15-02-2016

Het wat, hoe en waarom van HTTPS

Verhoog de veiligheid van je website met een SSL certificaat

Sinds bekend is geworden dat HTTPS een ranking factor in Google is, vragen veel webmasters zich af hoe groot de invloed van dit ranking signaal nu eigenlijk is. Want hoewel een overstap naar SSL zelden een slechte keuze is, schrikken de mogelijke kosten en problemen vooralsnog veel mensen af.

Wij krijgen dan ook vaak de vraag: is een overgang naar HTTPS alle moeite wel waard? Om die vraag te beantwoorden, is het noodzakelijk om eerst te begrijpen wat HTTPS precies is. Pas dan wordt écht goed duidelijk welke invloed het heeft op jouw website en de ranking ervan in de zoekresultaten.

https

Wat is HTTPS nu eigenlijk?

De meeste websites maken nu nog gebruik van het HTTP protocol. De URL’s van deze websites beginnen met ‘http://’ en gebruiken standaard poort 80. HTTPS vormt een alternatief voor dit bestaande protocol en verhoogt de veiligheid door data versleuteld te versturen.

Deze versleuteling vereist de installatie van een zogenaamd SSL certificaat. Elke domeinnaam ontvangt een uniek SSL certificaat, waardoor zo’n certificaat niet is te emuleren of kopiëren. De op een website verstuurde informatie is hierdoor voor buitenstaanders nauwelijks te achterhalen.

De prijzen voor een SSL certificaat lopen sterk uiteen. Sommige hostingbedrijven vragen enkele tientjes per jaar, terwijl anderen tot wel duizenden euro’s in rekening brengen. De exacte prijs is onder meer afhankelijk van zaken als de complexiteit van de versleuteling, aanvullende browserfunctionaliteiten en dekking in het geval van een eventueel beveiligingslek.

Wanneer een website eenmaal beveiligd is met HTTPS, begint de URL van de website met ‘https://’ en maakt deze gebruik van poort 443. Veel webbrowsers tonen links van de adresbalk een groen hangslotje als bewijs dat het een veilige website betreft met een geldig SSL certificaat.

webton adresbalk

Waarom is HTTPS in opkomst?

In een tijdperk van toenemende digitalisering neemt ook de behoefte aan een verhoogde veiligheid toe. Online winkelen, internetbankieren, webmail en andere online applicaties: het zijn allemaal voorbeelden van dagelijkse activiteiten waarbij gevoelige informatie wordt verstuurd. Dit betekent een extra risico op onderschepping door kwaadwillenden.

Maar niet alleen particulieren lopen risico, ook grote bedrijven worden online steeds vaker op de korrel genomen door criminelen. Regelmatig verschijnen er nieuwsberichten over hacks bij grote ondernemingen of het uitlekken van geheime dossiers. En cyber warfare vormt volgens veiligheidsdiensten tegenwoordig een grotere bedreiging dan terrorisme.

Iedereen is het er dan ook over eens: een verhoogde online veiligheid is anno 2016 van het grootste belang. En laat dit nu precies zijn wat HTTPS biedt.

HTTPS en Google: liefde op het eerste gezicht

Het is daarom niet verrassend dat HTTPS de aandacht van Google trok. Een verhoogde veiligheid leidt immers tot een betere online gebruikerservaring. En dit laatste is een van Google’s grootste doelen.

In augustus 2014 kwam het bedrijf dan ook met het volgende statement op de officiële Webmaster Central Blog:

  • “Naar aanleiding van positieve resultaten gaan we HTTPS gebruiken als ranking signaal. Op dit moment is het nog een uitermate licht signaal, dat minder dan 1% van de zoekopdrachten wereldwijd beïnvloedt en minder belangrijk is dan andere ranking factoren zoals kwalitatief hoogwaardige content. We geven webmasters momenteel de tijd om over te stappen naar HTTPS. In de loop van de tijd zouden we echter kunnen besluiten om dit ranking signaal zwaarder te laten wegen. Op deze manier moedigen we alle website eigenaren aan om de overstap van HTTP naar HTTPS te maken, wat resulteert in een veiliger web.”

Elders in het bovenstaande blogbericht vergelijkt Google het gebruik van het HTTPS ranking signaal met dat van sitesnelheid. Het zoekmachine algoritme kijkt namelijk alleen naar de laadsnelheid van een website, wanneer er een keuze gemaakt moet worden tussen twee websites die vergelijkbaar scoren op overige ranking factoren.

In de praktijk betekent dit het volgende voor websites met een SSL certificaat: wanneer Google moet kiezen tussen een HTTP website en een HTTPS website en beide sites hebben vergelijkbare ranking signalen, dan zal de HTTPS site de voorkeur krijgen en hoger geplaatst worden in de zoekresultaten.

Inmiddels zijn we anderhalf jaar verder en begint online veiligheid een steeds belangrijker thema te worden. Veel mensen geloven daarom dat Google zijn belofte waarmaakt en HTTPS steeds zwaarder laat wegen als ranking factor. Dat zou betekenen dat een keuze voor HTTP of HTTPS flinke gevolgen kan hebben voor de rankings van je website, zowel nu als in de toekomst.

Wel of niet overstappen naar HTTPS?

Hoewel de meningen over de huidige invloed van HTTPS als ranking signaal uiteen lopen, lijdt één ding geen twijfel: een SSL certificaat voor je website is vrijwel nooit een nadeel en bijna altijd een (klein) voordeel.

Gezien de kosten van een certificaat en de moeite van een overstap, is het echter de vraag of jouw website ook over moet gaan naar HTTPS. Hieronder sommen we de belangrijkste overwegingen op die je moet maken:

Veiligheid wordt steeds belangrijker (ook voor Google)

We zeiden het al eerder: Google houdt van een vloeiende gebruikerservaring. Hieruit volgt automatisch dat Google een afkeer heeft van zaken zoals spam en dus waarde hecht aan veiligheid. Het beleid van de zoekmachine is er dan ook op gericht om een hogere veiligheid op het web te stimuleren.

HTTPS versleuteling van data is een van de manieren om deze verhoogde veiligheid te realiseren. Online gebruikers kunnen hierdoor veilig hun creditcard gebruiken in een webwinkel, e-mails met vertrouwelijke informatie versturen en formulieren met belangrijke gegevens invullen. De kans op diefstal van al dit soort gevoelige data is dankzij een SSL certificaat minimaal.

ssl

Maar heeft deze verhoogde veiligheid dan alleen maar voordelen? Helaas, net als in de echte wereld moet er voor een veiliger web op andere gebieden worden ingeleverd.

Toenemende beveiliging maakt het voor webmasters bijvoorbeeld steeds lastiger om informatie te verzamelen over de bezoekers op hun site. Een paradox, want deze gegevens zijn noodzakelijk om content te individualiseren en mensen zo een betere gebruikerservaring te bieden. Een belemmering hiervan kan dus nooit Google’s bedoeling zijn.

Toch zijn er nog meer indicaties dat Google veiligheid in toenemende mate prioriteert boven andere belangen. Zo was er in het verleden flink wat ophef over het zoekwoord ‘(not provided)’ in Google Analytics.

Sinds een aantal jaar biedt Google namelijk de optie om te zoeken via een beveiligde verbinding. Ook versleutelt de zoekmachine zoekresultaten steeds vaker automatisch om de privacy van gebruikers te beschermen. Een webmaster ziet in Google Analytics dan het zoekwoord ‘(not provided)’, in plaats van het daadwerkelijke zoekwoord waarmee de gebruiker op zijn website is beland.

Dit is slechts een van de vele voortekenen die erop wijzen dat Google privacy en veiligheid steeds belangrijker vindt, desnoods ten koste van andere zaken. Erkenning van deze tendens is belangrijk bij een keuze voor HTTP of HTTPS.

Wil je zeker weten dat je site op de toekomst is voorbereid? Dan zal een SSL certificaat zeker op de goedkeuring van Google kunnen rekenen.

Ranking voordeel voor websites met HTTPS

Zoals we eerder al benoemden, zal Google een HTTPS website de voorkeur geven boven een HTTP website bij gelijkwaardige ranking signalen. Althans, zo lagen de verhoudingen volgens het bedrijf zelf in augustus 2014. Bijna anderhalf jaar later rijst de vraag of de invloed van HTTPS op de zoekresultaten niet verder gaat dan dat.

Meerdere SEO-experts hebben situaties gemeld waarin HTTPS websites boven HTTP sites rankten, zelfs wanneer de betreffende HTTP sites hoger scoorden op belangrijke ranking factoren zoals Domein Autoriteit (Domain Authority). De HTTPS encryptie was schijnbaar de oorzaak voor de hogere posities van de HTTPS websites in de zoekresultaten.

Anekdotisch bewijs is echter niet voldoende om met zekerheid te kunnen stellen dat HTTPS tegenwoordig zwaarder weegt als ranking signaal. Toch is er onmiskenbaar een ontwikkeling zichtbaar waarbij HTTPS websites niet-beveiligde sites voorbij streven in de zoekresultaten.

HTTPS vermelding in zoekresultaten beïnvloedt gebruikersgedrag

In de zoekresultaten van Google wordt duidelijk weergegeven of een website gebruik maakt van HTTP of HTTPS. De adresregel onder de titel van elke webpagina bevat immers de ‘http://’ of ‘https://’ prefix waaruit blijkt of het een onbeveiligde of een beveiligde site betreft.

webton https

Zo worden gebruikers op een subtiele manier beïnvloed bij hun keuze tussen de verschillende opties in de zoekresultaten. Gebruikers die waarde hechten aan veiligheid, zullen immers eerder geneigd zijn te kiezen voor een website met een SSL certificaat.

Het zoekalgoritme van Google bevat twee belangrijke ranking signalen die gebaseerd zijn op het gedrag van de gebruiker: de Click Through Rate en Dwell Time. Wat de Click Through Rate is hebben we reeds hier uitgelegd, maar Dwell Time is nog een relatief onbekend fenomeen.

Dwell Time is als het ware een combinatie tussen de Bounce Rate en het aantal minuten dat een gebruiker op een webpagina verblijft. De beste manier om de Dwell Time te verbeteren is door content van hoge kwaliteit te schrijven.

Door in de zoekresultaten weer te geven welke websites veilig zijn en welke niet, oefent Google invloed uit op de voorkeur van de gebruiker. Een website met een HTTPS prefix zal eerder clicks krijgen (wat de Click Through Rate verhoogt) en gebruikers zullen hier tevens meer tijd doorbrengen (wat de Dwell Time verbetert). Deze factoren zorgen er vervolgens indirect voor dat de website hoger zal ranken.

Dit is een goed voorbeeld van de wijze waarop zelfs de kleinste elementen in de zoekresultaten elkaar kunnen beïnvloeden en versterken. Dit is wat SEO als vakgebied zo complex maakt en waarom het wijzigen van ogenschijnlijk subtiele details tot grote resultaten kan leiden. En het zou zomaar kunnen dat HTTPS tot deze details behoort.

Sterke content nog altijd leidend voor ranking

Google heeft laten weten dat HTTPS nog altijd minder zwaar weegt dan een belangrijke ranking factor zoals kwalitatief hoogwaardige content. Sterker nog: bijna geen enkel ander ranking signaal kan concurreren met de waarde van content en een nadruk op kwaliteit.

Wanneer je als webmaster te maken hebt met een beperkt budget, sta je dus voor een belangrijke keuze. Is het nu écht de moeite waard om te investeren in een SSL certificaat voor je website? Dat hangt er maar net vanaf.

Een overstap naar HTTPS zal namelijk niet leiden tot een plotselinge explosieve stijging van je website in de zoekresultaten. Je site voldoet simpelweg aan een voorkeur van Google, maar een SSL certificaat is geen magisch ingrediënt voor een stormloop van nieuwe bezoekers.

Content is nog altijd de doorslaggevende factor wanneer je hoger wilt ranken in Google. Heb je beperkte middelen en moet je kiezen tussen een investering in HTTPS of in content? Dan is de keuze eenvoudig: kies altijd voor content.

content is king

Overstappen naar SSL? Wacht dan niet te lang

Hoe meer tijd er verstrijkt, hoe groter de kans dat Google HTTPS zwaarder meeweegt als ranking signaal. Ieder jaar brengt de zoekmachinegigant gemiddeld meer dan 300 veranderingen aan in het algoritme. Dat betekent echter niet automatisch dat HTTPS in 2016 een van deze wijzigingen is.

Google begrijpt ook dat webmasters tijd nodig hebben om over te stappen van HTTP naar HTTPS. De installatie van een SSL certificaat, het wijzigen van oude webadressen en andere noodzakelijke aanpassingen kosten in sommige gevallen veel tijd, geld en moeite. Bovendien is een hoge veiligheid voor de gemiddelde blog van minder belang dan voor bijvoorbeeld de website van een bank.

Het is dan ook de vraag hoeveel tijd Google webmasters zal geven om de switch te maken naar HTTPS. Het lijkt er echter sterk op dat een SSL certificaat in de toekomst een standaard functionaliteit wordt van elke serieuze website. Het uitstellen van een overstap heeft dan ook weinig zin, mits je natuurlijk over de benodigde middelen hiervoor beschikt.

Extra beveiliging leidt tot hogere laadtijden

Een verhoogde beveiliging in de vorm van een SSL certificaat zorgt voor extra encryptie en decryptie van gegevens. De totale hoeveelheid informatie die uitgewisseld wordt neemt toe, waardoor de laadtijd van een website onvermijdelijk iets hoger wordt.

Gelukkig gaat het niet om dramatische snelheidsverschillen. HTTPS zorgt in het uiterste geval voor een halve seconde langere laadtijd op een website. Hoewel vervelend, is de kans klein dat gebruikers hierdoor voortijdig wegklikken.

Ook voor de ranking van je site in Google zal deze bescheiden snelheidsverlaging waarschijnlijk geen negatieve gevolgen hebben. Het algoritme hecht vermoedelijk meer waarde aan de voordelen van een beveiligde verbinding dan aan het nadeel van een halve seconde verschil in laadtijd. Zolang er een goede reden is voor de iets hogere laadtijd, hoef jij je als webmaster geen zorgen te maken over de rankings van je site.

Daarnaast zijn er inmiddels diverse mogelijkheden om het snelheidsverlies door een SSL certificaat te beperken. In een toekomstig artikel zullen we deze opties verder uitdiepen, want het sneller maken van je website zou een belangrijke prioriteit moeten zijn.

Redirects en linkwijzigingen door nieuwe URL-structuur

Een overstap van HTTP naar HTTPS verandert de complete URL-structuur van je website. De toevoeging van dat ene kleine lettertje aan de prefix van je webadres, brengt in potentie dan ook de nodige problemen met zich mee.

https prefix

Het redirecten van oude HTTP-adressen naar de nieuwe HTTPS-URL’s en het wijzigen van interne en externe links, het is allemaal noodzakelijk om de overgang zo soepel mogelijk te laten verlopen.

Want laten we één ding niet vergeten: webpagina’s die door Google niet meer worden gevonden, zullen niet langer ranken in de zoekresultaten. En dan heeft je goedbedoelde investering in een verbeterde beveiliging het tegenovergestelde effect.

Is HTTPS de overstap waard?

Uiteindelijk is het antwoord op deze vraag afhankelijk van je specifieke situatie. Heb je een webwinkel of een andere website waar bezoekers vertrouwelijke informatie moeten invullen? Dan is het een no-brainer. Een SSL certificaat is dan onmisbaar om het vertrouwen van gebruikers te winnen en een subtiel ranking voordeel in Google te behalen.

Heb je een louter informatieve website zoals een blog of een andere site waar veiligheid voor bezoekers minder van belang is? Dan ligt de keuze minder voor de hand.

Google hintte al eerder dat HTTPS in de toekomst een sterkere ranking factor kan worden. Desondanks lijkt het er vooralsnog op dat andere op gebruikersgedrag gebaseerde signalen zoals kwaliteit van content, Click Through Rate, Bounce Rate en Dwell Time een grotere invloed op de rankings van je website zullen hebben.

Toch hebben we eerder in dit artikel uitgelegd dat het bezit van een SSL certificaat een positieve invloed kan uitoefenen op deze factoren. Bovendien ligt het in de lijn der verwachting dat HTTPS in de komende jaren steeds zwaarder gaat meewegen in het algoritme.

Wanneer je beschikt over de middelen om te investeren in een SSL certificaat, kunnen we een overstap dan ook zeker aanbevelen. Je website wordt hierdoor veiliger en ook vanuit rankingperspectief ben je terdege voorbereid op de toekomst. Het kan zomaar zijn dat je hierdoor een voorsprong neemt op de concurrentie.

Heb je echter te maken met beperkte middelen en versturen bezoekers geen gevoelige data via je website? Dan kan het verstandig zijn om eerst eens rustig af te wachten hoe HTTPS zich als ranking signaal in de komende jaren ontwikkelt.

De overgang naar HTTPS: hoe werkt het?

Heb jij je keuze gemaakt en besloten om per direct een SSL certificaat te nemen? Dat is een beslissing waar je je zeker geen buil aan kunt vallen. Het implementeren van redirects en het wijzigen van bestaande links is echter noodzakelijk om de overgang naar HTTPS in goede banen te leiden.

301 redirects om je rankings te behouden

Elke pagina op je website krijgt na de overgang een nieuwe URL die begint met ‘https://’ in plaats van ‘http://’. Dit is potentieel een probleem, want de pagina rankt in Google nog op het oude webadres en ook alle interne en externe links naar het http-adres zullen niet langer werken.

De beste manier om de SEO-waarde van elke pagina te behouden en bezoekers naar de juiste pagina te leiden, is een 301 redirect. De oude HTTP URL wordt hierbij permanent doorgestuurd naar de nieuwe HTTPS URL. Zo rankt de pagina met het nieuwe adres keurig in Google en belanden bezoekers via oude links gewoon op de nieuwe HTTPS-pagina.

redirect

Net zoals HTTP en HTTPS, is ook WWW een veelvoorkomende prefix in webadressen. Het is echter niet noodzakelijk om deze prefix te gebruiken in je URL’s. Wat je ook doet: zorg in ieder geval voor uniformiteit in je webadressen. Maak een keuze voor HTTPS-adressen mét of zónder WWW in de URL en voer deze keuze vervolgens door voor elke webpagina op je site.

Voor onze Belgische zustersite Webton.be gebruiken we bijvoorbeeld HTTPS en WWW. Dit resulteert in het volgende webadres: https://www.webton.be. Deze URL-structuur is consistent voor de gehele website, waardoor het webadres van elke pagina begint met ‘https://www’.

Alle andere mogelijke URL’s voor deze website zoals http://webton.be, http://www.webton.be en https://webton.be worden via een 301 redirect doorgestuurd naar het webadres van onze voorkeur, dat zowel de HTTPS als WWW prefix bevat. Deze redirects zijn niet alleen van toepassing voor de homepage, maar ook voor alle achterliggende pagina’s.

Een webadres zoals http://webton.be/google-geeft-voorrang-aan-https wordt bijvoorbeeld automatisch doorgeleid naar https://www.webton.be/google-geeft-voorrang-aan-https. Zo belandt de bezoeker altijd op de juiste pagina. Ook oudere redirects op je website moeten daarom met terugwerkende kracht aangepast worden om gebruikers naar de goede pagina te leiden.

Interne en externe links wijzigen naar nieuwe webadres

Nog beter dan het aanbrengen van 301 redirects is natuurlijk het aanpassen van de links die naar de oude webadressen verwijzen. Bij interne links is dit gemakkelijker dan bij externe links; als webmaster bezit je immers de rechten om alle links op je eigen website aan te passen.

Het handmatig wijzigen van al je interne links kan echter een flinke klus zijn, zeker als je website de nodige content bevat. Je website bevat namelijk meer links dan je denkt.

Niet alleen verwijzingen naar andere webpagina’s, maar ook links naar afbeeldingen in je geschreven content moeten worden gewijzigd. En dan hebben we het nog niet eens over het rel=”canonical” linkelement, de CSS stylesheet, de XML sitemap en de robots.txt… Een flink karwei dus, maar wel de moeite waard om de overgang naar HTTPS soepel te laten verlopen.

Lastiger is het aanpassen van externe links, omdat deze links vaak afkomstig zijn van externe websites. Hierdoor moet een andere webmaster de link op jouw verzoek wijzigen. Externe links vanaf je social media kanalen en in advertenties zijn natuurlijk wel relatief gemakkelijk te veranderen.

Conclusie

Na het lezen van dit artikel weet jij precies wanneer, waarom en hoe jouw website de overstap moet maken naar SSL. Besteed na de invoering van HTTPS de nodige aandacht aan controle van belangrijke elementen zoals links en 301 redirects.

Gebruik bijvoorbeeld Google Search Console om de website te monitoren of Google Pagespeed Insights om te zien of de overgang heeft geleid tot een snelheidsdaling. Zo hou je altijd de controle en kun je indien nodig snel veranderingen doorvoeren.

Hulp nodig bij de implementatie van SSL?

Hoewel dit artikel je alle benodigde informatie biedt om SSL snel op je website te implementeren, kan het zijn dat je er als een berg tegen opziet. Helemaal niet zo raar!

In dat geval helpen we je graag een handje. De technische experts van Webton bespreken jouw specifieke wensen en zorgen ervoor dat de overstap naar HTTPS geruisloos verloopt. Meer informatie? Vraag een vrijblijvend adviesgesprek aan of informeer naar de mogelijkheden via info@webton.nl of bel naar 074 – 3030400.

Vind je dit een interessant bericht? Deel het!