Het belang van HTTPS, SSL en het beveiligen van je dataverkeer

We hebben het al eerder gehad over de aankomende GDPR/AVG wet. Privacy is een hot issue en om je webbezoekers hier in tegemoet te komen is het verstandig om een SSL certificaat te installeren. Wat is een SSL certificaat en wat betekent HTTPS nou? Het onderstaande artikel geeft antwoord op al deze vragen. Wil je toch meer weten over dit onderwerp of heb je hulp nodig bij het installeren, updaten of aanpassen van je website? Neem dan contact met ons op.

We kopen artikelen op coolblue.nl, sturen e-mails naar onze klanten, vrienden en familie, chatten via WhatsApp, zoeken via Google en boeken onze vakanties online. Je persoonlijke gegevens gaan continu heen en weer tussen verschillende computers, en je wilt niet dat het mogelijk is dat iemand jouw gegevens of jouw zoekgeschiedenis onderschept, leest, of zelfs steelt en misbruikt.

Als bezoeker van een website wil je dat die website je gegevens veilig houdt. Dat is mogelijk wanneer die website is beveiligd met HTTPS.

Grote internetbedrijven als Google zien HTTPS als de techniek van de toekomst, en zij pushen het gebruik van deze techniek om het internetgebruik veiliger te maken.

Waarom zou je HTTPS gebruiken voor jouw website

Er zijn een aantal goede redenen om ook op jouw website HTTPS te gebruiken:

• Snelheid en HTTP/2
  De grote hostingbedrijven en content delivery networks (CDNs) zijn druk bezig met het implementeren van HTTP/2, de nieuwe versie van HTTP. De snelheid van HTTP/2 is veel groter dan dat van HTTP, maar vereist wel dat je site gebruikt maakt van dataverbindingen die zijn beveiligd met HTTPS.
• Veilig gevoel voor website bezoekers
  Wanneer de bezoeker aan jouw website in de adresbalk van zijn browser – naast het websiteadres – het bekende groene slotje ziet staan, weet hij dat jouw website veilig is om te gebruiken. Dat geeft de bezoeker een zeker en veilig gevoel, wat het verschil kan maken of die bezoeker wel of niet op jouw website blijft, en of hij wel of niet een aankoop doet of informatie aanvraagt.
• Integriteit van websiteverkeer
  HTTPS op je site zorgt ervoor dat alle verkeer tussen jouw site en andere computers veilig en ongewijzigd op de plaats van bestemming aankomt. Dit maakt het heel moeilijk voor hackers om dat verkeer te kapen en de gegevens te misbruiken of veranderen.
• Beveiliging van belangrijke gegevens
  Het belangrijkste voordeel van HTTPS is, dat het je website veiliger maakt voor je bezoekers. Voor de meeste pagina’s met alleen maar informatie is die veiligheid misschien niet zo’n groot probleem, maar op pagina’s waar je bezoekers jou gegevens sturen – zoals betalingsgegevens en andere persoonlijke gegevens – is het hebben van extra beveiliging heel belangrijk.
• Zoekmachineoptimalisatie
  Maakt jouw website gebruik van HTTPS, dan is dat voor de zoekmachines – lees: Google – een teken dat jij geeft om de veiligheid van de data van jouw bezoekers. Ze weten dat bezoekers aan jouw website deze veilig kunnen gebruiken. Google geeft je site hiervoor een klein duwtje in de zoekresultaten.

Wil je dat je site ook in de toekomst naar boven komt in de zoekresultaten van Google, zorg er dan voor dat je site HTTPS gebruikt.

Wat is HTTPS

HTTPS staat voor Hypertext Transfer Protocol Secure, en is een manier van communiceren – een protocol – tussen computers op het internet. Met het HTTPS internetcommunicatieprotocol wordt het dataverkeer tussen de computers van de bezoeker en de computer waar de website op staat – de server – beschermd.

HTTPS kwam in 2014 wereldwijd in het nieuws vanwege de Heartbleed bug. Dit computerprobleem maakte mogelijk dat hackers het verkeer dat werd verstuurd via SSL – het protocol waar HTTPS gebruik van maakt – konden bekijken en ontcijferen. Na de ontdekking van de bug werd dit datalek snel gedicht, maar het maakte wel duidelijk hoe belangrijk het was dat je gegevens die worden verstuurd over het internet eigenlijk altijd versleuteld moeten zijn.

Google vind het versleutelen van persoonlijke gegevens zo belangrijk dat hun browser, Google Chrome, sinds begin 2017 een waarschuwing laat zien naast het adres van de website wanneer de website potentieel gevoelige informatie niet beveiligd. Ook de zoekmachineoptimalisatie van je site krijgt een kleine “boost” wanneer deze HTTPS gebruikt.

Alle gegevens die via het HTTPS protocol worden verstuurd worden gecodeerd door een protocol met de afkorting TLS, maar dat beter bekend staat onder de oude afkorting SSL.

Wat is SSL

TLS (Transport Layer Security) is de opvolger van SSL (Secure Sockets Layer). TLS is een verbeterde versie van SSL, maar de afkorting SSL is gebleven in het taalgebruik. Heb ik het verder over SSL, dan praat ik dus eigenlijk over TLS.

SSL is een encryptie-protocol, en zorgt ervoor dat de gegevens die tussen computers heen en weer worden gestuurd zo worden versleuteld dat anderen ze niet kunnen lezen. Websites gebruiken SSL om de communicatie tussen de servers waar de websites op staan en de browser van de bezoeker te beschermen.

SSL beschermt het gegevensverkeer op drie manieren:

• SSL versleutelt of codeert de gegevens die tussen de computer en de server heen en weer worden gestuurd, zodat niemand kan meekijken of bijhouden wat je doet.
• SSL zorgt ervoor dat de gegevens die worden verstuurd dezelfde gegevens zijn die op de bestemming aankomen, zonder dat ze zijn veranderd of beschadigd.
• SSL laat de bezoeker zien dat hij inderdaad met de juiste website praat, en dat het verkeer niet tijdens het versturen door een andere site wordt overgenomen.

Om gebruik te kunnen maken van HTTPS moet je op de webserver waar je site op staat een SSL certificaat installeren.

Wat is een SSL certificaat

Een SSL certificaat is een klein bestand dat een coderingssleutel verbindt aan de gegevens van een organisatie. Installeer je een SSL certificaat op een webserver, dan maakt het certificaat het – meestal groene – slotje in de adresbalk zichtbaar, wordt het HTTPS protocol actief, en beveiligt het de verbinding tussen de webserver en de browser van de bezoeker.

Er zijn drie soorten SSL certificaten:

• SSL certificaten met domein validatie
  Een certificaat met domein validatie bevat geen bedrijfsgegevens. Er wordt bij het aanvragen alleen gecontroleerd of de aanvrager echt de eigenaar is van het domein waarvoor hij het certificaat aanvraagt.
  Dit is het goedkoopste certificaat, maar voldoet voor de meeste websites waarop hooguit een mailadres via een formulier worden verstuurd.

• SSL certificaten met organisatie validatie
  Een certificaat met organisatie validatie bevat wel bedrijfsgegevens.
  Bezoek je een website die is beveiligd met een certificaat met organisatie validatie, dan kun je via de bedrijfsgegevens van het certificaat controleren of je echt op de website van het juiste bedrijf bent. De bedrijfsgegevens staan wel in het certificaat, maar staan niet zichtbaar in de adresbalk zoals bij een certificaat met uitgebreide validatie.
  Een certificaat met organisatie validatie is perfect voor websites die persoonlijke gegevens verzamelen en voor kleinere online winkels.

• SSL certificaten met uitgebreide validatie
  Een certificaat met uitgebreide validatie – een EV of Extended Validation certificaat – voldoet aan zeer strenge vastgestelde richtlijnen.
  Je kunt zien dat een website een EV certificaat heeft, wanneer je in de adresbalk achter het groene slot de bedrijfsnaam en het vestigingsland van het bedrijf in groene tekst ziet staan.
  Een certificaat met uitgebreide validatie is vrij duur, en wordt door de grotere webwinkels gebruikt, en door de grote namen op het internet, zoals Twitter, om een extra groot gevoel van veiligheid aan de site mee te geven.

Hoe kom je aan een SSL certificaat

Er zijn meerdere manieren om aan een SSL certificaat te komen voor je website:

• Je kunt een SSL certificaat kopen via een Certificate Authority (CA) voor SSL certificaten. Er zijn diverse certificaatautoriteiten, waaronder Comodo en RapidSSL. Je moet dat certificaat dan wel zelf installeren op je webserver.
• Je kunt een SSL certificaat kopen via je webhost. De meeste hostingbedrijven geven je de mogelijkheid om via hen een SSL certificaat van bijvoorbeeld Comodo aan te schaffen en eventueel voor je te installeren.
• Daarnaast bieden steeds meer webhosts het gebruik van de gratis SSL certificaten met domein validatie van Let’s Encrypt. Voor een website zonder webwinkel is dit voldoende.
  Een SSL certificaat van Let’s Encrypt is drie maanden geldig, maar biedt je hostingbedrijf let’s Encrypt aan, dan zorgen ze meestal ook voor het automatisch verlengen van je certificaat.
• Als laatste kun je gebruik maken van Flexible SSL van Cloudflare. Deze optie versleutelt het verkeer tussen jouw bezoeker en Cloudflare, maar niet tussen Cloudflare en jouw site.
  Cloudflare geeft een gedeeltelijke beveiliging, en is eigenlijk alleen een optie wanneer je een certificaat niet kunt installeren op jouw host, of wanneer je de aanschaf van een eigen certificaat te duur vindt.

Elk hostingbedrijf heeft een eigen procedure voor het installeren van SSL certificaten. Kijk daarom in de documentatie of op de site van de host, of neem contact op met het hostingbedrijf.

Het SSL certificaat is geïnstalleerd. Wat nu?

Zodra het SSL certificaat is geïnstalleerd en getest, moet je ervoor zorgen dat de oude HTTP versie van de site verwijst naar de nieuwe HTTPS versie.

Wat moet er allemaal aangepast worden:

• Zet alle eigen “harde” http URLs op je site om naar https URLs
  Een harde link is een link die in zijn geheel, inclusief domeinnaam, in de website staat. Gebruik je relatieve links – links waarin de domeinnaam niet is opgenomen – dan hoef je die niet aan te passen.WordPress gebruikt alleen harde links in haar database, en die moeten allemaal worden aangepast. Gelukkig heeft het bedrijf Interconnect IT hier een goed en gratis tool voor gemaakt, genaamd Search Replace DB, die dat voor je in orde brengt. Dit programma past alle links in je database aan.Dit is een erg ingrijpende procedure die je het best aan je designer overlaat.
• Vervang alle http URLs naar jouw site door https URLs in – zelfgeschreven – Javascript bestanden en AJAX bibliotheken die je gebruikt (optioneel)
• Verwijs alle http URLs van je oude site naar de nieuwe https URLs

De meeste problemen bij het omzetten van HTTP naar HTTPS worden veroorzaakt door het niet goed opzetten van deze verwijzingen.

De meest eenvoudige manier om alle http URLs rechtstreeks door te verwijzen naar hun https tegenhangers is door de volgende code toe te voegen aan je .htaccess bestand:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTPHOST}%{REQUESTURI} [R=301,L]

Doe dit alleen wanneer je weet wat je doet. Laat het anders aan je designer over.

Deze code verwijst je oude URLs naar je nieuwe URLs met een 301 redirect, wat de browser en de zoekmachines vertelt dat de oude versie van de link permanent is verhuisd naar de nieuwe versie van de link.

• Vervang alle http URLS in je robots.txt bestand
• Pas alle CDN instellingen aan naar de nieuwe situatie (optioneel)

Zijn alle redirects goed opgezet, dan zijn de pagina’s en de afbeeldingen op je site alleen maar beschikbaar in de HTTPS versie, en niet meer in de HTTP versie.

Verder wil je dat Google weet dat je site nu HTTPS gebruikt. Doe hiervoor het volgende:

• Google Search Console
  • maak een nieuwe property aan voor je HTTPS site.
  • ga naar Sitemaps en voeg je nieuwe sitemap toe aan je property.
  • selecteer Fetch as Google, fetch je site en klik op request indexing. Dit zorgt ervoor dat het indexeren van je site wat sneller gebeurt.
• Google Analytics
  • verander de link naar je site in je Analytics account naar https.

Hoe ziet je site eruit met HTTPS

In de verschillende browsers wordt het hebben van een SSL certificaat anders weergegeven, en dat wil ook nog weleens veranderen.
Meestal zie je in de adresbalk, nog voor de domeinnaam, een groen slotje staan, als teken dat de verbinding met de site versleuteld is. Voor de domeinnaam zie je meestal https:// staan, een tweede teken dat de website een beveiligde verbinding heeft.

De adresbalk ziet er voor onze eigen site, met domein validatie certificaat, in een aantal populaire webbrowsers als volgt uit:

Voor Bol.com, een e-commerce site met een SSL certificaat met uitgebreide validatie, ziet de adresbalk er zo uit:

Hoe bekijk je de informatie van een SSL certificaat in je browser

Wanneer je als bezoeker op het slotje klikt, kun je de belangrijkste gegevens van het certificaat bekijken. Dat geeft de bezoeker extra zekerheid over de veiligheid van jouw website.

Het bekijken van de certificaatdetails gaat in de meeste browsers vrij eenvoudig:

[ninja_tables id=”6510″]

Je zou verwachten dat juist bij Chrome – de browser van Google – de informatie het meest eenvoudig is op te roepen, juist omdat Google het gebruik van HTTPS zo aanjaagt. Maar nee:

Google Chrome

• Druk op F12 of Control-Shift-i om de Developer Tools Inspector te openen
• Ga in de menubalk van de Inspector naar Security tab (zie je deze niet, klik dan op >> en selecteer Security)
• Klik op de knop View certificate

HTTPS gaat niet weg

De grote bedrijven in de internet industrie drukken het beveiligen van al het dataverkeer erdoor. Alle nieuwe protocollen als HTTP/2, AMP, en QUIC vereisen beveiligde verbindingen.

HTTPS gaat niet weg, en het is tijd dat je ook jouw site beveiligt met HTTPS!