Je website beveiligen: omzetten naar HTTPS en SSL

---

Wat is SSL?

Het begrip SSL (afkorting van ‘Secure Socket Layer’) houdt een techniek in die wordt gebruikt voor het versleutelen en authenticeren van het dataverkeer op internet. Bij websites wordt daarmee de overdracht tussen browser en webserver beveiligd. Vooral in de e-commerce, waar vertrouwelijke en gevoelige gegevens worden overgedragen, is het gebruik van een SSL-certificaat of de doorontwikkelde variant TLS (‘Transport Layer Security’) absoluut noodzakelijk.

Gevoelige gegevens die worden beschermd met SSL-versleuteling zijn bijvoorbeeld:

• Registratiegegevens: naam, adres, e-mailadres en telefoonnummer
• Logingegevens: e-mailadres en wachtwoord
• Betalingsgegevens: creditcardnummer en bankgegevens
• Invulformulieren
• Door klanten geüploade documenten

Met SSL als beveiliging kan de communicatie niet worden meegelezen of gemanipuleerd en kunnen persoonlijke gegevens niet in verkeerde handen vallen.

---

Wat is HTTPS?

HTTPS (‘Hypertext Transport Protocol Secure’) is het protocol dat wordt gebruikt voor het veilig versturen van gegevens. HTTP is de niet-beveiligde variant. Op HTTP-websites kunnen in theorie alle verstuurde gegevens worden meegelezen of veranderd door aanvallers. Bovendien is de gebruiker niet zeker of diens creditcardgegevens wel echt worden doorgegeven aan de webshop of toch eerder aan een hacker. HTTPS of SSL versleutelt de HTTP-gegevens en garandeert de authenticiteit van de aanvragen door middel van het SSL-certificaat of het doorontwikkelde TLS-certificaat. Experts adviseren tegenwoordig uitsluitend het gebruik van TLS – wanneer er wordt gesproken over SSL, wordt in de meeste gevallen tegenwoordig dan ook TLS bedoeld.

---

Voordelen bij het gebruik van SSL/TLS en HTTPS:

• gegevensbescherming en veiligheid voor klanten en partners
• verkleining van het risico op gegevensdiefstal en gegevensmisbruik
• positieve rankingfactor voor Google
• maakt het gebruik van HTTP/2 mogelijk, waardoor de website-performance wordt verbeterd
• het certificaat is voor gebruikers goed herkenbaar en wekt vertrouwen

---

Tip:

Het groene SSL-slotje naast de URL duidt een veilige verbinding van je website aan en vergroot het vertrouwen van je bezoekers.

---

Website omzetten naar SSL en HTTPS

Nieuwe websites kunnen van begin af aan worden uitgerust met een SSL-versleuteling. Ook voor reeds bestaande websites is het omzetten naar HTTPS niet al te veel werk. De eerste stap: het SSL-certificaat voor het desbetreffende domein.

---

SSL-certificaat aanvragen

Het SSL-certificaat is een soort identiteitsbewijs van een website. De certificaatautoriteit (CA) waar het certificaat wordt aangevraagd, heeft de identiteit vooraf gecontroleerd en staat borg voor de juistheid van de informatie. Een SSL-certificaat wordt op de server geïnstalleerd en telkens opgeroepen wanneer een bezoeker een website met HTTPS bezoekt. Er bestaan diverse soorten certificaten die verschillen wat betreft validatiemethode.

• Certificaten met domeinvalidatie (DV):
  dit zijn certificaten met de laagste authenticatiegraad. De CA controleert alleen of de aanvrager ook de eigenaar is van het domein waarvoor een certificaat is aangevraagd. Bedrijfsinformatie wordt niet gecontroleerd waardoor er bij domeinvalidatie kans op fraude blijft bestaan. Door de beperkte authenticatie wordt het certificaat wel snel uitgegeven door de CA en is het bovendien het goedkoopste van de drie SSL-certificaten.
  Certificaten met domeinvalidatie zijn geschikt voor websites waarbij het vertrouwen en de geloofwaardigheid een ondergeschikte rol spelen en waar er geen sprake is van risico op phishing of fraude.
• Certificaten met organisatievalidatie (OV):
  dit soort validatie is uitgebreider en daardoor ook veiliger dan domeinvalidatie. Naast het eigendom van het domein controleert de CA ook relevante bedrijfsgegevens, zoals bijvoorbeeld de inschrijving in het handelsregister. De door de CA gecontroleerde informatie kan worden ingezien door websitebezoekers wat het vertrouwen in de website en het bedrijf versterkt. Als gevolg van de intensievere controles is het SSL-certificaat met organisatievalidatie duurder dan het certificaat met domeinvalidatie, maar daarvoor biedt het ook meer veiligheid.
  Dit certificaat is geschikt voor websites waarop transacties plaatsvinden met niet-gevoelige gegevens.
• Certificaten met uitgebreide validatie (EV):
  dit is het certificaat met de hoogste en uitgebreidste authenticatiegraad. Vergeleken met het certificaat met organisatievalidatie worden bedrijfsgegevens nog gedetailleerder gecontroleerd op strenge uitgiftecriteria. Bovendien wordt dit certificaat alleen uitgegeven door daartoe geautoriseerde CA’s. De uitgebreide controle van het bedrijf garandeert de hoogste veiligheidsgraad en vergroot zodoende het vertrouwen in de website en de geloofwaardigheid ervan. Aan het certificaat met uitgebreide validatie (Extended Validation) zijn de hoogste kosten verbonden. Dit certificaat is geschikt voor websites die bijvoorbeeld creditcardgegevens of andere gevoelige data verzamelen.

In onderstaande infographic kun je zien welke certificaten geschikt zijn voor welke websites:

---

Installatie en configuratie

De volgende stap is de installatie van het SSL-certificaat op de server. Dit wordt door veel hostingproviders verzorgd. In het klantengedeelte van de website kan het certificaat meestal direct worden aangevraagd, en de provider voert de gegevens dan in. Als klant van STRATO kun je in de Klantenlogin het bestaande webhostingpakket eenvoudig uitbreiden met het SSL-certificaat. De meeste pakketten zijn tegenwoordig al inclusief het certificaat. De installatie verschilt echter per provider. Doorgaans stellen providers of aanbieders van het certificaat de desbetreffende installatiehandleiding beschikbaar. Voor een technisch correcte installatie zijn de volgende zaken essentieel:

• correcte certificaten
• de juiste versleuteling
• een geschikte serverconfiguratie

---

Fouten en problemen bij het omzetten naar SSL en HTTPS

Sommige fouten moeten bij het omzetten worden vermeden om te voorkomen dat je website in de ranking daalt of dat je te kampen krijgt met onbereikbare sites.

Websitebeheerders die hun website willen omzetten naar SSL en HTTPS moeten:

• Verlopen certificaten voorkomen: een ongeldig of verlopen SSL-certificaat leidt tot een waarschuwing in het browservenster waardoor gebruikers het vertrouwen in de website juist kwijtraken.
• Een correcte redirect maken: om zogenaamde duplicate content te vermijden, moet de webmaster een 301-redirect maken. Zo voorkom je dat de zoekmachine de HTTP-site en de HTTPS-site beschouwt als twee verschillende internetsites en verwacht dat ze verschillende content bevatten.
• Advertentieaccounts aanpassen (Google Ads, Bing Ads, enz.): wanneer je in een HTTPS-website onversleutelde content (afbeeldingen, scripts, enz.) insluit, wordt er een waarschuwing getoond bij het openen van de site waardoor de gebruiker gaat twijfelen aan de betrouwbaarheid. Dit is vooral een probleem bij advertenties, omdat reclame nog overwegend onversleuteld wordt verstuurd. De advertentieaccounts moeten dus absoluut worden aangepast.
• Webmaster Tools & Google Analytics omzetten: theoretisch zijn de HTTP- en de HTTPS-websites twee verschillende websites. De HTTPS-variant moet daarom na het omzetten worden geregistreerd in de Webmaster Tools.
• XML-sitemap updaten: ook de sitemap moet worden geüpdatet en worden opgeslagen in de Webmaster Tools.
• Externe en interne links controleren: ook al verhinderen 301-redirects foutieve links, na het omzetten naar het HTTPS-protocol moeten alle interne links worden veranderd. Afhankelijk van hoe de content in het CMS is opgeslagen, kan het zijn dat dit handmatig moet worden uitgevoerd. Bij externe links moet je proberen om de belangrijkste links (bijv. van de belangrijkste websites) te laten veranderen in het HTTPS-adres.

---

Hoe kun je zien of een website een geldig SSL-certificaat heeft?

Websites met een geldig SSL-certificaat kun je herkennen aan de URL:

https://www.voorbeeld.nl

De ‘s’ in het HTTP-protocol van de URL staat voor ‘secure’ en toont dat deze website is versleuteld met een SSL-certificaat. Afhankelijk van het soort certificaat zijn veilige versleutelingen ook visueel te herkennen: