De afgelopen weken is het animo naar SSL certificaten en HTTPS websites flink gestegen nu Google heeft aangegeven dat laatstgenoemde een streepje voor hebben in de lijst met zoekresultaten. Maar het omzetten van een HTTP website naar een HTTPS website is echter niet zomaar gedaan. Daarom dat we hieronder uitleggen hoe u dit kunt doen. De vraag of het de moeite waard is, laten we over aan u.

 

Stap 1: Waar staat SSL voor en waarom wordt het gebruikt?

SSL staat voor Secure Sockets Layer en is een protocol voor het versturen van versleutelde informatie om te voorkomen dat gevoelige informatie terecht komt bij de verkeerde persoon. En ook al wordt er op de lijn meegeluisterd, de informatie kan vanwege encryptie niet worden gelezen door personen waarvoor het niet bedoeld is.

Door middel van een SSL certificaat kan worden bevestigd dat de informatie alleen bij de ontvanger aankomt. Daarnaast kan de ontvanger verifiëren dat de verstuurde informatie daadwerkelijk afkomstig is van de bezochte website en niet van een derde partij met slechte intenties.

Stap 2: Verschillende SSL-certificaten; welke is de juiste keuze?

Als u gebruikt wilt maken van SSL-encryptie, dan zult u een SSL-certificaat moeten aanvragen. U moet er echter rekening mee houden dat het voltooien van een aanvraag een poos kan duren. De tijdsduur is afhankelijk van het type certificaat dat u aanvraagt.

U kunt kiezen uit een Domain Validation (DV), Organisation Validation (OV) en een Extended Validation (EV) certificaat. Over het algemeen kiest men voor een DV certificaat. Dit is de meest standaard certificaat en verifieert dat de aanvrager daadwerkelijk het desbetreffende domein beheert. Daarna kan de server versleutelde informatie uitwisselen met de bezoeker.

In het OV certificaat wordt naast het domeinbeheer ook de bedrijfsnaam in het certificaat vermeld wordt. Dit is echter niet zichtbaar in de adresbalk zelf maar enkel op het certificaat. Wilt u dat de bedrijfsnaam duidelijk aangetoond wordt in de adresbalk, dan kunt u voor een EV certificaat kiezen.

Stap 3: Laat uw certificaat ondertekenen door een vertrouwde Certificate Authority

Wanneer u eenmaal een SSL certificaat heeft ontvangen, kunt u in principe al communicatie tussen uw server en bezoekers versleutelen. Iedere bezoeker moet dan wel iedere keer uw certificaat ondertekenen. Dit laatste is voor een publieke website een flinke belemmering.

U kunt dan het beste uw certificaat laten ondertekenen door een Certificate Authority. Wanneer uw certificaat eenmaal door een CA ondertekend is, zullen de meest gangbare browsers uw certificaat automatisch accepteren.

Hoe laat u uw certificaat ondertekenen?

Om een antwoord op deze vraag te geven, is het belangrijk dat u weet dat een certificaat uit twee sleutels bestaat: een private en een public key. De private key moet, zoals de naam al aangeeft privé blijven en zal dus op de server worden geparkeerd. U wilt dus de public key, de key die aan de bezoeker wordt aangeboden, laten ondertekenen.

U kunt door middel van programma's als openSSL op uw server zowel een private key als een zogeheten CSR, een Certificate Signing Request, genereren. Deze CSR kunt u dan aan een CA overhandigen voor het ondertekenen van uw certificaat. In het geval van een DV certificaat zal dit redelijk snel gaan en zult u mogelijk enkel gevraagd te worden uw e-mail te verifiëren. Voor de EV/OV certificaten zult u rekening moeten houden met een langere wachttijd en zal er om meer informatie gevraagd worden.

Wanneer de CA uw certificaat ondertekend terugstuurt (verwachte tijdsduur voor DV; 24 uur, verwachte tijdsduur voor OV/EV: 14 dagen) kunt u deze op uw server parkeren en aan bezoekers aanbieden.

Stap 4: SSL toepassen op uw website

U hebt dus nu de mogelijkheid een SSL verbinding tot stand te brengen, maar waar past u deze toe. U kunt er voor kiezen om uw hele site of slechts enkele pagina's via een SSL verbinding te versleutelen.

Als u gebruik maakt van een CMS als DNN dan kunt u door middel van instellingen aangeven welke pagina's wel en niet gebruik maken van een SSL verbinding. Houd daarbij rekening mee dat een SSL-verbinding juist een veilig gevoel moet kweken. Op pagina's met veel content van andere bronnen, is de kans dat er een waarschuwing in beeld komt erg groot en dit zorgt juist voor wantrouwen.

Het is overigens mogelijk om content dat op een andere site gehost wordt te isoleren. Dit kunt u doen door middel van de <code></code> tags. Hiermee heft u de SSL-verbinding voor de code tussen de tags handmatig op.

Stap 5: Uw nieuwe HTTPS pagina klaarstomen voor Google

Wanneer u eenmaal uw HTTP website overgezet heeft naar een HTTPS site, dan is het belangrijk dat u de oude HTTP pagina's laat doorverwijzen naar uw nieuwe pagina's. Anders ziet Google deze pagina's als foutieve pagina's en zult u juist achteruit gaan in de zoekindex.

U kunt de oude pagina's doorverwijzen door deze de HTTP status code 301 toe te wijzen. Door middel van tools als de Redirect Check Tool kunt u controleren welke pagina's u nog deze status moet toewijzen.

Voor een degelijke analyse met Google Webmasters Tools, is het daarnaast belangrijk dat u uw nieuwe site inlaadt. Als u uw oude website blijft gebruiken voor het draaien van de analyse, zult u zien dat de resultaten na loop van tijd afnemen.

Mogelijke bezwaren tegen een SSL certificaat

Als u ervoor kiest om een SSL certificaat aan te bieden aan bezoekers, dan is het belangrijk om er rekening mee te houden dat sommige certificaten simpelweg niet goed geladen kunnen worden door browsers. Er zijn naast desktop browsers nu ook verschillende populaire mobiele browsers.

Wilt u controleren of uw certificaat door alle populaire browsers geaccepteerd wordt, dan kunt u het beste een externe analyse tool zoals Qualys draaien.

Als u dus vooral een HTTP website wilt omdat Google aangeeft dat het belangrijk gaat worden voor het bepalen van zoekresultaten, dan is het mogelijk dat het meer kwaad dan goed zal doen voor uw positie. Niet alleen kan uw site opeens niet goed meer werken op verschillende browsers. Het laden van een SSL certificaat kost tijd. HTTPS sites zijn dus iets trager en een lange laadtijd heeft ook weer een negatief effect op SEO.

Aan de andere kant is het instellen van een SSL certificaat een goede zaak als uw bezoekers behoefte hebben aan extra veiligheid. Als uw bezoekers regelmatig informatie ontvangen en versturen van uw server, dan is een SSL certificaat geen overbodig luxe. Het is aan te raden om in dat geval meteen voor een EV certificaat te kiezen.