Website via HTTPS (SSL)? - Uitgebreide Handleiding

Karel
10/9/2014
Karel
10/9/2014
Zoekmachine optimalisatie
X
min leestijd
header

Nu Google bekend heeft gemaakt dat versleutelde websites voorrang gaan krijgen in organische zoekresultaten regent het op menig service desk vragen over SSL. De meeste vragen gaan over de soorten certificaten, de aanvraagprocedure, eventuele impact op site performance en ingebruikname van het certificaat. Als het goed is heb je na het lezen van dit artikel genoeg informatie om over te gaan tot het aanschaffen en gebruiken van SSL op je website.

Wat is SSL?

Het SSL protocol (tegenwoordig eigenlijk: TLS protocol) is een manier om gegevens versleuteld over het internet te versturen. Dit houdt in dat alleen de bedoelde ontvanger de inhoud van de gegevens kan ontcijferen. Mensen of computers die de gegevens onderscheppen zullen de daadwerkelijke inhoud niet kunnen achterhalen.Naast bovenstaande beveiliging kan een SSL certificaat (afhankelijk van het type) ook nog extra zekerheid bieden over de identiteit van de (eigenaar van) de website waar het certificaat actief is.Het correct gebruik van SSL geeft bezoekers van je website dus het vertrouwen dat als de gegevens onderschept worden deze niet uitgelezen kunnen worden en kán je bezoekers het vertrouwen geven dat ze met het juiste bedrijf te maken hebben.

Kies het juiste certificaat type

De eerste keuze die je maakt wanneer je met SSL aan de slag gaat is de keuze voor het juiste type. De verschillende types certificaten verschillen vooral in prijs, aanvraagprocedure en extra certificaat inhoud. De mate van versleuteling is in principe bij elk certificaat gelijk.De basis is een DV (Domain Validation) certificaat. Hiermee wordt de communicatie tussen server en bezoeker versleuteld. Voordat een DV certificaat wordt uitgegeven wordt enkel gecontroleerd of de aanvrager beheer heeft over het domein in kwestie. Dit gebeurt vaak door middel van een mail naar het administratief contact van het domein of op basis van een tijdelijk DNS record.Wanneer je ook bedrijfsinformatie in het certificaat op wilt laten namen kan je kiezen voor een OV (Organisation Validation) certificaat. Bij dit certificaat type wordt je bedrijfsnaam opgenomen in het certificaat. Deze informatie is alleen zichtbaar wanneer je in de browser de certificaat details opvraagt. Je mag ervan uitgaan dat de gemiddelde website bezoeker dit niet zal doen. Voor de meeste bezoekers is er dus geen zichtbaar verschil tussen een DV en een OV certificaat.Wil je op een duidelijk zichtbare manier aan je bezoekers laten zien met welk bedrijf ze data uitwisselen dan ga je nog een stap verder. Je kiest in dit geval voor een EV (Extended Validation) certificaat. Met een EV certificaat wordt je bedrijfsnaam getoond in de adresbalk van de browser. Dit schept direct meer vertrouwen en is hierdoor voor webshops of bedrijven in de financiële sector bijna een no-brainer.

Domain Validation certificaat

Extended Validation certificaat met een groene balk in je browser

Van een DV certificaat is bovendien ook een wildcard variant beschikbaar. Normaal gesproken vraag je een certificaat aan voor een vaste hostname (www.domein.tld, shop.domein.tld, etc.). Een wildcard certificaat vraag je aan voor *.domein.tld en kan vervolgens op ieder subdomein gebruikt worden. Deze mogelijkheid bestaat niet voor EV certificaten.

Een certificaat aanvragen

Je kunt een SSL certificaat zelf genereren en ondertekenen. Daarmee versleutel je de communicatie tussen je bezoekers en de server prima. Het probleem hierbij is alleen dat elke bezoeker bij het eerste bezoek aan je site moet aangeven dat hij jouw certificaat vertrouwt. Voor een intranet toepassing valt dit nog te overwegen, maar om voor je publieke site wil je het certificaat laten ondertekenen door een CA (Certificate Authority) die door de bekendere browsers al bij voorbaat vertrouwd wordt. Bekende CA's zijn bijvoorbeeld Comodo en Thawte. Hiervoor ga je als volgt te werk:Stap 1: Genereer een private key en een Certificate Signing Request (CSR)Je SSL certificaat bestaat uit een public en een private key. De public key wordt door de browser van je bezoekers opgehaald wanneer ze je site bezoeken. De private key staat op je server. Je private key wil je, zoals zijn naam al doet vermoeden, prive houden. Het is dan ook sterk af te raden voor het genereren van een private key en een CSR gebruik te maken van een webformulier van een externe partij. Het beste genereer je dit met behulp van software zoals openSSL op de server waarop het certificaat ook gebruikt gaat worden. Werk je in een Linux omgeving dan kan je bijvoorbeeld de volgende oneliner gebruiken:openssl req -new -newkey rsa:2048 -nodes -out ssl.csr -keyout ssl.key -subj "/C=LANDCODE/ST=STAAT/PROVINCIE/L=STAD/O=ORGANISATIE/OU=AFDELING/CN=HOSTNAME/emailAddress=EMAIL-ADRES"Hiermee genereer je twee bestanden, ssl.key en ssl.csr. Je CSR bevat nu de benodigde informatie voor een EV/OV certificaat. Voor een DV certificaat bevat het eigenlijk wat overbodige data. Dit wordt simpelweg niet in de DV certificaat opgenomen.Stap 2: Je ondertekende public key aanvragenHet idee achter werken met een CSR is het niet hoeven verstrekken van je private key aan een partij die de public key voor je gaat ondertekenen. Mocht je CSR in verkeerde handen geraken dan is er namelijk niets aan de hand. Men kan hier niets mee zonder je private key te hebben.Als je bij een CA naar keuze je certificaat bestelt (vaak kan dat ook via je hoster in plaats van rechtstreeks) dan wordt je gevraagd je CSR te verstrekken. Heb je gekozen voor een DV certificaat dan zal er nog verificatie plaatsvinden door middel van een e-mail. In de meeste gevallen gaat dit via het adres wat als technisch contact in de whois data van je domein staat. Controleer voor je aanvraag even of dit een adres is waarvan jij de mail kunt ontvangen.Wanneer je kiest voor een EV/OV certificaat dan zal er een uitgebreidere verificatie plaatsvinden. Men wil tenslotte verifiëren dat de bedrijfsgegevens in het certificaat ook van de aanvrager zijn. Hiervoor krijg je onder andere een overeenkomst toegestuurd, raadpleegt de CA de KvK voor je bedrijfsgegevens en zal er een telefonische verificatie plaatsvinden.Een DV certificaat wordt doorgaans binnen 24 uitgegeven. De uitgifte van een EV/OV certificaat kan tot 14 dagen duren. Zodra het certificaat is uitgegeven kan het op je server geïnstalleerd worden waarna je site versleuteld gebruikt kan worden.

SSL forceren

Nu sta je voor de keuze waar je op de website SSL toe wilt passen. Je kunt dit op de hele site forceren, of enkel op specifieke onderdelen. Een goed CMS geeft je de mogelijkheid dit in te stellen, of heeft hiervoor een plugin beschikbaar.Wil je in WordPress bijvoorbeeld je hele site geforceerd over https laten lopen, dan kan je hiervoor je WordPress Address en SiteAddress aanpassen. Wil je de versleuteling alleen op enkel pagina's toepassen dan kan je de plugin WordPress HTTPS (SSL) gebruiken.

Valkuilen

Het toepassen van SSL op je site doe je onder andere voor een veilig gevoel bij je bezoekers. Een waarschuwing omtrent je certificaat werkt daarop juist averechts. Een veel voorkomende valkuil is het inladen van onversleutelde externe inhoud op een met versleutelde eigen pagina. Om dit te voorkomen kan je gebruik maken van protocol-relative URLs. Hierbij geef je niet handmatig het protocol op. Een afbeelding inladen met behulp van een protocol-relative URL ziet er bijvoorbeeld als volgt uit:<code><img src"//example.com/fancy-image.jpg" alt="fancy-alt-text" /></code>Dit kan je toepassen op alle ingeladen content die niet op je eigen domein gehost wordt. Voor content binnen je eigen domein kan je het beste relatieve paden gebruiken. Ook hiermee blijft het een https protocol.

Oude pagina's redirecten met 301

Wanneer je nog niet bent overgestapt op https kent Google dus alleen nog maar de "niet beveiligde" pagina's (dus zonder https). Het is belangrijk dat deze "oude" pagina's met een 301 worden geredirect naar de https pagina's! Dit mag je niet vergeten te doen!Tip: Met deze tool http://www.internetofficer.com/seo-tool/redirect-check/ kun je eenvoudig controleren of er sprake is van een (301) redirect. Typ hier gewoon de oude URL en je ziet welke type redirect is wordt doorgevoerd.

Google Webmaster Tools

Wanneer je pagina's over https gaan lopen dan zul je zien dat in Google Webmaster Tools het aantal vertoningen gaat afnemen:

Echter wanneer je een nieuwe website toevoegt aan Webmaster Tools en dan https gebruikt wordt deze weer snel opgepikt door Google:

Testen van de implementatie

Helaas gaan niet alle browsers op de zelfde manier om met SSL certificaten. Het kan zelfs zijn dat Safari op je iMAc of Macbook geen enkel probleem heeft met het certificaat, terwijl je in iOS met een flinke waarschuwing geconfronteerd wordt, omdat de server bijvoorbeeld niet over alle root certificaten beschikt. Je kunt voor het testen van de SSL verbinding dan ook het beste gebruik maken van een uitgebreide externe test tool. Dit kan je bijvoorbeeld doen met de gratis online test van Qualys.

SSL effect op SEO

Google heeft onlangs gesteld dat het gebruik van SSL een ranking factor is. Hoewel vele mensen nu bezig zijn met het via SSL beveiligen van hun site is het ook goed om wat specifieker te kijken wat Google over SSL en SEO gezegd heeft:“ For now it's only a very lightweight signal "" affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content "" while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we'd like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web."Het is duidelijk dat van alle zaken die je op het gebied van SEO kan doen SSL niet je hoogste prioriteit moet hebben. Dezelfde tijd besteden aan het verwerven van een goede backlink doet zeer waarschijnlijk meer voor je rankings. Het is echter altijd een goede zaak als je als webmaster actief bezig bent met de veiligheid van je eigen site en je bezoekers en je kunt maar alvast klaar zijn voor de toekomst.

Performance in combinatie met SSL

Vergelijkbaar met SSL heeft Google eerder gezegd dat performance ook belangrijk is voor je ranking en steeds belangrijker gaat worden in de toekomst. Zo komen we automatisch op de vraag of het gebruik van SSL je site langzamer gaat maken?Het antwoord is dat SSL wel een kleine impact heeft op de laadtijd. De browser van de bezoeker en de webserver moeten namelijk een beveiligde verbinding opzetten. Het opzetten van zo'n verbinding heeft wat extra stappen t.o.v. een onbeveiligde verbinding en is daarmee wat trager.

De vertraging neemt toe bij elke extra verbinding die ook over SSL moet lopen (en als je er voor kiest dan wil je dat natuurlijk voor alle verbindingen!). Als voorbeeld moet je denken aan bijv. tracking of advertentie scripts waarvandaan externe content wordt ingeladen.In de praktijk blijkt SSL echter zeker niet het belangrijkste te zijn in de totale laadtijd van een site, dus wat ons betreft moet je je niet door die reden laten tegenhouden. Het kan echter wel een goede aanleiding zijn eens kritisch te kijken naar het optimaliseren van je laadtijd.

Conclusie

Doe je het alleen voor SEO? Dan kun je je tijd en geld beter besteden aan goede linkbuilding of betere content. Wil je een veilige omgeving bieden voor je bezoekers? Dan is SSL een goed idee, maar kies dan meteen voor een EV certificaat. Met alleen SSL heb je echter nog niet meteen een veilige site, zorg ervoor dat je altijd de laatste (security) releases of versies van je CMS, plugins, OS, enz. draait en dat je kiest voor een goed wachtwoord.Wij adviseren overigens dat websites waar privacygevoelige gegevens worden uitgewisseld (bijvoorbeeld webwinkels) wel kiezen voor SSL (EV certificaat). Op die manier wek je toch vertrouwen richting je bezoekers wat de conversie alleen maar ten goede kan komen.

Over de auteur:

Marcus Meurs

Marcus Meurs is support specialist bij Savvii - Managed WordPress Hosting uit Nijmegen. Marcus is dé interne expert van Savvii op het gebied van SSL certificaten. Hij beschikt ook over kennis van WordPress, Linux en PHP.

Schrijf je in voor onze nieuwsbrief

Je bent succesvol ingeschreven voor onze nieuwsbrief!
Er is iets fout gegaan bij het verzenden van het formulier

Wil je meer gratis tips over online marketing?

Bekijk onze gratis downloads

Categorieën

Ontdek hoe wij jouw bedrijf verder kunnen helpen

We hebben je aanvraag succesvol ontvangen, we nemen zo snel mogelijk contact met je op
Er is iets fout gegaan bij het verzenden van het formulier