mijn.host logo
,

Wat is HTTPS en hoe stel je het in op jouw website?

Joost Boer avatar

Door

Joost Boer

Publicatiedatum

Inhoudsopgave

Je ziet HTTPS staan aan het begin van webaddressen. Maar wat betekent HTTPS precies, waarom is het zo belangrijk en hoe werkt het?

In dit artikel vertel ik je alles wat je over HTTPS moet weten, inclusief hoe je je eigen site (gratis) via HTTPS kunt laten lopen.

Wat is HTTPS precies?

HTTPS staat voor Hypertext Transfer Protocol Secure. Het is een uitbreiding van het HTTP-protocol (Hypertext Transfer Protocol), dat de basis vormt voor gegevensoverdracht op het web. HTTPS voegt een extra beveiligingslaag toe door gebruik te maken van SSL/TLS-protocollen om de communicatie tussen een webbrowser en een webserver te versleutelen.

Wanneer je een website bezoekt die HTTPS gebruikt, wordt alle informatie die tussen jouw browser en de website wordt uitgewisseld, versleuteld. Dit betekent dat als iemand probeert deze gegevens te onderscheppen, ze een reeks willekeurige tekens zien in plaats van de daadwerkelijke inhoud.

Volgens gegevens van Google Chrome gebruikt momenteel meer dan 95% van alle websites die via Chrome worden geladen HTTPS.

Waarom is HTTP eigenlijk onveilig?

HTTP (zonder de “S”) stuurt gegevens onversleuteld over het internet. Dat betekent dat alles wat jij invoert of ontvangt – zoals wachtwoorden, persoonlijke gegevens of betaalinformatie – in platte tekst wordt verzonden.

Als je bijvoorbeeld op een website inlogt via HTTP, kunnen anderen die op hetzelfde netwerk zitten (zoals op een openbaar wifi-netwerk in een café of hotel) die informatie makkelijk onderscheppen. Dit heet een “man-in-the-middle aanval”. De aanvaller leest dan als het ware mee tussen jouw computer en de website.

Dit is het laatste wat je wilt dat je gebeurd als je ergens gevoelige informatie invoert, zoals bij een ecommerce website

Omdat er bij HTTP geen beveiligde verbinding is, weet je ook niet zeker of je wel echt met de bedoelde website communiceert, of met een nagemaakte pagina.

Hoe zorg je dat je eigen website via HTTPS loopt?

Om je website te laten draaien via HTTPS heb je een TLS-certificaat nodig. TLS is een term die je overigens niet vaak zult tegenkomen: in de volksmond wordt het een SSL-certificaat genoemd. SSL refereert naar de technologie voorafgaand aan TLS, maar de term is blijven plakken. Maar maak je geen zorgen, het is precies hetzelfde.

SSL-certificaten worden verstrekt door Certificate Authories (CA). Dit zijn onafhankelijke bedrijven wiens SSL-certificaten worden ondersteunt door alle populaire webbrowsers. Dit soort certificaten kunnen variëren in prijs van enkele euro’s per maand tot tientallen euro’s per maand.

Echter, sinds enkele jaren zijn de gratis SSL-certificaten van Let’s Encrypt sterk in opmars gekomen. Let’s Encrypt is een non-profit Certificate Authority die geldige SSL-certificaten gratis verstrekt. Het initiatief wordt gefinancierd en ondersteund door partijen als Google, Mozilla, IBM en Shopify.

Wat mij betreft zijn er weinig redenen om je te wenden tot een betaald SSL-certificaat. Zelf beheer ik al vele jaren een stuk of 10 websites. Al deze sites – van blogs tot webwinkels – draaien gewoon op een gratis Let’s Encrypt certificaat.

Wanneer je bij mijn.host een hosting pakket afsluit, krijg je toegang tot zo veel gratis Let’s Encrypt SSL-certificaten als je maar wilt.

Dit is waarom HTTPS goed is voor de SEO van je website

HTTPS is goed voor de SEO (de vindbaarheid van je site binnen zoekmachines) van je website. Hieronder lees je waarom.

Het is een (licht) ranking signaal

In 2014 liet Google weten dat HTTPS een lichte ranking factor is. Is het een grote ranking factor? Nee. Maar het helpt wel een klein beetje mee. Stel je het zo voor: als alle andere elementen van een site precies gelijk zijn aan die van jou (content kwaliteit, backlinks, site snelheid), dan kan HTTPS de strijd beslechten.

Dit is Googles bijdrage aan een snellere verspreiding van HTTPS.

Betere beveiliging en privacy

Eerder hebben we al gezien waarom HTTPS de beveiliging van je site verbetert. Maar wat heeft dit te maken met SEO?

Veel browsers tegenwoordig geven gebruikers niet zomaar toegang tot een onbeveiligde site. Chrome bijvoorbeeld laat je de site niet zien, en je moet als gebruiker door behoorlijk wat hoepels springen om überhaupt op de site terecht te kunnen komen.

Natuurlijk helpt dit het vertrouwen in deze websites volkomen om zeep. Veel gebruikers zullen waarschijnlijk direct wegklikken van de site.

Wegklikken van de site betekent dat er minder tijd op de site wordt doorgebracht en dat de bounce rate hoger is. Beiden zijn negatieve ranking signalen.

Het laat je site moderne protocollen gebruiken die site beveiliging verbeteren en site snelheid verbeteren

Je zou misschien denken dat HTTPS langzamer is dan HTTP vanwege de extra beveiliging features. Echter, HTTPS is een randvoorwaarde om gebruik te kunnen maken van de nieuwste web performance technologie en beveiliging.

Hierdoor laadt je website sneller doordat je gebruik kunt maken van protocollen zoals HTTP/2 en TLS 1.3.

Niet alleen maak je je bezoekers blij met een snellere site, maar website snelheid is ook een lichte Google ranking factor.

Hoe werkt HTTPS technisch gezien?

Mocht je nou willen weten wat er vanuit een technisch oogpunt precies gebeurd wanneer je site via HTTPS loopt, dan vind je hier een beknopte uitleg.

HTTPS werkt door een extra beveiligingslaag toe te voegen aan het standaard HTTP-protocol. Deze beveiliging wordt mogelijk gemaakt door SSL. Laten we eens kijken hoe dit proces technisch werkt:

Het HTTPS-verbindingsproces

  1. Handshake initiatie. Wanneer je browser een verbinding wil maken met een HTTPS-website, stuurt het een “client hello” bericht naar de server met informatie over welke versleutelingsmethoden (ciphersuites) het ondersteunt.
  2. Server antwoord. De server reageert met een “server hello” bericht waarin het de gekozen versleutelingsmethode aangeeft en zijn SSL/TLS-certificaat stuurt. Dit certificaat bevat de publieke sleutel van de server en is ondertekend door een vertrouwde Certificate Authority (CA).
  3. Certificaatverificatie. Je browser controleert of het certificaat geldig is, niet verlopen is, en uitgegeven is door een vertrouwde CA. Het verifieert ook of het certificaat daadwerkelijk voor de website is die je bezoekt.
  4. Sleuteluitwisseling. Na verificatie genereert je browser een symmetrische sleutel (of “session key”) en versleutelt deze met de publieke sleutel van de server. Deze versleutelde sleutel wordt naar de server gestuurd, en alleen de server kan deze ontsleutelen met zijn privésleutel.
  5. Beveiligde communicatie. Zodra beide partijen dezelfde symmetrische sleutel hebben, wordt alle verdere communicatie tijdens die sessie versleuteld met deze sleutel. Dit proces zorgt voor een beveiligde, versleutelde communicatie tussen je browser en de server.

Dit proces maakt gebruik van een combinatie van asymmetrische encryptie (met publieke en privésleutels) en symmetrische encryptie, wat zowel beveiliging als efficiëntie biedt.

Joost Boer avatar
Joost Boer
Joost heeft zich sinds 2016 diep ondergedompeld in de wereld van WordPress. Op mijn.host deelt hij zo nu en dan praktische adviezen rondom WordPress website ontwikkeling en online marketing.

Inhoudsopgave

Verhuis je website gratis

  • Betaalbaar
  • Betrouwbaar
  • Gebruiksvriendelijk
  • Helpdesk met kennis
  • Als snelste getest
Probeer mijn.host

Geplaatst

in

,

Tags:

reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *