Zo'n 2 jaar geleden hadden wij nog wat bedenkingen bij de implementatie van HTTPS op je site. Toen las je op onze blog "Wij zouden het alvast niet prioritair op ons lijstje zetten, tenzij het zinvol is voor je business". Maar nu? Nu zeggen we met volle overtuiging: doen!
Hyper Text Transfer Protocol Secure (HTTPS) is een veilige versie van het HTTP, het protocol dat gebruikt wordt om data te versturen tussen je browser en de website die je bezoekt. Het betekent dat de data die uitgewisseld wordt geëncrypteerd (versleuteld) wordt doorgestuurd. En versleuteld betekent veilig (secure), vandaar de toevoeging van de “S”. Moderne browsers zoals Chrome en Firefox, kleuren in de adresbalk groen om nog duidelijker te stellen dat de verbinding veilig is. Of ze tonen een hangslot, of zelfs beide.
Vroeger werd HTTPS hoofdzakelijk gebruikt om gevoelige gegevens te beveiligen, zoals bij online banking of een bestelling bij je favoriete webshop. Nu wordt het gewoon de standaard voor alle websites, zelfs al is er geen uitwisseling van gevoelige informatie. Voor veel moderne browserfuncties is HTTPS zelfs een noodzaak geworden.
Uit onderzoek bij de top 100.000 domeinen van SEO-tool Semrush zie je dat het percentage gebruikers van HTTPS van 2014 tot 2017 gestegen is van 7.6% tot 31.5%.
Wat doet HTTPS precies?
HTTPS kan gebruikmaken van twee secure protocols om de communicatie te encrypteren. SSL (Secured Socket Layer) of TLS (Transport Layer Security). Beide protocollen maken gebruik van een PKI-systeem (Public Key Infrastructure).
Het systeem werkt met twee sleutels (een private en een publieke) om een verbinding te versleutelen. De private sleutel staat op de webserver, de publieke wordt meegestuurd naar iedereen die hem nodig heeft om gegevens te decrypteren. Alles wat versleuteld is met de private key kan ontsloten worden met de public key en omgekeerd.
In principe is dat inderdaad zo: voor iedere request gaan er enkele milliseconden (ms) nodig zijn om een handshake uit te voeren. Maar wat zijn enkele milliseconden ten opzichte van de tonnen data die worden doorgesluisd in Javascript en CSS om je website responsive te maken? Je zou beter wakker liggen van de snelheidswinst die je daar nog kan boeken dan je zorgen te maken om die extra milliseconden voor de handshake.
HTTPS beschermt je tegen malafide personen/bedrijven die de communicatie tussen de website en de browser van de gebruiker willen onderscheppen en misbruiken. Het beschermt bijvoorbeeld tegen pogingen om malware te installeren of om ongevraagd advertenties te injecteren. Alle data van onbeschermde (lees: HTTP) bronnen, zoals beelden, cookies, scripts en HTML, kunnen namelijk misbruikt worden.
HTTPS beschermt je tegen indringers die passief de communicatie afluisteren tussen je website en de gebruiker. Vroeger werd ervan uitgegaan dat HTTPS enkel noodzakelijk was voor gevoelige communicatie.
Maar HTTP-communicatie vertelt ook veel over het gedrag, de voorkeuren en ideeën van je gebruikers. Malafide personen of bedrijven kunnen veel informatie bemachtigen en misbruiken, gewoon doordat je op een forum over een ziekte praat of op een website artikels leest over een aandoening. Die redelijk onschuldige gegevens of gedragingen worden dan via een cross-check met bestaande bronnen gebruikt voor identificatie. Deze techniek noemt men de-anonymization.
Om onze privacy toch een beetje recht te houden en dergelijke praktijken tegen te gaan heb je een HTTPS-verbinding nodig.
HTTPS geeft je ook op SEO-vlak dat kleine stapje voorsprong op andere websites. Stel dat jij en je naaste concurrent beiden ongelooflijk jullie best hebben gedaan en voor een specifieke zoekterm als eerste uit de bus komen. Dan moet Google een keuze maken, en daarbij geeft HTTPS jou net een neuslengte voorsprong.
Sinds een tijdje wordt AMP (Acelerated Mobile pages) gebruikt om websites te versnellen op mobiel. De reden daarvoor is de tendens van de laatste jaren om websites responsive maken. Daar is niks mis mee, maar dergelijke sites zitten vol CSS en scripts om alle formaten aan te kunnen én mooi te maken. Dit maakt de pagina’s zwaar en traag, zeker op mobiel. Daarom startte Google enkele jaren terug met het AMP open-source project.
Nog nooit AMP opgemerkt of aan het werk gezien? Neem je smartphone, ga naar google.be en zoek eens op “site search stopt”. Een van de eerste artikels die je ziet, is hoogstwaarschijnlijk één van onze vorige blogposts. Je zal opmerken dat er naast de titel een bliksemicoontje staat en AMP. Klik op het icoon en je zal zien dat de tekst er bliksemsnel staat, AMP zorgt ervoor dat eerst de tekst laadt en plaatst er dan achteraf extra info bij.
Tip: onze blog wordt gehost op HubSpot, dat standaard AMP voorziet. Meer weten? Geef ons dan een seintje!
AMP heeft echter HTTPS nodig... en op die manier is HTTPS ook goed voor mobile. En voor zoekresultaten, want AMP is een prioriteit voor Google in 2017. Onlangs werden er 150 miljoen AMP-pagina's beschikbaar gemaakt binnen Google en wekelijks komen er 4 miljoen bij, zegt Maile Ohye van Google
Chrome gaat nog een stapje verder dan andere browsers: de nieuwste versie geeft vanaf begin 2017 de melding “Not Secure” weer indien je op een pagina komt met een formulier waar een paswoord wordt gevraagd of een nummer van een kredietkaart.
Wanneer trafiek van een HTTPS-website wordt doorverwezen naar een HTTP-website, verdwijnen de referral data. Daardoor wordt dit verkeer in Google Analytics weergegeven als 'Direct'. Daardoor weet je dus niets over de herkomst van dat verkeer.
Gebruikt je website wel HTTPS, dan blijft die data wel behouden. Jawel, ook als de doorverwijzende site nog steeds HTTP gebruikt. Aangezien steeds meer websites de overstap maken naar HTTPS, zal dit argument nog zwaarder gaan doorwegen de komende tijd.
Het beste nieuws? Overstappen op HTTPS kost eigenlijk niet zoveel. Er moeten wel wat aanpassingen gebeuren achter de schermen van je website en de Google Search Console, maar er komt niets bij kijken waar een beetje ervaren webmaster niet mee overweg kan.
Of je nu een webshop hebt, een gewone website of een blog doet er eigenlijk niet meer toe. Iedereen heeft wat te winnen door zo snel mogelijk HTTPS te implementeren op zijn website. Door de beperkte investering en inspanning die daarmee samen gaan, doe je er dus goed aan om over te stappen op het HTTPS-protocol. En wel nu.