HTTPS: Een must-have of zinloos?

Geplaatst door Sander van 't Hullenaar op 06 januari 2017

De laatste tijd is HTTPS een hot topic. Zowel website eigenaars en website bezoekers vragen zich steeds vaker af of een SSL certificaat (HTTPS) een zinvolle aanvulling is voor een website.

Wat is een SSL Certificaat (HTTPS) eigenlijk?

Wanneer een bezoeker op een website komt en ergens gegevens invult (inlogcodes, persoonsgegevens, etc.) dan worden die verzonden naar de server. Met het gewone HTTP protocol worden deze gegevens onversleuteld verzonden naar de server. Iedereen die de kennis in huis heeft om netwerkverkeer te onderscheppen, kan alle ingevulde gegevens direct zien. Vooral onbeveiligde WIFI netwerken zijn hier vatbaar voor. Deze methode van afluisteren noemt men ‘sniffing’. Wanneer de website wel gebruikt maakt van HTTPS, is dit in 1 klap niet meer mogelijk. Het verkeer kan nog steeds afgeluisterd worden, maar is totaal onbruikbaar. De ingevulde gegevens worden namelijk door het SSL certificaat versleuteld en onherkenbaar verzonden naar de server. Pas op de server worden de gegevens ontcijferd en behandeld.

Voor wie is HTTPS nu echt zinvol?

Om deze vraag goed te kunnen beantwoorden, is het belangrijk om te weten om wat voor soort website het gaat. Of HTTPS een zinvolle toevoeging is, hangt namelijk compleet af van het type website. Zo mag het duidelijk zijn dat het voor bijvoorbeeld een grote landelijke bank zeer zinvol is, aangezien er gevoelige financiële gegevens worden verzonden van de gebruiker naar de server van de bank. Echter voor een familiewebsite waar slechts wat foto’s en teksten op staan zou je niet verwachten dat het daar zinvol zou zijn. Of toch?

Verplicht voor websites die persoonsgegevens verwerken

Verwerkt je website persoonsgegevens zoals bijvoorbeeld een naam, adres of e-mail adres, dan is het zelfs verplicht om ‘adequate maatregelen’ te treffen om deze informatie zo veilig mogelijk te verwerken. In artikel 13 van Wbp (Wet bescherming persoonsgegevens) staat vermeld: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking”. Met een SSL certificaat voldoe je in 1 klap aan de eisen van deze wet.

Hoger in Google met een SSL Certificaat

Heb je een site waarbij het belangrijk is om hoog in Google te komen, dan is antwoord duidelijk. Google heeft namelijk in augustus 2014 aangegeven websites met HTTPS hoger te plaatsen in de zoekresultaten dan websites die dat niet hebben (bron: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html). Het type certificaat (DV, OV, EV (later meer hierover)) is niet relevant. Wel is het belangrijk dat het minimaal een 2048-bit certificaat is en dat een eventuele robots.txt ook via HTTPS gelezen kan worden.

Browsers gaan HTTP als onveilig bestempelen

Een aantal webbrowsers hebben aangekondigd in de toekomst HTTP websites als onveilig te gaan bestempelen. Dit betekent dat iedere bezoeker op je website een melding zal krijgen. Zo gaat bijvoorbeeld Chrome vanaf januari 2017 websites met invulvelden als “not secure” (niet veilig) weergeven in de adresbalk, dit zal er dan als volgt uitzien.

Google is de voorloper hiermee, echter is de verwachting dat alle browsers dit voorbeeld zullen gaan volgen. En als je weet dat Chrome een van de meest gebruikte browsers van het moment is, dan is het sowieso zinvol om een HTTPS omgeving te realiseren als je webformulieren op je website hebt staan.

Bepaal zelf of je een certificaat nodig hebt

Als je werkt met persoonsgegevens (al is het maar een contactformulier) ben je sowieso verplicht tot het nemen van een SSL certificaat. In andere gevallen heb je zelf de keuze of je een SSL certificaat aanschaft of niet. Dus interesseert de Google positie of een eventuele waarschuwing in de browser van de bezoeker je niet, neem dan geen certificaat. Als 1 van deze zaken je wel interesseert, zorg dan dat je website ook met HTTPS zal gaan werken.

3 verschillende SSL types (DV, OV en EV)

Er zijn 3 verschillende types van het SSL certificaat:
DV – Domain Validation
OV – Organisation Validation
EV – Extended Validation
In alle gevallen is een DV certificaat voldoende, dat is het basis certificaat welke de gegevens versleuteld, niets meer en niets minder. Dit is tevens het goedkoopste certificaat.

Bij een DV certificaat is echter niet je bedrijfsnaam opgenomen in het certificaat. Bij een OV certificaat is dit wel het geval. Dit is ook zichtbaar voor je website bezoeker. Staat jouw bedrijfsnaam vermeld in het certificaat, dan weet de gebruiker dat de gegevens versleuteld zijn én dat zijn gegevens naar jouw bedrijf gaan.

Nog een stapje verder is het EV certificaat. Dit certificaat geeft de bekende ‘groene adresbalk’. Net als bij een OV is de bedrijfsnaam gevalideerd en opgenomen in het certificaat. De groene adresbalk straalt het meeste vertrouwen uit voor je klant.

De keuze voor het type certificaat is dus puur een keuze betreft uitstraling. Als uitstraling niet relevant is en het puur gaat om de versleuteling, kies dan voor een DV.

OK, ik wil ook over naar HTTPS, hoe doe ik dat?

Om over te gaan naar HTTPS hoef je niets aan te passen aan je website. Het enige wat je nodig hebt is een SSL certificaat. Die vraag je heel eenvoudig aan via onze website of direct vanuit de webhosting-manager. Wanneer je de aanvraag voor het certificaat hebt gedaan hoef je verder niets meer te doen, wij regelen de rest, van aanvraag bij de uitgeversinstantie tot installatie op jouw website.

Vraag nu direct jouw SSL Certificaat aan
Bestel nu jouw eigen SSL certificaat vanaf slechts € 10,- Bekijk Certificaten
7000+ klanten gingen je al voor en beoordelen ons met een 9.5!

Laatste artikelen

bekijk alle artikelen

Blijf op de hoogte

Like onze Facebook of Google+ pagina en blijf op de hoogte van aanbiedingen, leuke tips en nieuws.



Vragen of hulp nodig?