Waarom wij HTTPS voor je site nu een no-brainer vinden

Johan Vantomme
Johan Vantomme
3 april 2017

Inbound marketing HubSpot Website

DELEN

Zo'n 2 jaar geleden hadden wij nog wat bedenkingen bij de implementatie van HTTPS op je site. Toen las je op onze blog "Wij zouden het alvast niet prioritair op ons lijstje zetten, tenzij het zinvol is voor je business". Maar nu? Nu zeggen we met volle overtuiging: doen!

Wat is HTTPS?

Hyper Text Transfer Protocol Secure (HTTPS) is een veilige versie van het HTTP, het protocol dat gebruikt wordt om data te versturen tussen je browser en de website die je bezoekt. Het betekent dat de data die uitgewisseld wordt geëncrypteerd (versleuteld) wordt doorgestuurd. En versleuteld betekent veilig (secure), vandaar de toevoeging van de “S”. Moderne browsers zoals Chrome en Firefox, kleuren in de adresbalk groen om nog duidelijker te stellen dat de verbinding veilig is. Of ze tonen een hangslot, of zelfs beide.

https-secure-800.jpg

Waarom is HTTPS belangrijk?

Vroeger werd HTTPS hoofdzakelijk gebruikt om gevoelige gegevens te beveiligen, zoals bij online banking of een bestelling bij je favoriete webshop. Nu wordt het gewoon de standaard voor alle websites, zelfs al is er geen uitwisseling van gevoelige informatie. Voor veel moderne browserfuncties is HTTPS zelfs een noodzaak geworden.

Nee, je bent niet alleen. Al meer dan 31% van de sites gebruikt HTTPS

Uit onderzoek bij de top 100.000 domeinen van SEO-tool Semrush zie je dat het percentage gebruikers van HTTPS van 2014 tot 2017 gestegen is van 7.6% tot 31.5%.

https-semrush.png

Wat doet HTTPS precies?

HTTPS kan gebruikmaken van twee secure protocols om de communicatie te encrypteren. SSL (Secured Socket Layer) of TLS (Transport Layer Security). Beide protocollen maken gebruik van een PKI-systeem (Public Key Infrastructure).

Het systeem werkt met twee sleutels (een private en een publieke) om een verbinding te versleutelen. De private sleutel staat op de webserver, de publieke wordt meegestuurd naar iedereen die hem nodig heeft om gegevens te decrypteren. Alles wat versleuteld is met de private key kan ontsloten worden met de public key en omgekeerd.

De werking van HTTPS in een voorbeeld uitgelegd

  1. Je surft naar een HTTPS-website en je browser vraagt aan de server waar de site staat om zich te identificeren.
  2. De server stuurt een copy van zijn certificaat en zijn publieke sleutel.
  3. De browser checkt of het certificaat behoort tot een Certificate Authority (CA), of het nog geldig is en niet ingetrokken, en gaat de websitenaam na.
  4. De browser stelt vast dat alles oké is en met de publieke sleutel maakt het een sessiesleutel aan die wordt teruggestuurd naar de HTTPS-website.
  5. De server decrypteert de sessiesleutel met zijn private key.
  6. De server stelt vast dat die oké is en stuurt een bevestiging terug, die geëncrypteerd is met de sessiesleutel. Hiermee start een tijdelijke, geëncrypteerde, veilige verbinding.
  7. Vanaf nu verloopt de verbinding tussen de browser en de server geëncrypteerd met de sessie sleutel

Versleuteling? Dan vertraagt HTTPS mijn website?

In principe is dat inderdaad zo: voor iedere request gaan er enkele milliseconden (ms) nodig zijn om een handshake uit te voeren. Maar wat zijn enkele milliseconden ten opzichte van de tonnen data die worden doorgesluisd in Javascript en CSS om je website responsive te maken? Je zou beter wakker liggen van de snelheidswinst die je daar nog kan boeken dan je zorgen te maken om die extra milliseconden voor de handshake.

Belangrijk: HTTPS beschermt de integriteit van je website en je gebruikers

HTTPS beschermt je tegen malafide personen/bedrijven die de communicatie tussen de website en de browser van de gebruiker willen onderscheppen en misbruiken. Het beschermt bijvoorbeeld tegen pogingen om malware te installeren of om ongevraagd advertenties te injecteren. Alle data van onbeschermde (lees: HTTP) bronnen, zoals beelden, cookies, scripts en HTML, kunnen namelijk misbruikt worden.

HTTPS beschermt je tegen indringers die passief de communicatie afluisteren tussen je website en de gebruiker. Vroeger werd ervan uitgegaan dat HTTPS enkel noodzakelijk was voor gevoelige communicatie. 

Maar HTTP-communicatie vertelt ook veel over het gedrag, de voorkeuren en ideeën van je gebruikers. Malafide personen of bedrijven kunnen veel informatie bemachtigen en misbruiken, gewoon doordat je op een forum over een ziekte praat of op een website artikels leest over een aandoening. Die redelijk onschuldige gegevens of gedragingen worden dan via een cross-check met bestaande bronnen gebruikt voor identificatie. Deze techniek noemt men de-anonymization.

Om onze privacy toch een beetje recht te houden en dergelijke praktijken tegen te gaan heb je een HTTPS-verbinding nodig.

HTTPS is goed voor SEO

HTTPS geeft je ook op SEO-vlak dat kleine stapje voorsprong op andere websites. Stel dat jij en je naaste concurrent beiden ongelooflijk jullie best hebben gedaan en voor een specifieke zoekterm als eerste uit de bus komen. Dan moet Google een keuze maken, en daarbij geeft HTTPS jou net een neuslengte voorsprong.

leadstreet-site-search-stopt-https-2.png

HTTPS is goed voor mobile

Sinds een tijdje wordt AMP (Acelerated Mobile pages) gebruikt om websites te versnellen op mobiel. De reden daarvoor is de tendens van de laatste jaren om websites responsive maken. Daar is niks mis mee, maar dergelijke sites zitten vol CSS en scripts om alle formaten aan te kunnen én mooi te maken. Dit maakt de pagina’s zwaar en traag, zeker op mobiel. Daarom startte Google enkele jaren terug met het AMP open-source project.

Nog nooit AMP opgemerkt of aan het werk gezien? Neem je smartphone, ga naar google.be en zoek eens op “site search stopt”. Een van de eerste artikels die je ziet, is hoogstwaarschijnlijk één van onze vorige blogposts. Je zal opmerken dat er naast de titel een bliksemicoontje staat en AMP. Klik op het icoon en je zal zien dat de tekst er bliksemsnel staat, AMP zorgt ervoor dat eerst de tekst laadt en plaatst er dan achteraf extra info bij.

Tip: onze blog wordt gehost op HubSpot, dat standaard AMP voorziet. Meer weten? Geef ons dan een seintje!

AMP heeft echter HTTPS nodig... en op die manier is HTTPS ook goed voor mobile. En voor zoekresultaten, want AMP is een prioriteit voor Google in 2017. Onlangs werden er 150 miljoen AMP-pagina's beschikbaar gemaakt binnen Google en wekelijks komen er 4 miljoen bij, zegt Maile Ohye van Google

HTTPS en Chrome

Chrome gaat nog een stapje verder dan andere browsers: de nieuwste versie geeft vanaf begin 2017 de melding “Not Secure” weer indien je op een pagina komt met een formulier waar een paswoord wordt gevraagd of een nummer van een kredietkaart.

HTTPS is goed voor GOOGLE Analytics

Wanneer trafiek van een HTTPS-website wordt doorverwezen naar een HTTP-website, verdwijnen de referral data. Daardoor wordt dit verkeer in Google Analytics weergegeven als 'Direct'. Daardoor weet je dus niets over de herkomst van dat verkeer.

Gebruikt je website wel HTTPS, dan blijft die data wel behouden. Jawel, ook als de doorverwijzende site nog steeds HTTP gebruikt. Aangezien steeds meer websites de overstap maken naar HTTPS, zal dit argument nog zwaarder gaan doorwegen de komende tijd.

En het kost je eigenlijk niet zoveel

Het beste nieuws? Overstappen op HTTPS kost eigenlijk niet zoveel. Er moeten wel wat aanpassingen gebeuren achter de schermen van je website en de Google Search Console, maar er komt niets bij kijken waar een beetje ervaren webmaster niet mee overweg kan.

Onze conclusie? HTTPS is een no-brainer!

Of je nu een webshop hebt, een gewone website of een blog doet er eigenlijk niet meer toe. Iedereen heeft wat te winnen door zo snel mogelijk HTTPS te implementeren op zijn website. Door de beperkte investering en inspanning die daarmee samen gaan, doe je er dus goed aan om over te stappen op het HTTPS-protocol. En wel nu.

Laten we praten over HubSpot & HTTPS

  

Johan Vantomme

Johan Vantomme

Managing partner leadstreet ✪ Diamond HubSpot Partner ✪ Top 50 HubSpot Agency worldwide