Blog overzicht

Hoog tijd voor het instellen van HTTPS / SSL voor je website (update 2018)

In Google Chrome en Mozilla Firefox is er al enige tijd een strijd gaande tegen websites die geen gebruikmaken van een beveiligde HTTPS-verbinding. Zo zijn er in januari en oktober 2017 belangrijke Chrome-updates uitgekomen die het belang van een SSL-certificaat benadrukken. Maar de aankomende update in juli zal de genadeslag zijn voor websites zonder beveiligde HTTPS-verbinding. Lees hieronder over de doorgevoerde en toekomstige browserwijzingen en het toenemende belang om zo spoedig mogelijk SSL (lees TLS) in te stellen voor je website.

Januari 2017: waarschuwing voor HTTP-websites met wachtwoord- en creditcardvelden

Vóór 2017 kon je als internetgebruiker niet zo makkelijk het verschil opmerken tussen websites met of zonder beveiligde HTTPS-verbinding. Sinds januari 2017 is een voorzichtige trend merkbaar om hier verandering in te brengen. Met de komst van versie 56 voor Google Chrome en versie 51 voor Mozilla Firefox krijgt elke internetgebruiker een waarschuwing in de adresbalk te zien voor HTTP-pagina’s die over een wachtwoordveld beschikken. Google Chrome doet daar nog een schepje bovenop en laat ook een waarschuwing zien wanneer je iets invult in een creditcardveld. 

Waarschuwing in Google Chrome sinds januari 2017 voor pagina’s zonder SSL-certificaat en met een wachtwoord- of creditcardveldWaarschuwing in Google Chrome sinds januari 2017 voor pagina’s zonder SSL-certificaat en met een wachtwoord- of creditcardveldWaarschuwing in Mozilla Firefox sinds januari 2017 voor pagina’s zonder SSL-certificaat en met een wachtwoordveldWaarschuwing in Mozilla Firefox sinds januari 2017 voor pagina’s zonder SSL-certificaat en met een wachtwoordveld

De bovenstaande maatregelen hebben direct een positief effect gehad. Zo zijn het aantal door Mozilla Firefox geserveerde wachtwoordvelden via een HTTPS-verbinding met 30% gestegen. Google meldt een stijging van 23% voor Google Chrome.

Voor HTTP-pagina’s zonder wachtwoord- of creditcardveld werd nog geen waarschuwing getoond. Website-eigenaren die niet om deze gegevens vragen, konden dit (onterecht) als reden zien om nog maar even te wachten met het instellen van HTTPS/SSL.

Oktober 2017: waarschuwing voor HTTP-websites met elk invoerveld

Wachtwoord- en creditcardgegevens zijn niet de enige data die beschermd moeten worden, aldus Google. Ook andere gegevens zoals je naam of telefoonnummer mogen eigenlijk door niemand achterhaald worden. Daarom heeft Google besloten om vanaf oktober 2017 in versie 62 van Google Chrome zijn waarschuwingsbeleid uit te breiden.

Het zal niet meer uitmaken of een invoerveld speciaal bedoeld is voor wachtwoorden of creditcardgegevens. Websites die überhaupt een invoerveld gebruiken, moeten over een HTTPS-verbinding beschikken. Doen ze dit niet, dan komt ook in dat geval de waarschuwing ‘not secure’ in de adresbalk te staan zodra een websitebezoeker ook maar één letter in het invoerveld typt.

Waarschuwing tijdens het gebruikmaken van een zoekveld op een website zonder SSL-certificaatWaarschuwing tijdens het gebruikmaken van een zoekveld op een website zonder SSL-certificaat

Als je van de incognito-modus gebruikmaakt, laat Google Chrome al direct een waarschuwing in de adresbalk zien, ook al heb je nog niets getypt. De reden hierachter is dat de incognito-modus meer de nadruk op privacy legt.

Waarschuwing in en buiten de incognito-modus op een website zonder SSL-certificaatWaarschuwing in en buiten de incognito-modus op een website met invoervelden en zonder SSL-certificaatDirecte waarschuwing voor gebruiksnaam- en wachtwoordvelden in de komende Firefox-updateFirefox gaat zelfs een stap verder en toont een directe waarschuwing onder gebruiksnaam- en wachtwoordvelden

Dankzij de oktober-update heb je er een extra reden bij om SSL in te stellen en over te stappen naar een website met een HTTPS-verbinding. Ook al heeft een website geen wachtwoord- of creditcardvelden, de kans is aanzienlijk dat het wel een ander invoerveld heeft. Denk bijvoorbeeld aan een zoekveld of de velden in een contactformulier. Maar als zelfs deze update je niet over de streep heeft gehaald om je website te beveiligen met een SSL-certificaat, dan komt daar in juli wel verandering in.

Juli en oktober 2018: waarschuwing voor alle HTTP-websites

De updates van januari en oktober 2017 hebben in hetzelfde jaar een enorme boost gegeven aan het aantal HTTPS-pagina’s, aldus Google. Kijk maar eens naar de volgende cijfers:

  • 68% van het Chrome-verkeer op Android en Windows is beveiligd met SSL

  • 78% van het Chrome-verkeer op Chrome OS en Mac is beveiligd met SSL

  • 81% van de top 100-websites gebruikt HTTPS als standaard

Maar Google is van plan om deze percentages nog meer te verhogen met de aankomende Chrome-update in juli (versie 68). Na deze update zullen alle websites zonder SSL-certificaat in Google Chrome gepaard gaan met een waarschuwing in de adresbalk. Hierbij zal het niet uitmaken of je gebruikmaakt van de incognito-modus of dat er invoervelden aanwezig zijn. Het enkele feit dat een website niet over een SSL-certificaat beschikt, zal voor deze browser al genoeg reden zijn om een waarschuwing te tonen.

Altijd een waarschuwing bij HTTP-pagina's vanaf juli

Ook de waarschuwing zelf zal kenbaarder worden. In juli is het nog een grijs icoon met grijze tekst. Maar vanaf versie 70 die uitgebracht wordt in oktober, krijgt zowel het icoon als de begeleidende tekst een rode kleur zodra de gebruiker tekst invoert op een website. In het laatste stadium waarvan de release-datum nog onbekend is, zal het icoon en de begeleidende tekst altijd rood zijn; ongeacht of je tekst invoert.

Bij invoervelden rode tekst voor HTTP-pagina's vanaf juli en altijd rode tekst vanaf oktober

Ongetwijfeld zal Mozilla Firefox snel hierna volgen met dezelfde maatregel, aangezien ze dit al eerder te kennen hebben gegeven.

Samengevat: hoog tijd om over te stappen naar HTTPS / SSL voor je website

Waar je nu alleen voor HTTP-websites met invoervelden een waarschuwing te zien krijgt, komt hier vanaf juli verandering in. Alle websites zonder SSL-certificaat zullen binnenkort aangepakt worden. Er zal hierdoor een enorme toename zijn in het aantal websites waarvoor een waarschuwing getoond wordt. Als je nog steeds een website zonder SSL-certificaat hebt, is het nu een mooi moment om over te stappen naar HTTPS. Je bezoekers verwelkomen met de waarschuwing ‘not secure’ boven je website, dat wil natuurlijk niemand.

SSL instellen voor je website met Let’s Encrypt

Je website verhuizen naar HTTPS hoeft tegenwoordig helemaal niet zoveel meer te kosten. Met de komst van Let’s Encrypt, zelfs helemaal niets. Deze certificaatauthoriteit geeft namelijk gratis SSL-certificaten weg, mede mogelijk gemaakt door de gigantische sponsorbedragen van populaire internetbedrijven. Sinds kort zijn er zelfs gratis wildcard-certificaten geïntroduceerd, waardoor je ook je sub-domeinen kan voorzien van een beveiligde verbinding.

Via het controlepaneel activeer je in het tabblad ‘Domein & Hosting’ met een druk op de knop een SSL-certificaat van Let’s Encrypt voor je webhostingpakket. Je website is daarna meteen te bereiken via het HTTPS-protocol.

Vergeet hiernaast niet andere belangrijke stappen uit te voeren die horen bij een HTTPS-migratie. Denk hierbij aan het doorverwijzen van al je bezoekers naar de HTTPS-versie van je website, het oplossen van gemixte content en het opnieuw instellen van diensten zoals Google Search Console. De volgende drie gidsen vatten goed samen waar je op moet letten na een SSL-activatie:

Let's Encrypt instellen

 


Ben jij al overgestapt en hoe is dit allemaal verlopen? Deel je ervaringen in de commentaren hieronder.


Beoordeel dit artikel

Deel dit artikel

Gerelateerde artikelen

Blog overzicht

Auteur: Akif Hodzic

Voorziet als contentmarketeer het blog van bruisende artikelen voor doorgewinterde techies en digitale nomaden om iedereen wegwijs te maken in de online wereld. Is daarnaast altijd te poken voor een potje Overwatch of een praatje over de laatste tv-series en tech-gadgets.