Steven Heyse

cyber securityHSTSinternetveiligheid

10.05.2019 - Storytelling

Speel op veilig, kies voor HTTPS

Dat ook internetveiligheid of cyber security een onderwerp is dat vandaag de dag enorm leeft, hoeven we je ongetwijfeld niet te vertellen. Er gaat geen dag voorbij of je hoort wel iets over gehackte databases, gestolen bedrijfsgegevens of gelekte wachtwoorden.

Als bedrijf is het niet alleen cruciaal dat je eigen gegevens honderd procent veilig zijn, het is ook je verdomde plicht om je klanten en de gebruikers van je website diezelfde veiligheid te bieden. Ook Google is die mening toegedaan en heeft er een erezaak van gemaakt om actief te strijden voor meer veiligheid op het web. Hoe ze dat doen? Door beveiligde websites in zoekresultaten een duwtje in de rug te geven, maar ook door in hun browser Chrome sites te kijk te zetten die nog geen gebruik maken van het HTTPS-protocol.

SSL, TLS en HTTPS: de veilige drievuldigheid

HTTPS staat voor HyperText Transfer Protocol Secure. Het is een uitbreiding van het bekende HTTP-protocol, dat instaat voor de communicatie tussen een webclient (zoals een browser) en een webserver. Het verschil tussen HTTP en HTTPS zit hem in de beveiliging van de gegevensuitwisseling. Bij HTTPS worden de data namelijk versleuteld, zodat het voor mensen met slechte bedoelingen in principe onmogelijk wordt om te achterhalen welke gegevens er via het internet verstuurd worden.

Die versleuteling gebeurt op basis van het protocol TLS, wat staat voor Transport Layer Security. TLS is de opvolger van het nog altijd meer bekende SSL-protocol (Secure Sockets Layer). TLS encrypteert en beveiligt de data niet alleen, het voorziet ook een certificaat waarmee de servers zich moeten bekendmaken. Officieel zijn dit TLS-certificaten, al wordt er vaak ook nog – verkeerdelijk – over SSL-certificaten gesproken. Dankzij deze certificaten weten gebruikers altijd zeker dat ze met de correcte server communiceren. Vlak voor en na de versleuteling van de data verloopt de gegevensoverdracht via HTTPS op exact dezelfde manier als bij het HTTP-protocol.

Dat het gebruik van HTTPS cruciaal is bij de uitwisseling van gevoelige informatie, zoals persoonsgegevens of betalingsgegevens is nogal wiedes, maar in principe is het nuttig bij élke gegevensoverdracht op het internet. Niemand heeft toch graag dat onbekenden zomaar kunnen achterhalen wat jij online allemaal uitspookt?

Googles zetje richting meer veiligheid

Al in 2014 brak Google een lans voor het gebruik van het HTTPS-protocol. In een blogpost stelde de internetgigant dat het er alles aan deed om zijn eigen diensten (Search, Gmail, Google Drive, …) zo veilig mogelijk te maken. Maar daarnaast droomde het bedrijf van een internet dat volledig uit veilige websites bestaat.

Om sitebeheerders alvast een duwtje in de juiste richting te geven, maakte Google het voornemen bekend om websites die gebruikmaken van het HTTPS-protocol te belonen door hen beter te laten scoren in de Google-zoekresultaten. Je website uitrusten met een SSL-certificaat werd plotseling ook een stuk interessanter vanuit SEO-standpunt. Oorspronkelijk was dat inderdaad maar een beperkte stimulans: deze maatregel had slechts effect op 1 procent van alle zoekopdrachten wereldwijd en andere factoren, zoals content van hoge kwaliteit, wogen veel zwaarder door. Maar het bedrijf liet al doorschemeren dat het almaar meer belang zou hechten aan het gebruik van HTTPS …

Onveilige websites aan de schandpaal van Chrome

Sinds 2018 is Googles afkeer voor websites die nog altijd gebruikmaken van het onveilige HTTP-protocol overduidelijk. Terwijl voorheen HTTPS-sites in Chrome het label ‘secure’ kregen, draaiden de rollen geleidelijk aan om. Eerst werden enkel de sites zonder encryptie die paswoorden en kredietkaartgegevens verzamelen gelabeld als ‘not secure’, later dook de melding op telkens als gebruikers data ingaven op onbeveiligde pagina’s én op alle HTTP-pagina’s die in ‘incognito mode’ bezocht werden.

Het uiteindelijke doel van Google? Van HTTPS het nieuwe normaal maken. Sinds enige tijd wordt ‘secure’ namelijk niet meer getoond in Chrome, maar krijgen HTTP-pagina’s daarentegen een rode waarschuwingstekst ‘not secure’ zodra gebruikers data beginnen in te geven. De boodschap voor sitebeheerders is duidelijk: migreer zo snel als mogelijk van HTTP naar HTTPS.

HTTPS implementeren op je eigen website

Google geeft enkele praktische tips voor wie zelf wil migreren naar HTTPS of voor wie ‘from scratch’ een HTTPS-site wil bouwen:

1. Haal een betrouwbaar certificaat in huis

Zoals gezegd heb je voor het HTTPS-protocol een beveiligingscertificaat nodig. Die worden uitgegeven door een certificeringsinstantie of Certificate Authority (CA):

  • Kies hiervoor een betrouwbare partner die ook technische ondersteuning biedt. Bekende aanbieders van TLS-certificaten zijn onder meer Comodo, IdenTrust, Symantec, GoDaddy en GlobalSign. Een certificaat hoeft trouwens niet per se veel geld te kosten. Let’s Encrypt is bijvoorbeeld een CA die gratis certificaten aanbiedt en die wordt ondersteund door Google.
  • Kies het juiste type certificaat: voor één webdomein (bv. jouwbedrijf.com), voor meerdere webdomeinen (jouwbedrijf.be en jouwbedrijf.nl) of voor diverse subdomeinen.
  • Kies een 2048-bits sleutel voor een hoog beveiligingsniveau.

2. Gebruik 301-omleidingen aan de serverkant

Leid zoekmachines en gebruikers om naar de HTTPS-pagina of -bron met 301 HTTP-omleidingen aan jouw serverkant.

3. Zorg voor een optimale indexatie door Google

  • Gebruik geen txt-bestanden om HTTPS-pagina’s te blokkeren – behalve degene die je effectief wil blokkeren, zoals admin subdirectories, …
  • Gebruik geen noindex-metatags op je HTTPS-pagina’s, tenzij bijvoorbeeld op bedankpagina’s en andere pagina’s die dit sowieso moeten behouden.
  • Controleer of de Googlebot toegang heeft tot je pagina’s. Google Search Console kan je daarbij helpen. Je kunt bijvoorbeeld je belangrijkste pagina’s op regelmatige basis fetchen om na te gaan of ze goed worden gecrawld. Daarnaast kun je ook aan de slag gaan met de txt-tester: met deze tool test je of url’s toegankelijk zijn. Daarbij wordt rekening gehouden met de instructies in je robots.txt-bestand.

4. Bied ondersteuning voor HSTS (en HSTS-preloading)

HSTS of HTTP Strict Transport Security zorgt ervoor dat een gebruiker altijd de beveiligde HTTPS-pagina’s te zien krijgt, ook al heeft hij of zij expliciet ‘http’ in de adresbalk getypt. Daarnaast waakt dit mechanisme er ook over dat de beveiligde url’s worden weergegeven in de Google-zoekresultaten. Op die manier blijft het risico dat er niet-beveiligde content te zien is, heel klein.

Wil je HSTS ondersteunen op jouw site, dan moet je daarvoor een geschikte webserver gebruiken en moet je de functionaliteit inschakelen. Google raadt aan om de HTTPS-pagina’s eerst te implementeren zonder HSTS en vervolgens de prestaties te monitoren terwijl je de ‘max age’-waarde langzaam opvoert. Levert dat geen problemen op, dan kun je ten slotte vragen om je site toe te voegen aan de lijst voor HSTS-preloading waar de meeste grote browsers gebruik van maken. HSTS-preloading zorgt voor extra beveiliging en betere prestaties.

 

Dit artikel is een fragment uit onze gloednieuwe – en gratis! – whitepaper ‘Scoren met SEO – Nu en in de toekomst’. Wil je je SEO-kennis verder bijspijkeren? Download hem dan nu!

Steven Heyse

Steven zet beroepsmatig letters in de juiste volgorde. Wie Engels spreekt, mag hem een copywriter noemen. Hij is een liefhebber van vinylplaten en stripverhalen. Ook ‘muzikaal’ actief trouwens, enfin ja ...

Lees meer van Steven