Vertrouwen weg? Bezoekers weg!

13-okt-2017

Binnen een enkele seconde maakt een bezoeker de beslissing om je website te bekijken of dat ze toch meer vertrouwen hebben in de concurrent. In 2017 gaan alle webbrowsers HTTPS forceren door websites die nog niet up-to-date zijn als onveilig te markeren.

Jouw website onveilig?

Wanneer je het vertrouwen van je bezoeker wilt behouden, dan is het van groot belang dat je website goed beveiligd is. Een SSL certificaat installeren is een goed begin om het vertrouwen van je bezoeker te behouden.  In dit artikel kunt je alles te weten komen over wat dit inhoud, en wat je zelf kunt doen om niet massaal je bezoekers te verliezen.

Wat is HTTPS?

Om te begrijpen wat https is en wat het doet bekijken we eerst de structuur van een URL.

Een URL ziet er als volgt uit: http://www.google.nl
Het eerste stuk ( http:// ) is het protocol waarover de website wordt ingeladen. HTTP staat voor HyperText Transfer Protocol. Dat is een hele mond vol, en je hoeft het niet te onthouden. In het Nederlands betekend dat in het kort, dat het een verzameling is van regels die de manier van communiceren tussen computers vastlegt. De spelregels voor communicatie tussen de website en de computer bij mensen thuis. Kun je nu raden waar HTTPS voor staat? De ‘S’ staat voor secure.

HTTP verbinding: Niet versleuteld met SSL

Wat is er dan Secure aan HTTPS ten opzichte van HTTP?

Bij een website die draait op het HTTPS (HyperText Transfer Protocol Secure) protocol wordt de communicatie tussen de website en de thuiscomputer versleuteld.

Vergelijk het eens met een militaire operatie. Alle communicatie tussen militaire eenheden zijn in codetaal om te voorkomen dat de vijand weet wat er wordt gecommuniceerd. De ontvanger van de orders weet hoe hij de boodschap moet ontcijferen. De vijand niet.

Dit is waar het SSL certificaat een rol speelt. De technische term voor SSL is (Secure Sockets Layer). SSL is een encryptie protocol voor computers. Bijvoorbeeld tussen uw website en een thuiscomputer. Weer een heel technisch verhaal zo, maar het komt er dus op neer dat HTTPS bepaald dat de website versleuteld moet worden. En SSL bepaald HOE dit versleuteld moet worden.

Dan is HTTPS dus de militaire orders in codetaal en SSL de instructies hoe ze de codetaal moeten interpreteren.

HTTPS verbinding: Versleuteld met SSL

Waarom HTTPS

HTTPS begint vanwege verschillende redenen steeds belangrijker te worden. Misschien wel de voornaamste reden is dat browser op dit moment al pagina’s met formulieren welke niet via HTTPS worden geserveerd als onveilig aangeduid. Dit omdat er in formulieren bijna altijd wel iets van gebruikersgegevens of anderzijds “gevoelige” informatie wordt verstuurd.

In Oktober 2017 zal, met het oog op het veiliger maken van het web, door browsers deze aanpak nog verscherpt gaan worden; alle pagina’s die via HTTP worden geserveerd en niet middels HTTPS zullen dan worden aangeduid als onveilig.

Waarom moet ik daar iets mee doen?

Op voorhand als je ook maar iets doet met “gevoelige” data, of dat nu voor een webshop is of een simpele login, dan is het hebben van een SSL certificaat eigenlijk al simpelweg aan te raden.
Indien je niets met “gevoelige” data doet snappen we de vraag een stuk meer, want waarom zou je dan een SSL certificaat nemen?

Nou dat heeft meer te maken met hoe potentiële klanten naar jouw website zullen kijken en dat is een stukje psychologie waar je toch zeker rekening mee moet houden en jezelf in moet verplaatsen;

Zou jij zelf met het volste vertrouwen een aankoop of simpelweg zaken doen met een website die door browsers wordt aangeduid als niet-veilig?
Het is met name een stuk vertrouwen wat je kunt geven aan je potentiële klant waarmee je feitelijk zegt, bij ons zit alles goed je kunt ons vertrouwen.

Vergroot vertrouwen met SSL

Mythes

Soms zijn er ook zaken die op het web geroepen worden maar niet kloppen. Dat kan best verwarrend zijn en daarom willen we de meeste bekende omtrent HTTP / SSL ook afkaarten voor je;

SSL is geen ranking factor

Vaak wordt aangegeven dat SSL een factor speelt op het gebied van ranken in Google. Google heeft in diverse publicaties aangegeven dat (op dit moment) SSL GEEN ranking factor is. Natuurlijk is het wel een advies ook vanuit Google om HTTPS te voeren omdat dit simpelweg het web een veiligere plek in zijn geheel maakt.

SSL maakt je website trager

Nee en ja, laat ons het even toelichten; van nature is het zo dat als iets aan de ene kant gecodeerd wordt en het aan de andere kant gedecodeerd wordt dat het trager zal zijn als dat dit niet gebeurt. Maar we hebben het hier over milliseconden,

Daarnaast maakt zoals hierboven toegelicht HTTPS het mogelijk om HTTP/2 te gebruiken wat dit meer dan wegneemt en de snelheid ten opzichte van HTTP 1.1 stukken verbeterd. Om hier een voorbeeld van te geven; https://www.cloudflare.com/website-optimization/http2/ (Engels)

Type certificaten

Vaak wordt er gedacht dat een SSL certificaat duur is. Maar dat heeft meer te maken met in welke vorm van validatie je wilt hanteren.

Er zijn drie niveau’s te onderscheiden:

Domain Validation SSL certificaat

In een domain validation certificaat worden gegevens van de domeinnaamhouder opgenomen en gecontroleerd.

Organisation Validation SSL certificaat

In een organisation validation certificaat worden alle bedrijfsgegevens van de eigenaar van het certificaat opgenomen en gecontroleerd.

Extended Validation SSL certificaat

In extended validation certificaat worden alle bedrijfsgegevens van de eigenaar van het certificaat opgenomen en grondig gecontroleerd. Kamer van koophandel uittreksels worden opgevraagd en de aanvrager wordt opgebeld om te bewijzen dat hij inderdaad de aanvrager van het certificaat is. Met dit certificaat wordt de volledig groene balk in de browser zichtbaar.

Hoe zwaarder de validatie hoe hoger de kosten van het certificaat. Maar een certificaat met ‘alleen’ domeinvalidatie is al afdoende om aan HTTPS te kunnen doen.

Welke validatie het beste past bij jouw website is natuurlijk afhankelijk van het doel maar ook een stuk van wat voor validatie jij daadwerkelijk wilt gebruiken. Zo is bijvoorbeeld voor een bank Extended validation echt wel aan te raden maar volstaat domeinvalidatie voor een normale website.

Bijzondere certificaat; Wildcard

Doorgaans zijn certificaten bedoeld voor een domein (en dekt het de www en non-www variant) tenzij je het specifiek voor een subdomein zou aanvragen. Er is nog een andere optie en dat is het zogenaamde Wildcard certificaat.

Deze is van toepassing voor alle subdomeinen van je domein (*.domein.nl).
Omdat dit type certificaat natuurlijk meer kan dekken qua SSL is de prijs van een dergelijke certificaat hoger.

Welk certificaat is geschikt voor mijn website?

Wij kunnen u adviseren in welk SSL certificaat het meest geschikt is voor uw website. Voor een eenvoudige website kost het installeren van een SSL certificaat in totaal zo’n €100,-

Daarin regelen wij het juiste certificaat, installeren wij het op uw website. En zorgen we er voor dat iedere pagina beveiligd wordt. Voor een grote Magento webshop kunnen wij dit ook regelen, maar dan kijken we graag even samen naar hoeveel werk we aan uw website hebben om dit te realiseren.

Wat gaat dat kosten en is een SSL certificaat het waard?

Als je gaat kijken beginnen de kosten voor een SSL certificaat met domeinvalidatie al vanaf een paar euro op jaarbasis, de vraag die je daarin moet stellen is die kleine investering het je waard om niet aangeduid te worden als onveilig en zo het vertrouwen te krijgen van je potentiële klanten?

Voorkom dat je als onveilige partij wordt beschouwd

Regel een groen slotje

SSL in gebruik

Stel je hebt besloten om een SSL certificaat af te nemen zodat je HTTPS kunt gaan voeren. Naar onze mening een heel goede beslissing maar er zijn wel een aantal zaken waarmee je rekening moet houden;

Alles serveren van HTTPS
Het is heel belangrijk om als je HTTPS gaat gebruiken dat je alles via HTTPS serveert. Dat wil bijvoorbeeld zeggen dat je alle HTTP verzoeken dynamisch wilt herschrijven naar HTTPS. Dit kan doorgaans middels een aanpassing in je .htaccess of nginx.conf gedaan worden.

Voorkom Mixed Content

Je verzoeken afvangen (zie hierboven) is een begin maar je moet ook goed rekening houden met verwijzingen naar content van derden (Youtube, Souncloud om wat voorbeelden te noemen), deze moeten ook vanuit hun HTTPS variant worden gedaan. Doe je dat niet dan bevat je pagina Mixed Content en zal er in de browser aangeduid worden dat er een probleem is. Dit omdat je content aanleverd van een niet-SSL beveiligde URL op een SSL-beveiligde URL.
Maar ook met oog op content die al hebt ingericht moet je zorgen dat de verwijzingen naar afbeeldingen, pagina’s etc naar de HTTPS variant gebeurd.

De beste manier om daar goed mee om te gaan is om verwijzingen zonder protocol (protocol-less) in te richten zodat in feite op webserver niveau de beslissing voor het protocol gemaakt kan worden.

Voor een uitgebreidere toelichting omtrent Mixed Content zie; https://developer.mozilla.org/nl/docs/Security/MixedContent (Engels)

Conclusie

Voor je de stap van HTTP naar HTTPS maakt moet je een aantal beslissingen nemen (type certificaat, type validatie) maar ook goed te kijken naar je huidige content (mixed-content). Als je daar uit bent; ja dan ben je meer dan klaar om de stap naar HTTPS te maken.

Bij LanthopusX snappen we dat het best ingrijpend is en dat er toch best wel wat dingen komen kijken bij het gaan gebruiken van HTTPS voor je website. Daarom willen wij ook als je er zelf niet (volledig) aan uit komt met je kijken hoe de overgang het beste opgepakt kan worden. Mochten we daarin iets voor je kunnen betekenen neem dan vrijblijvend contact met ons op.

Op de hoogte blijven?

Schrijf je in voor de nieuwsbrief!