Wat je moet weten over HTTPS en SSL

HTTPS slotjes in de adresbalk

HTTPS en SSL zijn de laatste maanden een hot topic, maar wat houden deze vaktermen nou eigenlijk in? Dit artikel geeft je wat meer grip op het geheel.

HTTPS: wat en waarom?

Data die over en weer op het web wordt gestuurd is normaliter voor iedereen beschikbaar en daardoor gemakkelijk te onderscheppen. Een HTTPS verbinding versleutelt de data via een SSL certificaat zodat het niet meer onderschept kan worden. Een website met een SSL certificaat geeft bezoekers vertrouwen. Het groene slotje in de adresbalk geeft aan dat het veilig is om gegevens achter te laten op de site. Vanuit de browser is er langzaam een push naar een veilig web, Google Chrome loopt hierin voorop. Waar Chrome nu websites met een beveiligde verbinding beloont (groen slotje en het woord ‘Veilig’) gaat het straks websites straffen die nog via een onbeveiligde verbinding werken (rode driehoek en de tekst ‘Niet veilig’).

Illustratie van de toekomstige melding in de adresbalk voor http pagina's
De uiteindelijk behandeling van Chrome voor http pagina's kan heel wat bezoekers afschrikken

Daarbij is HTTPS nu al een ranking factor in de SEO van je website en gaat dit in de toekomst zwaarder wegen.

Wat is een SSL certificaat?

SSL staat voor Secure Sockets Layers. Door middel van SSL wordt er een beveiligde laag gecreëerd tussen een server en de internetbrowser. Een SSL certificaat versleutelt de gegevens op een website en verhoogt daarmee de veiligheid. De beveiligde verbinding zorgt ervoor dat het voor cybercriminelen onmogelijk is om data te onderscheppen, omdat de data versleuteld is. Daarnaast kan het zekerheid bieden over de identiteit van een website. De organisatie die de digitale certificaten verleent aan andere partijen wordt een Certificaat autoriteit(CA) genoemd.

Wettelijke verplichting voor webshops

Webshops zijn zelfs wettelijk verplicht om te werken met een beveiligde verbinding, vanwege de wet bescherming persoonsgegevens. Deze wet dicteert dat er passende technische en organisatorische maatregelen moeten worden getroffen om persoonsgegevens te beveiligen. Voor verdere opheldering heeft het CPB een handleiding gepubliceerd waarin specifieke maatregelen worden toegelicht. Een daarvan is de verplichting om het gegevenstransport te beveiligen door middel van het SSL-protocol.

Herken een website met beveiligde verbinding

Hoe je een website met een beveiligde verbinding kan herkennen is afhankelijk van de browser die je gebruikt. Het merendeel van de browsers zet een (groen) slotje en ‘https://’ voor de url. Chrome gaat daarbij nog een stapje verder met de toevoeging van het woord ‘Veilig’ voor de url en de groene ‘https://’ tekst.

Type SSL certificaten

Er zijn drie verschillende SSL certificaten: domein SSL, organisatie SSL en uitgebreide SSL.

1. Domein validatie

Een domein gevalideerd SSL certificaat wordt alleen gevalideerd op basis van de domeinnaam. Er wordt dan gekeken of het domein in beheer is van de correcte persoon. Deze validatie kan meestal binnen enkele minuten worden gedaan.

2. Organisatie validatie

Dit type certificaat wordt gevalideerd aan de hand van de domeinnaam en het bedrijf. De uitgifte van dit certificaat duurt meestal enkele dagen.

3. Uitgebreide validatie

Uitgebreide gevalideerde SSL certificaten zijn onderhevig aan de strengste vorm van validatie. Voordat dit certificaat wordt uitgegeven, vindt er eerst een grondige controle plaats van het bedrijf. Dit gebeurt vaak aan de hand van externe bronnen, zoals de Kamer van Koophandel. De uitgifte van dit type certificaat kan ongeveer 7 dagen duren.

SSL aanvragen

Het aanvragen van een SSL certificaat vindt in de meeste gevallen plaats via de webhostingprovider. Een groot aantal webhostingproviders biedt een SSL certificaat aan als een extra dienst.

SSL instellen

Het instellen van een SSL certificaat gaat meestal via de webhostingprovider. Vaak kun je een handleiding raadplegen die de webhostingprovider online heeft staan. Is er geen handleiding? Neem dan contact op met de webbouwer of het hostingbedrijf. Sommige hostingproviders leveren een gratis SSL certificaat. In dit geval is het een kwestie van instellen.

Google Search Console

Wanneer je SSL toepast op je website moet je een aantal dingen aanpassen in Google Search Console. Je moet de HTTPS variant van je domein toevoegen en deze als voorkeursdomein opgeven. Het is belangrijk dat je alle varianten toevoegt:

  • http://domein.com
  • http://www.domein.com
  • https://domein.com
  • https://www.domein.com

Als je niet weet hoe je een website property moet toevoegen, volg je deze instructies van Google.

Het voorkeursdomein moet overeenkomen met je site url. Om een voorkeursdomein op te geven, doe je het volgende:

  1. Geef op de homepagina van Search Console aan om welke website het gaat.
  2. Klik op het tandwiel icoontje en selecteer Site-instellingen.
  3. Selecteer in het Voorkeursdomein gedeelte de optie die je wilt.

Google Analytics

Na het toevoegen van het SSL certificaat moet je het domein in Google Analytics wijzigen naar HTTPS. Dit zorgt ervoor dat Analytics opnieuw treffers registreert. Dit doe je als volgt:

  1. Ga naar het Beheer gedeelte
  2. Klik op Instellingen weergeven
  3. Ga naar URL van website en verander deze van HTTP naar HTTPS

Aan de slag met SSL voor jouw website

Een goede optie om aan de slag te gaan met SSL is Let’s Encrypt. Dit is een open source welke gratis en geautomatiseerd SSL certificaten levert. Steeds meer hostingbedrijven ondersteunen deze optie. Heb je nog geen SSL certificaat? Zorg dan dat je deze zo snel mogelijk aanvraagt en instelt. Wil je meer informatie over SSL of checken of je SSL certificaat geldig is? Neem dan een kijkje op deze website met informatie over SSL certificaten.