Wat is HTTPS en waarom is het belangrijk voor SEO en webbeveiliging?

HTTPS staat voor Hypertext Transfer Protocol Secure, wat verwijst naar een beveiligde versie van het HTTP-protocol dat wordt gebruikt om gegevens te verzenden tussen een webbrowser en een website. HTTPS kan gegevens effectief versleutelen om de veiligheid te verhogen wanneer ze worden verzonden in een internetomgeving. Dit is vooral belangrijk wanneer gevoelige gegevens worden verzonden, zoals inloggen op een bankrekening, het verzenden van gevoelige persoonlijke informatie of toegang tot een betalingsgateway.

Tegenwoordig zou webbeveiliging via HTTPS standaard moeten zijn, hoewel dit in veel gevallen nog steeds niet het geval is. Gebruikers moeten bijvoorbeeld vermijden om te winkelen bij e-shops die hun klanten geen HTTPS-beveiliging bieden. Bij TRITON IT bieden we onze klanten websupport, dat kleine aanpassingen maakt aan beheerde websites en dagelijks vragen van klanten beantwoordt. Een van de meest voorkomende is alleen al het instellen van HTTPS - hoe je het moet instellen en waar je op moet letten. Daarom is dit artikel geschreven.

Hoe werkt HTTPS?

HTTPS gebruikt een encryptieprotocol om netwerkcommunicatie te versleutelen. Deze versleuteling, of cryptografisch protocol, heet Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL). Het TLS-protocol beveiligt de communicatie met behulp van een zogenaamde asymmetrische publieke sleutelinfrastructuur. Dit type beveiliging gebruikt twee verschillende sleutels om de communicatie tussen twee partijen op het internet te versleutelen:

1. De privésleutel wordt beheerd door de eigenaar van de website en wordt geheim gehouden. Deze sleutel bevindt zich op de webserver en wordt gebruikt om informatie te ontsleutelen die is versleuteld met de openbare sleutel.
2. De publieke sleutel is beschikbaar voor iedereen die op een veilige manier met de server wil communiceren. Informatie die is versleuteld met de openbare sleutel kan alleen worden ontsleuteld met de privésleutel, zodat niemand anders dan de beoogde ontvanger toegang heeft tot de verzonden informatie.

Waarom is HTTPS belangrijk?

Wat gebeurt er als een website geen HTTPS gebruikt? Door HTTPS te gebruiken, voorkomt de eigenaar van de website dat informatie wordt verzonden op een manier die gemakkelijk zichtbaar is voor iedereen die meeluistert op het netwerk. Wanneer informatie via gewone HTTP wordt verzonden, wordt de informatie opgedeeld in datapakketjes die gemakkelijk kunnen worden "afgeluisterd" met behulp van vrij verkrijgbare software. Dit maakt communicatie over een onveilig kanaal zoals openbaar Wi-Fi erg kwetsbaar voor afluisteren. In feite is alle communicatie die plaatsvindt via HTTP in platte tekst, waardoor deze zeer toegankelijk is voor iedereen met de juiste tools en kwetsbaar is voor aanvallen.

Begin 2024 waren er bijna 300 miljoen SSL-certificaten geregistreerd op het hele internet.

Met HTTPS wordt het verkeer versleuteld, zodat zelfs als pakketten worden afgeluisterd of op een andere manier worden onderschept, ze eruitzien als betekenisloze tekens en onbruikbaar zijn zonder een privésleutel die alleen de eigenaar van de website kent.

Hoe weet ik of een website HTTPS gebruikt?

In alle webbrowsers die tegenwoordig worden gebruikt, zoals Google Chrome, Safari of Edge, worden websites die geen HTTPS gebruiken op een opvallende manier gemarkeerd, zodat de gebruiker al weet dat veilig browsen in het gedrang is gekomen als hij per ongeluk op zo'n website terechtkomt.

Een site die HTTPS gebruikt, wordt meestal aangegeven met een slotpictogram naast de URL van de site boven in de browser. Als de site daarentegen een oudere, onveilige versie van HTTP gebruikt, wordt de gebruiker gewaarschuwd met een gevarendriehoek of "Niet veilig".

Hoe beïnvloedt HTTPS SEO?

HTTPS is niet alleen belangrijk voor de veiligheid en privacy van gebruikers, maar ook voor zoekmachineoptimalisatie (SEO). Google en andere zoekmachines geven de voorkeur aan authentieke, veilige en betrouwbare websites en hebben daarom de aanwezigheid van HTTPS opgenomen in de lijst van zogenaamde SEO-signalen. In de praktijk betekent dit dat websites die HTTPS gebruiken sneller worden geïndexeerd en op hogere posities in de zoekresultaten verschijnen. Daarnaast heeft de overstap naar HTTPS ook een positief effect op de laadsnelheid van een website, wat een andere cruciale SEO-factor is.

Als onderdeel van zijn bachelorscriptie onderzocht David Trojan de invloed van SEO-factoren, waaronder HTTPS, op de positie van websites in Google search. Hiervoor gebruikte hij gegevens van WebMedea. Hij ontdekte dat de beveiliging van een website via HTTPS een van de belangrijkste SEO-parameters is, samen met andere factoren zoals sitesnelheid, de aanwezigheid van zoekwoorden in de meta title tag, meta description tag of H1 headings, en Google geeft ze veel gewicht. Het theoretische deel van het proefschrift is in de vorm van een SEO-handleiding die toegankelijk is op WebMedea. Het genoemde praktische deel en de resultaten daarvan zijn te vinden in de conclusie.

Hoe krijg ik een TLS/SSL-certificaat en schakel ik over op het HTTPS-protocol?

Overschakelen op HTTPS vereist stappen zoals het verkrijgen van een TLS/SSL-certificaat, het installeren ervan, het instellen van redirects en het bijwerken van interne links. Deze stappen worden aanbevolen als je de veiligheid en SEO van je website wilt verbeteren.

Vanaf 2024 gebruikt tot 18% van de websites nog steeds geen HTTPS voor versleutelde communicatie.

Normaal gesproken wordt het beheer van beveiligingscertificaten verzorgd door de hostingprovider. Bij TRITON IT zijn we erg trots op de veiligheid van de websites van onze klanten, dus de aanwezigheid van HTTPS op onze beheerde websites is standaard.

De eerste stap in de overstap naar veilig HTTPS is het kiezen van een certificaatautoriteit die TLS/SSL-certificaten uitgeeft. Sinds 2016 worden gratis certificaten van de Let's Encrypt-certificaatautoriteit aangeboden op de markt. Deze certificaten zijn ruim voldoende voor gewone websites of e-shops en bieden de nodige beveiliging van de communicatie.

Wanneer is een gratis certificaat niet genoeg?

In sommige gevallen is een standaard gratis certificaat echter niet genoeg. Grote websites hebben vaak hun eigen beveiligingssystemen die de Let's Encrypt certificaatautoriteit als onbetrouwbaar kunnen beschouwen, in welk geval je een van de betaalde certificaten moet gebruiken. Deze bieden, in tegenstelling tot gratis certificaten, een zogenaamde garantie. In de praktijk betekent dit dat de certificeringsinstantie die het betaalde certificaat heeft uitgegeven de veiligheid ervan garandeert en je een vooraf overeengekomen bedrag betaalt in het geval van een inbreuk op de versleutelde communicatie en het lekken van gegevens.

Tot 90% van alle bestaande geldige SSL-certificaten zijn uitgegeven door slechts zes certificeringsinstanties.

Een specifiek voorbeeld is de samenwerking met onze klant Loomis. Zij benaderden ons toen ze de service van hun website aanzienlijk wilden verbeteren met betrekking tot responstijden en de competentie om aanpassingen te doen waardoor de Loomis-website de Bitsight web security rating zou kunnen doorstaan. En om aan deze strenge veiligheidsnorm te voldoen, is een betaald SSL-certificaat nodig dat aan de strenge eisen voldoet. Door over te schakelen op een nieuw type van dit certificaat, samen met andere beveiligingswijzigingen aan de Loomis-website, konden we de website van de klant van een B-beoordeling naar het hoogste niveau van A tillen.

Nadat je een certificaat aan je website hebt toegevoegd, is het belangrijk om de geldigheid ervan in de gaten te houden. Deze is normaal gesproken vastgesteld op 1 jaar voor betaalde certificaten en 90 dagen voor gratis certificaten. Na deze periode moet u het certificaat vernieuwen. Bij TRITON IT maakt het regelmatig beheren en vernieuwen van certificaten deel uit van de website management service die wij onze klanten bieden.

Als het certificaat voor het eerst op de website wordt geplaatst, is het noodzakelijk om een nieuwe URL in te stellen, d.w.z. de introductie te veranderen van http:// in https://. Vervolgens is het belangrijk om alle links die naar uw website verwijzen ook te wijzigen in https://. Deze stap kan worden vergemakkelijkt door een van de plugins die we bij TRITON IT veel gebruiken in de WordPress-interface, waarmee we efficiënte redirects kunnen uitvoeren en de bekende 404-fouten op uw site kunnen voorkomen.