Het belang van SSL/HTTPS voor uw site

Een HTTPS-verbinding (door middel van een SSL-certificaat) kan het verschil maken voor uw website. Zowel de overheid als onder meer Google streven naar een zo veilig mogelijk internet en oefenen steeds meer druk uit op eigenaren en ontwikkelaars van websites om het internet veiliger te maken. SSL-certificaten spelen hierin een belangrijke rol. Maar is een SSL-certificaat verplicht en nodig? Onderstaand vindt u antwoord op die vraag. Ook wordt toegelicht wat een SSL-certificaat is en wat het voor uw site kan betekenen.

Update 8/2/2018: Google gaat vanaf juli 2018 websites zonder HTTPS-verbinding markeren als onveilig.

Wat is een SSL-certificaat?
Een SSL-certificaat is nodig om alle data die verstuurd wordt tussen een website bezoeker en de website te versleutelen. Wanneer er data onderschept wordt is deze door de versleuteling onleesbaar. Het certificaat is dus nodig voor een beveiligde verbinding tussen de browser en de webserver waarop een website draait. Een site met een SSL-certificaat is te herkennen aan het hangslotje in de adresbalk van je browser, ook begint het adres met HTTPS i.p.v. HTTP.

Is een SSL-certificaat verplicht?
Het is bij wet verplicht om gegevens online op een veilige manier op te slaan, te verzenden en te ontvangen. Websites met betaal- en/of inlogmodules (webshops) en zelfs met alleen contactformulieren zijn dus bij wet verplicht dat veilig te doen. De Wet bescherming persoonsgegevens (Wbp) vereiste al sinds enige tijd hiervoor het gebruik van een SSL-beveiliging en ook de opvolger genaamd de Algemene Verordening Gegevensbescherming (AVG) doet dit.

Voordelen van een SSL-certificaat
Een SSL-certificaat heeft ook een aantal belangrijke andere voordelen. Uiteraard beveiligt een SSL-certificaat dus de gegevens van u én uw bezoekers. Tevens blijkt uit onderzoek van Comodo dat een SSL-certificaat je conversieratio kan verhogen. De conversieratio bij bezoekers van zamberg.com steeg bijvoorbeeld met 11% en de gemiddelde orderwaarde steeg zelfs met 23% na overschakeling op HTTPS. Een ander belangrijk voordeel is dat het al sinds eind 2014 een positief effect op uw Google ranking heeft. Google heeft op 17 december 2015 aangegeven SSL nog zwaarder te laten wegen bij het indexeren van websites. Let op: om hiervoor in aanmerking te komen, dient u wel te voldoen aan de criteria die Google heeft gesteld.

Google rapporteert verder dat het gebruik van HTTPS substantieel stijgt en dat een significant deel van het internetverkeer al een transitie naar HTTPS heeft doorgemaakt. HTTPS biedt veel voordelen boven HTTP, inclusief krachtige nieuwe features en mogelijkheden:

• Always-on SSL (AOSSL): een handige “best practice” om gebruikersgegevens te beschermen en de versleuteling van pagina’s, cookies, API’s en sessies te forceren,
• SEO-voordelen: de algoritmes van Googles zoekmachine kennen een hogere ranking toe aan beveiligde websites (de eerdergenoemde Google ranking),
• Prestaties: versleutelde websites profiteren van de prestatieverbeteringen die met HTTPS meekomen en prestatie is een significant onderdeel van de ranking van uw website,
• Controle: derden en wifi-hotspots kunnen advertenties aan websites toevoegen, wat ten koste gaat van de snelheid van uw site en de gebruikerservaring,
• Geloofwaardigheid: het veilige gevoel dat versleuteling uw gebruikers geeft moet niet worden onderschat. Visuele aanwijzingen van veiligheid kunnen helpen bounce rates en het aantal afgebroken transacties te verlagen en het vertrouwen te vergroten.

Browserwaarschuwing in Chrome en Firefox vanaf januari 2017
Om gebruikers een veiliger omgeving op het web te bieden geven twee van de grootste browsers niet-versleutelde websites vanaf begin 2017 weer als “niet veilig” in de adresbalk door middel van een icoon. Google doet dit vanaf Chrome versie 56 (januari 2017) en Mozilla doet hetzelfde vanaf Firefox versie 51 (januari 2017). Dit is onderdeel van hun plan om het gebruik van websites die de beveiliging niet op orde hebben te ontmoedigen en om een transitie teweeg te brengen van het potentieel onveilige HTTP naar het veilige alternatief HTTPS. Huidige browsers kunnen namelijk niet aangeven welke HTTP-verbindingen veilig zijn, wat betekent dat wanneer gebruikers een website via HTTP bezoeken, een hacker hun persoonlijke gegevens, wachtwoorden of betaalgegevens kan onderscheppen. Dit verhoogt het risico op fraude. Een recent onderzoek van Google heeft aangetoond dat de huidige neutrale indicatie in de webbrowser weinig invloed heeft op gebruikers en een “niet veilig”-melding veel effectiever is.  Door onveilige HTTP-websites duidelijker uit te lichten wil men gebruikers een geruster gevoel geven bij websites die wel veilig zijn. Uiteindelijk wil Google websites die HTTP blijven gebruiken zelfs labelen met een rood waarschuwingsicoon om aan te geven dat deze niet veilig werken.

In de loop van 2017 werden ook non-https invoervelden aangemerkt als onveilig, maar vanaf juli 2018 gaat Google nog een stap verder en zal het websites zonder HTTPS nog opvallender markeren als onveilig.

Mijn website is geen webshop, waarom is het toch belangrijk?
Gevoelige en persoonlijke informatie is niet voorbehouden aan e-commercewebsites. Denk bijvoorbeeld aan e-mailaccounts (toegang tot een e-mailaccount kan leiden tot heel veel soorten misbruik) of wachtwoorden die voor verschillende diensten gebruikt worden. Ook kan bijvoorbeeld het wachtwoord waarmee u zelf inlogt in uw CMS (wordpress, joomla, etc) eenvoudiger worden onderschept. Daarom wordt geen onderscheid gemaakt in het soort website. En zoals eerder vermeld is bij het gebruik van alleen een contactformulier al een SSL-beveiliging verplicht.

Wat kan ik doen om mijn website te beveiligen, hoe krijg ik een certificaat?
U kunt via ons al een SSL-certificaat bestellen vanaf 10,- euro per jaar, ook kunnen we de installatie van het certificaat en de transitie van uw website naar HTTPS verzorgen. Natuurlijk kunt u ook uw ssl-certificaat elders aanschaffen en vervolgens daarmee uw website omzetten naar HTTPS.