seoraporu.co

HTTPS/SSL en websitebeveiliging

Wat is HTTPS/SSL?

HTTPS (HTTP Secure) is een protocol dat de gegevensuitwisseling tussen een website en de browser van de bezoeker versleutelt. Deze versleuteling wordt verzorgd door een SSL/TLS-certificaat van de website; het certificaat fungeert als een digitaal document dat de identiteit van de website aan de browser bevestigt. Het slotje in de adresbalk van de browser geeft aan dat de verbinding versleuteld is en dat het certificaat geldig is.

Gegevens die via HTTP worden verzonden, worden in leesbare tekst (plaintext) doorgegeven; dit betekent dat een derde partij op hetzelfde netwerk (bijv. openbare wifi) de gegevens kan lezen. HTTPS versleutelt deze gegevens, waardoor ze alleen leesbaar zijn voor de verzender en de ontvanger.

SSL-certificaten zijn doorgaans voor een bepaalde periode (bijvoorbeeld een jaar) geldig en moeten worden vernieuwd wanneer ze verlopen; tegenwoordig automatiseren veel hostingproviders dit proces, waardoor het certificaat automatisch wordt vernieuwd, wat de noodzaak van handmatige opvolging vermindert.

Waarom is dit belangrijk?

HTTPS zorgt ervoor dat gebruikersgegevens (formulierinvoer, inloggegevens, betalingsgegevens) worden beschermd tegen man-in-the-middle-aanvallen. Google beschouwt het gebruik van HTTPS als een lichtwegend signaal voor de rangschikking en browsers geven bij HTTP-sites de waarschuwing 'Niet veilig' weer; dit heeft een directe invloed op het vertrouwen van de gebruiker.

Een onveilige website vermindert de bereidheid van bezoekers om op de site te blijven; met name gebruikers die een formulier invullen of een betaling uitvoeren, kunnen de site verlaten zonder de transactie af te ronden wanneer ze de waarschuwing „Niet veilig“ zien. Dit is een vertrouwenskwestie die rechtstreeks van invloed is op de conversieratio.

Bovendien werken de meeste moderne browserfuncties (bijv. locatiediensten, meldingen, bepaalde betalings-API’s) uitsluitend via HTTPS; een website die op HTTP blijft draaien, kan geen gebruik maken van deze functies en wordt technisch gezien steeds beperkter.

Hoe lost u dit op?

Voorbeeld

# .htaccess voorbeeld
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Slecht voorbeeld: vergeten om na de overstap naar HTTPS de oude <img src="http://example.com/logo.png"> absolute HTTP-links op de pagina vergeten bij te werken; dit leidt tot een waarschuwing voor gemengde inhoud in de browser, zelfs als de pagina over het algemeen veilig lijkt.

Veelgemaakte fouten