Hoe stap je over naar HTTPS?

De S in HTTPS staat voor secure en houdt in dat de manier waarop jouw browser communiceert met een website versleuteld is. Dat is met name belangrijk bij websites waarbij je persoonsgegevens invoert. Dat kan een webshop zijn, maar ook een normale website met een contactformulier. Zonder HTTPS is het ‘relatief makkelijk’ voor een hacker om het verkeer tussen de browser en de website af te vangen en te verzamelen.

Al enige jaren voeren organisaties zoals Google en de Autoriteit Persoonsgegevens strijd om websites via het HTTPS-protocol te laten werken. Uiteraard is alleen een HTTPS-protocol niet voldoende. Maar het is een begin.

Ondanks het risico dat bedrijven en organisaties een boete krijgen van € 820.000,- bij het niet goed beveiligen van hun website lijken de acties van Google meer effect te hebben. Lees ook: Hoe voorkom je als organisatie een datalek?

Websites met een HTTPS-protocol zouden voorgetrokken worden in de zoekresultaten (BRON?) en via de Search Console krijgen website-eigenaren tegenwoordig een melding dat hun website niet veilig is wanneer ze deze via het normale HTTP-protocol aanbieden.

Waarom moet je overstappen naar HTTPS?

• Je beveiligt hiermee het bezoek van de bezoekers van jouw website.
• De kans dat je als organisatie als nalatig wordt beschouwd en een boete van € 820.000,- krijgt is een stuk kleiner geworden.
• Je website wordt beter gevonden in de zoekresultaten van Google.

Een eigen SSL-certificaat afnemen

De bekendste manier om je website via HTTPS aan te bieden is het afnemen van een eigen SSL-certificaat. Dit is een bestand dat de versleuteling tussen jouw browser en de website verzorgt.

Je kunt deze afnemen via je hostingprovider of via hun partners. Er zijn verschillende soorten SSL-certificaten waarbij het verschil vaak zit in de vorm van versleuteling en de compatibiliteit met verschillende browsers. Daarnaast zijn er ook nog wildcard SSL-certificaten die ervoor zorgen dat je ook al je subdomeinen kan versleutelen.

Let’s Encrypt

Een andere methode is gebruik maken van een open certificaat. Diensten als Letsencrypt.org en Cloudflare.com bieden deze gratis aan en veel providers werken samen met één van deze diensten.

Werkt jouw provider samen met Letsencrypt.org dan is het opzetten van een HTTPS-website vaak een kwestie van één klik of een aanpassing in je DNS-instellingen. Op de website van Let's Encrypt is een overzicht te zien van alle providers die met Let's Encrypt werken.

Wij werken veel met Pantheon.io en Cloudways.com en beiden bieden de optie om te werken met Let’s Encrypt.

Bij Pantheon.io moet je de DNS-instellingen van je domein updaten en als deze up-to-date zijn, dan is Letsencrypt standaard toegevoegd.

Bij Cloudways.com is het een kwestie van de Letsencrypt-functie aanzetten.

Cloudflare

Cloudflare.com is ook populair maar niet alleen vanwege hun gratis SSL-certificaat. Cloudflare vervangt je huidige DNS-server en kan daardoor opereren voordat de bezoeker op je website komt. Hierdoor kan het de website versnellen door een extra laag van caching toe te voegen, plaatjes te comprimeren en een extra firewall toe te voegen. Dit resulteert in een snellere en veiligere website.

Cloudflare opzetten vereist wel iets meer werk dan Letsencrypt omdat de DNS van jouw domein via Cloudflare moet lopen. Hiervoor moet je de nameservers van je domein aanpassen en richten op Cloudflare. In veel gevallen kun je dit niet zelf maar moet je dit aanvragen bij de partij die jouw domein beheert.

De overgang naar Cloudflare komt neer op de volgende stappen:

• Een account aanmaken bij Cloudflare. De gratis versie is voldoende voor de HTTPS-functie.
• Bij Cloudflare aangeven om welk domein het gaat. Daarna worden je DNS-records ingeladen.
• Eventuele missende DNS-records met de hand toevoegen.
• Daarna krijg je de nameservers door van Cloudflare en kun je het omzetten van je domein aanvragen bij de partij die je domein beheert.
• Nadat je domein is omgezet werkt je domein direct via HTTPS en krijg je het begeerde groene slotje naast je domein.

Wil je meer weten over de voor- en nadelen van Cloudflare?

Redirecten

Heb je eenmaal je HTTPS-omgeving? Vergeet dan niet een redirect in te stellen zodat al het verkeer naar de HTTPS-omgeving gaat. Anders kunnen bezoekers nog steeds je website bereiken via het HTTP-protocol.

Meestal gebeurt dit redirecten via het .htaccess-bestand maar bij providers zoals Pantheon.io pas je de redirect toe binnen het settings.php of wp-config.php-bestand. Vraag je hostingprovider hierbij om hulp omdat zij het beste weten welke oplossing past bij hun hostingplatform.

Heb je vragen over het bereikbaar maken van je website via HTTPS? Dan beantwoord ik je vragen graag hieronder in het reactiegedeelte.