Ik heb onlangs een kleine maar belangrijke wijziging doorgevoerd op deze website. Ik heb namelijk een beveiligde verbinding met SSL geïnstalleerd. Wanneer je met je webbrowser mijn site opent, dan kun je dit zien aan het hangslotje vooraan de adresbalk.
Verder zie je dat mijn website adres nu niet meer begint met http maar met https.
Door deze beveiligde verbinding wordt al het netwerkverkeer van en naar mijn site versleuteld. Het is dus praktisch onmogelijk geworden voor derden om de inhoud te zien van het verkeer van en naar mijn website.
De beveiligde verbinding wordt gemaakt via het SSL protocol. SSL staat voor Secure Sockets Layer.
Een SSL Certificaat
SSL versleuteling maakt gebruik van een zogenaamd SSL certificaat. Dit is een klein bestand wat geïnstalleerd wordt op de webserver waarop een website zich bevindt.
Dit certificaat bevat de sleutels waarmee het verkeer van en naar een website versleuteld wordt. En met behulp van dit certificaat kan de betrouwbaarheid of echtheid van een site geverifieerd worden.
Certificaten worden afgenomen van een zogenaamde Certificate Authority (CA). Dit zijn instanties die dus certificaten verlenen en registreren welk domein (en bij uitgebreidere versies zelfs welke organisatie of bedrijf) eigenaar is van dit certificaat.
Wanneer je nu een website bezoekt met een dergelijk certificaat, dan kun je er zeker van zijn dat de website inderdaad de website is die je wou bezoeken
Wat bijvoorbeeld een bank vaak aangeeft als je gaat internet bankieren, is te letten op het hangslotje in de adresbalk. Door het certificaat weet je zeker dat je op de website van de betreffende bank bent, en dus niet op een website die nagemaakt is door criminelen.
SSL zorgt dus voor een veiligere communicatie tussen jou en een website.
Google Vindt Het Belangrijk
Google vindt het zeer belangrijk dat haar klanten een zo goed mogelijke internet ervaring hebben. Dus, als Google zoekresultaten levert, dan willen zij de best mogelijke resultaten leveren.
Uiteraard gaat het dan om de kwaliteit van de inhoud van websites, om de snelheid van websites, om het mobiel vriendelijk zijn van websites maar zeker ook om de veiligheid van websites.
Daarom heeft Google aangegeven om HTTPS mee te nemen als wegingsfactor voor de ranking. Hier moet je je overigens niet teveel bij voorstellen hoor, Google gebruikt een paar honderd wegingsfactoren en HTTPS wordt als veel minder belangrijk gezien dan andere zaken (zoals mobiel vriendelijk en kwaliteit van de inhoud van je website).
Websites met een versleutelde verbinding hebben dus een licht voordeel boven websites die dit niet hebben, maar dat wil absoluut niet zeggen dat jouw website niet meer hoog in Google kan komen zonder beveiligde verbinding.
Voor meer informatie over hoe Google tegen HTTPS aankijkt, zie: Google Blog over HTTPS als rankingsfactor.
Verplicht Gebruik Van Een Beveiligde Verbinding
Heb je een beveiligde verbinding echt nodig voor je website? Nou nee, in veel gevallen kun je prima zonder. Wanneer je een website hebt die puur informatief is en waarop mensen geen gevoelige informatie hoeven achter te laten, kun je prima zonder deze beveiligde verbinding.
In sommige gevallen is echter het gebruik van een beveiligde verbinding wel verplicht. Denk bijvoorbeeld aan webshops waarbij mensen hun creditcard gegevens moeten invullen. Je kunt je voorstellen dat hier een beveiligde verbinding noodzakelijk is.
Trouwens, mocht je een webshop hebben en je maakt bijvoorbeeld gebruik van diensten als Mollie of PayPal (of in mijn geval PayPro), dan wordt de betalingstransactie sowieso gedaan via een beveiligde verbinding.
Wanneer iemand op mijn website een video cursus aanschaft, dan wordt deze persoon tijdens het betalen doorgesluisd naar de website van PayPro en deze website heeft wel een beveiligde verbinding.
Hetzelfde geldt dus voor andere online betaaldiensten (zoals de al eerder genoemde diensten als Mollie en PayPal).
Hoe Installeer Je SSL Op Je Website?
Het eerste wat noodzakelijk is, is dat je hoster het gebruik van SSL ondersteunt. Hiervoor zul je dus contact op dienen te nemen met je hoster.
Op de webserver waarop je website staat, wordt vervolgens het certificaat geïnstalleerd. Dit kan een betaald certificaat zijn, er zijn ook gratis varianten. Kijk bijvoorbeeld maar eens op https://letsencrypt.org/.
Wanneer het certificaat is geïnstalleerd, zul je je website moeten configureren om het certificaat ook te gaan gebruiken. Wat er dus dient te gebeuren is dat alle http:// adressen omgezet worden naar https:// adressen.
Joomla Configureren Voor SSL
In Joomla is het aanzetten van een beveiligde verbinding heel eenvoudig. Als het certificaat is geïnstalleerd, ga je naar de algemene instellingen en daar open je de tab “server”.
Op deze tab vind je de optie “Forceer https”.
Je kunt hier kiezen om je hele website (dus administrator en voorkant) te voorzien van een beveiligde verbinding (dus https).
Wanneer je dit doet, en je slaat de instellingen op, dan maakt je Joomla website gebruik van een beveiligde verbinding.
Alleen, wanneer iemand nu naar een gewone http pagina gaat van je website, dan zal dit ook nog blijven werken. Je moet er dus ook nog voor zorgen dat iedereen die naar http://www.jouwsite gaat automatisch wordt doorgestuurd naar https://www.jouwsite.
Dit kun je regelen door een klein stukje code in het .htaccess bestand, onder RewriteEngine On. Het stukje code ziet er als volgt uit:
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [L,R=301]
Trouwens, wanneer je in het configuration.php een live site url hebt ingevuld, dan moet je deze ook nog wijzigen in https.
Wordpress Configureren Voor SSL
Wanneer je een Wordpress gebruiker bent, dan zul je ook eea moeten instellen om je website een beveiligde verbinding te geven.
Als het certificaat is geïnstalleerd op de webserver, ga dan in je Wordpress dashboard naar “instellingen -> algemeen”. Je vindt daar de opties “Wordpress adres (URL)” en “Site adres (URL)”. In beide adressen wijzig je http in https.
Sla daarna deze instellingen op.
Om er nu voor te zorgen dat iedereen die naar http://jouwsite gaat automatisch wordt doorgestuurd naar https://jouwsite kun je dezelfde code in het .htaccess bestand plaatsen die eerder al werd genoemd.
Om ook je backend een beveiligde verbinding te geven, voeg je nog een klein regeltje code toe aan het wp-config.php bestand van je wordpress installatie.
Zoek in dit bestand naar: “That’s all, stop editing”. Meteen boven deze regel zet je de volgende code:
define('FORCE_SSL_ADMIN', true);
Je Website Controleren
Wanneer je de bovenstaande stappen hebt doorgevoerd op je Joomla of Wordpress website, dan maakt je website gebruik van een beveiligde verbinding. Ook zul je dan in de adresbalk het hangslotje zien en beginnen je URL’s met https.
Overigens, om de bovenstaande stappen in Joomla of Wordpress te kunnen doorvoeren, moet er wel een SSL certificaat op de webserver zijn geïnstalleerd. Als dit niet het geval is, zullen de bovenstaande stappen er voor zorgen dat je website niet meer geopend kan worden.
Maar, als je alles hebt doorlopen, dan is het wel zaak om je website grondig na te lopen of alles goed werkt. Wanneer je website namelijk gebruik maakt van bronnen die niet via deze beveiligde verbinding worden geladen (dus niet via https), dan zal er in de adresbalk van je browser een waarschuwing te zien zijn.
De melding is dan bijvoorbeeld dat de website niet beveiligd is of dat sommige onderdelen niet beveiligd zijn. Aangezien het beveiligen van de verbinding juist vertrouwen zou moeten opwekken, zou je nu juist het omgekeerde realiseren.
Mocht je nu een dergelijke waarschuwing zien op je site, dan kan het zijn dat de betreffende pagina een afbeelding of een script of een stylesheet laadt via http. Kijk dus goed of alle verwijzingen op je website naar dergelijke zaken via https verlopen.
Wanneer je gebruik maakt van relatieve verwijzingen (dus voor een plaatje /images/plaatje.jpg) in plaats van absolute verwijzingen (http://jouwsite.nl/images/plaatje.jpg), zal eea automatisch goed komen te staan.
Maar belangrijk dus om goed je pagina’s te checken.
Controleer ook goed je sitemaps of daar geen verwijzingen naar http meer in staan en doe hetzelfde voor je robots.txt en .htaccess bestand.
Google Analytics Aanpassen
Wanneer je Google analytics gebruikt, dan zul je de property van je website nog moeten aanpassen. De standaard URL staat namelijk waarschijnlijk nog ingesteld op http. Wijzig dit in https.
Als je dit niet doet, dan zullen de statistieken van je website niet meer bijgehouden kunnen worden.
HTTPS varianten in Webmaster tools
Wanneer je gebruik maakt van de Google webmaster tools, dan is het ook belangrijk om de twee varianten van je https websites toe te voegen. Dus een variant voor https://www.jouwsite en een variant voor http://jouwsite.
Voeg voor beide varianten ook weer je sitemap toe en geef je voorkeursdomein aan (met of zonder www).
Tot Slot
Wanneer je hoster SSL ondersteund en je hebt alles ingericht voor je Joomla of Wordpress website, dan beschik je dus over een beveiligde verbinding van en naar je website.
Hiermee komt je website dus betrouwbaarder over voor je bezoekers. Dit is met name van belang voor websites waarop mensen gevoelige informatie moeten achterlaten (denk aan betalingen op webshops).
Wat ik ook al eerder aangaf, heb je een website die puur gericht is op het bieden van informatie, dan kun je je afvragen of SSL echt wel noodzakelijk is. Als mensen verder geen privacy gevoelige informatie hoeven in te vullen op je website dan kun je ook prima zonder een beveiligde verbinding.
Mocht je je zorgen maken om Google, HTTPS is maar een hele lichte wegingsfactor in de ranking. Dus, ook zonder HTTPS kun je prima scoren in Google.