HTTPS IndicatieTot 2016 maakten de meeste kleine ondernemers en -websitebouwers zich niet druk over een HTTPS certificaat. De kosten en complexiteit maakte dat het vooral webshops met keurmerken en websites van grotere bedrijven een groen slotje in de adresbalk lieten zien.

In het voorjaar van 2016 is dat definitief veranderd met de komst van de Let’s Encrypt. Deze nieuwe certificate authority (CA) geeft gratis TLS (Transport Layer Security) certificaten uit, waarmee iedereen op het web over gratis certificaten kan beschikken.

Twee jaar eerder had Google al aangekondigd dat het HTTPS als ranking factor zou invoeren. Dat is inmiddels gebeurd. Met andere woorden: websites met certificaat scoren hoger in Google Search dan websites zonder certificaat. Op pagina’s met een wachtwoordveld (ofwel, een inlog formulier) tonen de laatste versies van Firefox en Chrome in de browserbalk actief aan gebruikers wanneer een website geen versleuteling heeft. Er zijn overigens veel meer ranking factors zoals de snelheid van je website.

Alle bovengenoemde initiatieven zijn erop gericht om het internet veiliger te maken. Je mag aannemen dat HTTP websites zonder certificaat over een tijdje simpelweg niet meer getoond worden door je browser en buitengewoon slecht zullen scoren in Google. Geen wonder dat het aantal HTTPS websites snel toeneemt. Kortom, het is zaak om je websites over te zetten naar HTTPS.

Let's Encrypt certificaat uitgifte 2016

Let’s Encrypt certificaat uitgifte in 2016. Bron: Let’s Encrypt. Actuele gegevens: Let’s Encrypt stats

 

Meer weten over WordPress SEO? Kijk eens naar onze Masterclass WordPress SEO

1. Hoe kom je aan een HTTPS certificaat?

Let’s Encrypt heeft haar services voor het genereren van certificaten dusdanig opgezet, dat ze door hosting partijen (denk aan TransIP of Antagonist) geïntegreerd kunnen worden. Daarmee kunnen hosting providers hun klanten (jou dus) de mogelijkheid te geven zelf certificaten te genereren, zonder dat daarvoor technische kennis nodig is.

CPanel Let's Encrypt

Let´s Encrypt certificaten genereren in CPanel.

In CPanel zit bijvoorbeeld het icoon Let’s Encrypt SSL. Door hierop de klikken kom je in het scherm waarmee je nieuwe certificaten kunt uitgeven (Issue) voor je domein. Deze certificaten hebben een beperkte geldigheidsduur, maar worden automatisch verlengd nadat ze verlopen.

CPanel Issue Certificate

Een nieuw HTTPS certificaat genereren (issue) via CPanel.

Ook Plesk en DirectAdmin hebben Let’s Encrypt inmiddels ingebouwd. Heb je bovenstaande opties niet in de beheersomgeving van je hosting provider, bel ze dan gewoon even op voor ondersteuning. Daar betaal je immers voor.

Ondanks dat de certificaten gratis uitgegeven kunnen worden, vragen de meeste hosting providers nog geld voor de activatie van een certificaat. Feitelijk is dit achterhaald; je mag verwachten dat we in de nabije toekomst standaard een HTTPS certificaat geactiveerd krijgen bij onze nieuwe domeinen.

2. URL’s aanpassen in WordPress

Nadat je het HTTPS certificaat gegenereerd hebt, werkt de HTTPS versie van je domein meestal direct. Het probleem is echter dat de HTTP versie van je website ook nog gewoon werkt en dat er nauwelijks gebruikers zijn die zelf https://… in hun browser intypen. Je zult het gebruik van HTTPS dus moeten afdwingen. Probeer de HTTPS versie van je website even uit voordat je verder gaat.

In WordPress kun je onder Instellingen > Algemeen de domeinnaam van jouw website aanpassen van http://jouwdomeinnaam naar https://jouwdomeinnaam. Doe dit voor zowel het WordPress-adres als het Siteadres veld en sla je instellingen op.

URL instellen via Instellingen > Algemeen

URL instellen via Instellingen > Algemeen

Als je nu je website gaat bekijken zou het kunnen dat je geen groen slotje te zien krijgt in je browserbalk. In plaats daarvan krijg je een grijs slotje met een geel waarschuwingsicoontje. Dit betekent dat een deel van je website op HTTPS draait, maar een deel nog niet. Dit komt (meestal) door afbeeldingen die in de tekst of in het thema van je website zijn opgenomen. Je kunt al deze links aanpassen naar https:// maar grondiger is het om simpelweg al je webverkeer over HTTPS te forceren. Dat kun je op de moeilijke manier doen via instellingen van je webserver en WordPress installatie, maar we gaan in deze post alleen in op de makkelijke manier: via een plug-in.

Mixed content warning FireFox

Mixed content waarschuwing FireFox

 

3. iThemes Security

Er zijn verschillende plug-ins die https voor je kunnen forceren, zoals WP Force SSL. Mijn voorkeur gaat uit naar iThemes Security omdat ik deze plug-in voor andere doeleinden toch al gebruik. Onder Security > Settings staat het blokje SSL. Als je vervolgens voor ‘Configure Settings’ kiest, stel je ‘Front End SSL Mode’ in op Whole Site en vink je Force SSL for Dashboard aan.

iThemes Security SSL

SSL instellingen in iThemes Security

Nadat je deze opties hebt geactiveerd en opgeslagen, kan het zijn dat je opnieuw moet inloggen.

4. Google Search Console

Als je bovenstaande stappen hebt doorlopen heb je je WordPress website weliswaar met HTTPS certificaat draaien, maar Google weet nog van niets. Via Google Search Console kun de nieuwe variant van je website aanmelden. Deze tool is handig om fouten uit je website te vissen, maar ook om Google bewust te maken van de verschillende domeinnamen voor je website. Je kunt alle domeinnamen die naar een website wijzen (zowel http:// als https:// ) instellen en vervolgens aanwijzen welke domeinnaam Google als leidend moet zien. Zie voor meer SEO ook Zoekmachine optimalisatie voor WordPress.

Typen Certificaten

Als je je gaat verdiepen in HTTPS zul je erachter komen dat er verschillende typen van het HTTPS certificaat zijn. Alleen de meest eenvoudige certificaten kunnen gratis met Let’s Encrypt worden gegenereerd. Dit zijn zogenaamde DV (domain validation) certificaten die de verbinding versleutelen, maar verder geen garanties geven over de aanvrager van het domein. Bedrijven en organistaties kunnen ook voor uitgebreidere certificaten gaan zoals Extended Validation (EV), die de achtergrond van de aanvrager wel garanderen. Voor de meesten van ons voldoen de DV certificaten.

FireFox extended validation

Standaard en Extended validatie in FireFox

Conclusie

Vanaf 2016 wordt het snel belangrijker om een versleutelde website aan je gebruikers aan te bieden, en dat kan ook. Het is voor beheerders van websites goedkoop en gemakkelijk geworden om TLS certificaten te activeren voor domeinen. Hierdoor is er feitelijk geen excuus meer om géén versleuteling aan te bieden.

Auteur

Louis Wolf
Louis Wolf
Louis is trainer voor de WordPress Cursus in Arnhem en Nijmegen. Ter ondersteuning van zijn cursussen schrijft Louis blog berichten. Naast zijn werk als trainer is Louis software ontwikkelaar en leert hij kinderen programmeren.