Ik hoef toch geen https ?
"Je hoeft geen https voor je website, dat is alleen voor banken". Dat was de ietwat kort door de bocht uitleg die een klant eerder deze week van zijn vader had doorgekregen.
Alhoewel de opmerking waarschijnlijk met de beste bedoeling was gemaakt, dus toch even uitleggen en de moeite om er een blogbericthje aan te wijden.

Wat is HTTPS
Telkens wanneer je surft op het internet wordt er informatie uitgewisseld tussen je webbrowser en de internetserver waarop je site wordt gehost. Met het alomgekende http (hypertext transfer protocol) verloopt die communicatie onbeschermd en is dus de volledige code leesbaar. Dit maakt het natuurlijk heel erg vatbaar voor hackers en mensen met kwade bedoeling om die code te onderscheppen en in hun belang aan te passen. Niet enkel de code die er voor zorgt dat plaatjes en tekst op je website verschijnen, maar net zo goed de informatie die je invult in een paswoordbox, een invulformulier passeert dus voyageert dus vrij over het net.
Met https wordt die stroom aan informatie versleuteld of ge-encrypteerd. De -S die er bij komt staat voor Secure. Daardoor wordt die datastroom onleesbaar gemaakt en wordt deze pas in jouw eigen webbrowser opnieuw ontcijferd, of net omgekeerd voor de trafiek die teruggaat. Op die manier kan er op de tussenweg niet geknoeid worden met de data, en verloopt alles een stuk veiliger.
Versleuteling vereist een SSL certificaat
SSL staat voor Secure Socket Layer. Een extra laagje bovenop de datastroom dus, die wordt versleuteld door middel van een Sleutel of Key. Geen echte sleutel natuurlijk, maar een certificaat en een public key die met elkaar zijn vertrouwd en een ingewikkelde berekening uitvoeren waardoor de data voor wie niet over de sleutel beschikt niet of zeer moeilijk te ontcijferen wordt. Er bestaan eenvoudige certificaten en complexere voor nog hogere beveiliging. Daarom verschilt zo een certificaat ook in kostprijs. Geen paniek, voor de gemiddelde website volstaat een eenvoudig domein-certificaat (128 of 256 bits versleuteling) en dat heb je al voor een paar Euro per jaar.
Hoe beveilig je je website dan
Wie zijn site heeft gehost bij een online dienst zoals Wix of Weebly hoeft helemaal niks te doen. Deze services zorgen zelf voor het versleutelen van de website en meestal staat dit zelfs standaard al aan. Bij het aanvragen of koppelen van je domeinnaam wordt het certificaat automatisch aangemaakt en surfers worden automatisch doorgestuurd van de beveiligde variant van de site.
Heb je een website (Vb Wordpress) die je bij een hosting provider onderbrengt, dan kan je meestal je certificaat ook bij het hostingbedrijf (Vb Combell, One, … kopen en dien je dat vervolgens te installeren. Meestal bieden hostingbedrijven ook de nodige ondersteuning. Ten slotte kan je natuurlijk altijd terecht bij de webdeveloper of je marketingpartner die dat voor je kan regelen. Vergeet niet dat je meestal wel nog moet zorgen voor de redirect, zodat bezoekers worden omgeleid naar de https website. En ook de gegevens in Google Search console en Google analytics worden wil je correcte tracking van je trafiek ontvangen.
Waarom omschakelen ?
Wel ten eerste omwille van de beveiliging natuurijk. Wil dat zeggen dat je site niet meer vatbaar is voor hackers, of dat je geen phishing e-mails meer kunt krijgen ? Neen; maar je site niet versleutelen is anderzijds de kat bij de melk zitten en dat wil je niet. Beschouw het dus een beetje als de minimum standaard die je best voorziet.
Die minimum inspanning is vooral goed voor je betrouwbaarheid en professionele uitsraling. Voor wie een webwinkel heeft of online betalingen aanvaardt is dat natuurlijk al langer een zaak. Veel betalingspartners hebben hun verkeer al lang uitsluitend in https en vereissen dat ook je eigen website beveiligd is.
Maar ook gebruikers letten er meer en meer op, en zullen niet graag hun gegevens nalaten op je website. Wie als webbrowser Chrome gebruikt wordt al een tijdje geconfronteerd met de veiligheid van sites omdat er vrij duidelijk getoond wanneer een site niet veilig. Ook Safari en Edge laten beveiligde sites zien door een slotje te tonen voor de URL.

Google en HTTPS
Niet alleen gebruikers letten op beveiliging. Ook Google let erop. Op dit moment beloont Google beveiligde sites reeds door ze als professioneler te beschouwen en hoger te ranken in haar zoekindex. Al bleef deze factor tot nu toe laag, in verhouding tot alle andere SEO optimalisatie technieken (zoals content optimizatie, keywords, content structuur, sitemap, backlinks, enz)
Vanaf Oktober 2017 zullen ze echter hun inspanningen om het hele net uiteindelijk naar https om te schakelen opdrijven, door sites die nog http gebruiken ook als "onveiig" te markeren. Wellicht zal ook het belang van https in de ranking fors toenemen en zullen onveilige pagina's zowiezo naar achter in de ranking verschuiven
Moet je nu paniekeren ?
Ik denk het niet. Net zoals met de maatregelen rond mobiele websites eerder kondigt Google wijzigingen ruimschoots op tijd aan om iedereen toe te laten zijn sites aan te passen. Aanpassingen verlopen gewoonlijk heel geleidelijk. Het is niet zo dat in oktober het Google algorithme ineens zo drastisch zal wijzigen waardoor je niet beveiligde site naar achter schiet in de search ranking. Maar niets doen is ook geen optie. Want wat zeker is dat door alle media-aandacht die hier naartoe gaat gebruikers wel waakzamer zullen zijn, en je wilt vast niet dat bezoekers jouw site als onbetrouwbaar of verouderd beschouwen.
Conclusie
Https wordt de niewe norm en http de uitzondering. Niet andersom zoals sommigen blijkbaar nog altijd denken.
Staat je site nog niet in HTTPS talm dan niet langer en neem actie. Weet je niet hoe je het zelf moet oplossen, laat je dan assisteren door je webhost, developer of contacteer CONTENTeR.be voor verder advies.
Meer informatie en technische aanbevelingen van Google zelf kun je hier lezen