Een met HTTPS beveiligde website: hype of noodzakelijk?

Er is de laatste tijd veel om te doen: het hangslotje in de browserbalk. Het geeft aan dat er een beveiligde verbinding is met de website, zodat je met een gerust hart door de website kunt surfen. Is jouw website al voorzien van zo'n beveiligde verbinding? Is dat nodig, of is het weer een hoop gedoe om niks?

Het hangslot-icoontje wordt zichtbaar in de adresbalk als een webpagina beschikt over een SSL-certificaat. Een SSL-certificaat zorgt vervolgens voor de mogelijkheid om een versleutelde verbinding te kunnen maken tussen de webserver en de computer van haar bezoekers. Omdat alle gegevens van en naar de website in "geheim schrift" worden verstuurd, kunnen wachtwoorden en persoonlijke gegevens niet zomaar onderschept worden. Ook kan hiermee de authenticiteit van het bedrijf achter de website worden gecontroleerd.

Hype én noodzakelijk

Zonder je iets te willen verkopen wat je niet nodig hebt, zijn er misschien toch een paar prima redenen te noemen waarom ook jij een SSL-certificaat zou moeten hebben op je website:

1. Wettelijke verplichting
2. Beter scoren in de zoekresultaten
3. Voorkom waarschuwingen van de browser
4. Betrouwbare uitstraling
5. Zelf veiliger je website beheren

1. Wettelijke verplichting

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Ook wel bekend onder de naam General Data Protection Regulation (GDPR). Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de gehele Europese Unie (EU). Daarmee wordt er van je verwacht dat je helder bent over welke persoonsgegevens je bewaard en dat je deze data te passend beveiligd. Er kunnen boetes worden uitgedeeld als je deze beveiliging niet op orde hebt.

Heb je een formulier op je website waarmee je persoonlijke gegevens van je bezoekers vraagt? Je bent dan bezig met de verwerking van persoonsgegevens. En dus ben je wettelijk verplicht om passende technische maatregelen te nemen om de overdracht van die gegevens veilig te maken en te houden. Wat precies een "passende maatregel" is staat niet vast, maar een normale onbeveiligde verbinding is waarschijnlijk niet genoeg. Een SSL-certificaat op je website is in ieder geval een aantoonbare technische beveiligingsmaatregel.

2. Beter scoren bij zoekmachines

Al in 2015 maakten de ontwikkelaars van Google bekend, dat beveiligde websites voorrang zouden gaan krijgen in de natuurlijke zoekresultaten. Welk ‘gewicht’ er aan deze eigenschap wordt gegeven is niet bekend (daar spreken ze bij Google nooit over), maar wel dat het van invloed gaat zijn op de volgorde van de zoekresultaten.

Je vindbaarheid wordt dus posifitief beinvloed door het beveiligen van je website met een SSL-certificaat. En ergens is dat ook wel logisch. Een website-eigenaar die een beveiligde verbinding aanbiedt, neemt zijn/haar website serieus. Het is aannemelijk dat de kwaliteit van de content dan ook wel beter zal zijn dan gemiddeld. Als jouw website even goed scoort bij Google als een andere, kan het hebben van een beveiligde verbinding de weegschaal naar jouw website doen doorslaan.

3. Waarschuwingen door browsers

Met de komst van versie 56 van Chrome heeft Google weer een stap gemaakt richting een veiliger internet. Google Chrome zal (net als de nieuwste versie van Firefox) webpagina’s die niet voldoen aan de gestelde veiligheidseisen gaan aanduiden als “Niet veilig”.

Deze “Niet veilig” classificatie wil nog niet zeggen dat mensen niet meer op je webpagina kunnen komen. In de adresbalk van de browser zal vóór jouw domeinnaam als waarschuwing "Niet veilig" komen te staan, op pagina's waar bijvoorbeeld een wachtwoord of betaalgegevens kunnen worden ingevuld. Dat zal zeker bezoekers afschrikken, althans dat hoopt Google.

Het staat ook niet zo fraai: "Niet veilig" - pal naast je domeinnaam...

4. Betrouwbare uitstraling

Een belangrijke taak van een website is het creëren van een gevoel van vertrouwen. Jouw diensten zijn oplossingsgericht of jouw producten prima in orde. Pas als een bezoeker het vertrouwen heeft dat via jouw website zijn probleem kan worden opgelost, komt ie in actie.

Een hangslotje in de browser zal bijdragen aan het toenemen van dat vertrouwen - zelfs als er helemaal geen wettelijke reden is om dat te doen.

5. Beveiligd je website beheren

Niet alleen jouw potentiële klanten hebben baat bij een versleutelde verbinding met jouw website. Jijzelf ook. Als je inlogt in je CMS (de Manager van MODx) zal dat ook versleuteld gebeuren. Niemand zal het wachtwoord wat je gebruikt om in te loggen, kunnen achterhalen door de verbinding af te luisteren.

Kosten HTTPS-website

Er zijn verschillende soorten SSL-certificaten, variërend voor het aantal domein waarmee het werkt en de mate van bedrijfsverificatie. De kosten voor het eenvoudigste certificaat komt neer op €3,50 per maand, en wordt jaarlijks gefactureerd. Een EV SSL-certificaat waarbij ook je bedrijfsnaam in groene letters in de browserbalk verschijnt, kost €16,50 per maand.

Na de registratie en installatie van een SSL-certificaat moet ook je MODx systeem (de motor van je website) worden aangepast om te kunnen werken met een SSL-certificaat. De verbinding wordt namelijk veranderd van http:// naar https:// en dit heeft een aantal technische gevolgen die moeten worden gewijzigd in templates en de database. Uiteraard test ik het geheel ook goed nadat het certificaat geactiveerd is. Ik lever natuurlijk een correct werkende en beveiligde website op. Afhankelijk van de complexiteit van de website variëren de kosten voor deze (eenmalige) aanpassingen tussen €100 en €150.

Interesse of vragen? Neem even contact op!

Heb je interesse in een website met een SSL-certificaat? Of twijfel je nog over het nut van een https-website? Schroom niet om me te mailen.