschuwing is echter niet zo opvallend, je ziet enkel een cirkel met een ‘i’ erin voor de URL:

Waarschuwing niet beveiligde website

Vanaf Google Chrome 62 wordt er duidelijker gewaarschuwd voor websites die nog via een HTTP-verbinding lopen. In incognitomodus zelfs nog iets eerder dan in de standaardmodus van Chrome. Zoals je hieronder ziet, wordt er expliciet ‘Not secure’ vermeld in de adresbalk.

Hoe Chrome 62 waarschuwt voor websites zonder https

Weergave van waarschuwingen in Chrome 62 bij websites op http.

Eerst pagina’s waarover data gaan

Chrome begint de uitrol van deze waarschuwingen met pagina’s waarop bezoekers gegevens kunnen achterlaten. Het gaat bijvoorbeeld om contactformulieren en winkelwagentjes in webshops. Je hebt daar per slot van rekening privégegevens van je bezoeker nodig. In een later stadium echter, zullen alle pagina’s die nog op HTTP draaien deze waarschuwing krijgen.

Gebruik je pop-ups?

Wanneer je een pop-up gebruikt voor jouw opt-in aanbod, of een andere manier hebt waarmee mensen zich kunnen inschrijven op jouw mailings, heb je hier ook mee te maken. Je vraagt per slot van rekening persoonlijke gegevens van mensen. Dit gaan anders ook vrolijk onversleuteld over het internet, waardoor kwaadwillenden die gegevens gewoon kunnen kapen. Ook daarom HTTPS dus.

Wat betekent dit voor jouw website?

Dit betekent voor jouw website dat jouw bezoekers binnen niet al te afzienbare tijd afgeschrikt zullen worden door een waarschuwing wanneer ze jouw website bezoeken. En zo’n waarschuwing zorgt voor vroegtijdige verlating van jouw website. Of negeer jij vaak waarschuwingen?

En dus ben je verplicht om HTTPS te gebruiken?

Je bent niet echt verplicht om HTTPS te gebruiken. Als je de privacy van jouw bezoekers serieus neemt, heb je dat echter allang gedaan. Want je doet het niet voor dat (minieme) SEO-effect of vanwege die waarschuwing. Je doet het om misbruik door kwaadwillenden te voorkomen.

Maar dat kost geld!

HTTPS hoeft je tegenwoordig niks te kosten. Er zijn gratis certificaten van Let’s Encrypt. En er zijn betaalde certificaten vanaf ongeveer €10. Dat is de veiligheid van jouw gegevens en die van jouw bezoekers toch wel waard?

Goede installatie kost je wel wat

Als jouw website nu nog geen SSL-certificaat heeft en je bent niet heel handig met websitetechniek, is het wel aan te raden om de installatie uit te besteden. Dat kost je wel wat, maar je voorkomt wel dat je bezoekers alsnog een melding krijgen. Want een niet juist geïnstalleerd SSL-certificaat levert toch weer een waarschuwing op.

SSL geïnstalleerd, maar toch een waarschuwing

Je zal niet de eerste zijn die het overkomt: je SSL-certificaat is geïnstalleerd en toch geeft de browser een waarschuwing. Dat gebeurt over het algemeen wanneer er sprake is van ‘mixed content’. Je website is dan wel overgezet naar HTTPS, maar er staan nog interne links naar de oude URL met HTTP. Of je afbeeldingen zijn niet allemaal overgezet naar https. Daarom is uitbesteden van de installatie van het SSL-certificaat een aanrader.

Of je http “bestaat” nog

Een andere mogelijkheid is dat je het verkeer naar HTTPS niet afdwingt. Dan is de HTTP-variant van je domein ook nog gewoon bereikbaar en krijgt men daar alsnog een waarschuwing. Zorg er dus voor dat iedere opdracht in de adresbalk van een browser consequent naar je HTTPS-variant leidt. (met dank aan Mario Guagliardo van SitiWeb voor de aanvulling)

Effect op SEO

Al sinds Google in 2014 aankondigde HTTPS als rankingsignaal mee te wegen, is er reuring over het effect van HTTPS op SEO. Het effect blijkt erg klein te zijn. Je doet het ook niet voor je SEO. Sterker nog: wanneer straks meer dan 90% van de websites op HTTPS draait, is een eventueel SEO-voordeel verdwenen.

Je kunt niet meer onder HTTPS uit

Google wil naar “all HTTPS”, dat moge duidelijk zijn. En Google is daar niet alleen in. Ook Mozilla geeft in Firefox 51 een waarschuwing bij websites zonder https. En laten we eerlijk zijn: jij wilt toch ook gewoon dat jouw gegevens veilig zijn op de websites die je bezoekt?

Nieuwe website of website vernieuwen?

Wanneer je een nieuwe website laat maken of je website laat vernieuwen, mag het niet meer zo zijn dat je webbouwer nog een HTTP-website oplevert. Een webbouwer die je nu nog een website opevert zonder HTTPS doet zijn werk niet goed. Het is overduidelijk dat alle websites uiteindelijk op HTTPS over moeten, dus waarom zou je dat nu bij een nieuwe website of het vernieuwen van een website nog nalaten?

Ben je al over op HTTPS, en sinds wanneer? Of ben je nu van plan om over te gaan? Laat het weten in een reactie hieronder.

4 antwoorden
  1. Jan
    Jan zegt:

    Het ligt er aan wat voor website je hebt en het SEO effect is te verwaarlozen.

    Google says this gives websites a small ranking benefit, only counting as a “very lightweight signal” within the overall ranking algorithm. In fact, Google said this carries “less weight than other signals such as high-quality content.” Based on their tests, Google says it has an impact on “fewer than 1% of global queries” but said they “may decide to strengthen” the signal because they want to “encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.”

    If you run a small brochure site, or do not require any personal information to access certain areas of your website then you are in no major rush to upgrade to an ssl certificate.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Klopt helemaal Jan, dank voor de uitgebreide aanvulling. De SEO-factor is niet het hoofddoel van het artikel, maar ik had even kunnen toelichten dat het werkelijk te verwaarlozen is.

      Beantwoorden
  2. Michiel
    Michiel zegt:

    Ik ben een tijdje geleden al overgaan, het had wel wat voeten in de aarde, maar het is het zeker wel waard. De waarschuwingen in browsers gaan prominenter worden en als je nog op HTTP draait, zal dat bezoekers afschrikken.

    Wat ik wel opvallend vind, is dat veel grote websites nog steeds op HTTP zitten. Bijvoorbeeld de website van het AD en nu.nl. Het zal wel een hele operatie zijn om zulke grote websites over te zetten, maar je zou met deze ontwikkelingen toch mogen verwachten dat ze allang waren overgestapt.

    Beantwoorden
    • Nathan Veenstra
      Nathan Veenstra zegt:

      Het is inderdaad wel een flinke klus. Ik kies ervoor om dat soort dingen uit te besteden trouwens. Kan ik een ander de schuld geven als het misgaat 😀

      Ja, er zijn nog veel grote sites die nog op HTTP draaien. Sowieso nog te veel sites die niet over zijn op HTTPS. Als 70% van de websites van ondernemingen op een netwerkbijeenkomst nog niet over is… En er zijn zelfs webbouwers die het nog niet standaard regelen bij nieuwe websites. Ik vind dat je dat nu verplicht bent. Niet eens de keuze aan de klant laten, gewoon doen, kost vrijwel niks extra. Want je maakt toch ook geen website meer die niet mobielvriendelijk is?

      Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

You have to agree to the comment policy.