Jouw checklist voor een websitemigratie naar HTTPS

29 januari 2015, 09:00

Sinds Google in augustus van afgelopen jaar aankondigde dat zij het gebruik van HTTPS voor websites als signaal meenemen in de rangschikking van de zoekresultaten, hoor je meer en meer website eigenaren de overweging maken hun website ook via het beveiligde protocol aan te bieden.

Er zijn verschillende redenen waarom je een website van HTTP naar HTTPS zou willen migreren, maar veruit de belangrijkste reden is toch wel ter beveiliging van de gegevens die van en naar de website worden verzonden. Dit is voornamelijk van belang als er op jouw website persoonsgegevens worden verzameld, bijvoorbeeld in de bestelomgeving van een webshop, maar eigenlijk ook al als je e-mailadressen verzameld. Door het internetverkeer via het HTTPS-protocol te laten verlopen, kan de browser middels een SSL-certificaat controleren of de ingevulde gegevens veilig naar de juiste server worden verzonden.

Toch zie je sinds de berichtgeving van Google dat het veel site-eigenaren niet enkel om de veiligheid draait, maar ook om het vermeende voordeel dat je in Google zou krijgen. Diverse hostingaanbieders haken hierop in door extra SSL-pakketten te verkopen. Ook ik heb recentelijk één van onze websites naar een HTTPS-omgeving verhuisd.

Hoewel dit voornamelijk noodzakelijk was omdat we vanuit een affiliate concept zijn overgegaan naar een (gedeeltelijke) webshop en dus zelf orders verzamelen, was ik daarnaast ook wel erg benieuwd of de verhuizing enige merkbare impact zou hebben op de rankings van de website.

De migratie

Tijdens de verhuizing van Vergelijk Sim Only naar HTTPS zijn wij tegen de nodige obstakels aangelopen, waarvan de meeste eigenlijk vrij eenvoudig te omzeilen zijn met een goede voorbereiding. Vandaar dat ik hieronder graag enkele van de belangrijkste punten waar wij tegenaan liepen uiteen zet.

Schaf het juiste SSL-certificaat aan

Er zijn legio aanbieders van SSL-certificaten en in veel gevallen kun je hiervoor ook gewoon contact opnemen met je huidige hostingpartij, zodat zij je ook kunnen ondersteunen bij de installatie ervan. De enige keuzes die je zelf dient te maken, zijn of je ook alle bedrijfsgegevens wilt laten controleren, hetgeen meer kosten met zich mee kan brengen, maar er ook voor kan zorgen dat je een mooie groene adresbalk krijgt.

Verder is het van belang even te checken of je voldoende hebt aan een standaard certificaat voor 1 domeinnaam (zowel met ‘www’, als zonder ‘www’), of dat je meerdere (sub)domeinen op hetzelfde IP-adres wenst te beveiligen. Kies altijd voor een SSL-certificaat met tenminste 2048 bits encryptie.

Installeer het SSL-certificaat ook op je CDN

Om een volledig beveiligde verbinding tussen een browser en je website op te kunnen zetten, is het van belang dat alle objecten die op je pagina worden ingeladen ook daadwerkelijk via het HTTPS-protocol worden ingeladen. Dit betekent dat ook je content delivery network (CDN) via HTTPS bereikbaar dient te zijn.

Zorg dat je website enkel via HTTPS bereikbaar is

Als je de website dan eindelijk helemaal beveiligd hebt, is het ook belangrijk dat je nog enkel via deze beveiligde variant de server kan benaderen. Om te voorkomen dat je op wat voor manier dan ook toch nog de HTTP-variant van de site benadert, kun je de volgende 301 redirect aan je .htaccess bestand toevoegen:

RewriteEngine On

RewriteCond %{HTTPS} !=on

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Hiermee worden alle bezoekers, en ook zoekmachines of andere bots, automatisch doorverwezen naar de juiste HTTPS-variant van de opgevraagde URL. Let op: zorg ervoor dat ook je canonical tag naar de juiste locatie verwijst, ofwel dat de URL daar ook begint met https.

Vervang alle URL’s op je website

Ondanks het feit dat alle URL’s middels bovengenoemde redirect netjes zullen uitkomen op hun nieuwe adres, is het toch noodzakelijk deze te vervangen duur hun HTTPS-equivalent. Denk hierbij aan alle interne links, alle afbeeldings-URL’s, maar ook aan al je CSS en Javascript bestanden. Maak je gebruik van WordPress? Of heb je alle content anderszins in een database opgeslagen? Dan kan je met (een variatie op) onderstaande query alle URL’s in een bepaalde tabel vervangen:

UPDATE wp_posts SET post_content = replace(post_content, ‘http://www.oudeurl.nl’, ‘https://www. nieuweurl.nl’);

Verder is het zaak om hierbij eventuele iframes en YouTube integraties niet over het hoofd te zien. Ook hierbij geldt dat deze via HTTPS dienen te worden ingeladen.

Robots.txt

Als het goed is, heeft je website een robots.txt bestand beschikbaar, met daarin tenminste een verwijzing naar je sitemap. Aangezien deze URL nu ook is gewijzigd, is het van belang dit ook in de robots.txt aan te passen.

User-Agent: *

Allow: /

Sitemap: https://www.nieuweurl.nl/sitemap.xml

Sociale widgets

Als laatste punt, geldt ook dat alle externe elementen op je pagina’s moeten worden ingeladen via HTTPS. Denk hierbij aan social media widgets zoals Like-boxen en Tweet-knoppen.

Controle

Pas als alle elementen op je pagina’s worden ingeladen via HTTPS, zal de verbinding met je website door de browser als veilig worden bestempeld. Zo lang dat nog niet het geval is, krijg je nog altijd beveiligingsmeldingen in je browser. Let er ook op dat dit per pagina kan verschillen. Het kan best zijn dat alle items op je homepage veilig worden ingeladen, maar dat een dieper gelegen pagina nog wel foute verwijzingen naar HTTP bevat.

Om dit goed te checken, is het raadzaam om je website nog eens volledig te scannen met een tool als Xenu of Screaming Frog, zodat je zeker weet dat je niets over het hoofd hebt gezien.

Vervolgens heb je nog deze check van SSL Labs om alle specs van je certificaat te controleren. Lukt het je nog niet om het slotje of de groene adresbalk helemaal voor elkaar te krijgen, dan kun je met deze site op pagina basis checken of alles nou echt correct staat.

Conclusie

Wanneer je de certificaten correct hebt geïnstalleerd en alle verwijzigen juist hebt aangepast, is je website aan de voorkant goed beveiligd. Je kunt dit controleren door te kijken of er een slotje of schildje in de adresbalk van de browser staat. Of het hebben van een met SSL-certificaat beveiligde website ook merkbare impact op de rankings heeft, is echter zeer de vraag. Als het al meeweegt in het Google algoritme, dan zal dit vrij beperkt zijn. In ons geval (met n=1) is in ieder geval geen verschuiving – groot of klein – in de rankings waargenomen.

Ruud Kok
Eigen baas bij dotSearch

Ruud Kok is een gepassioneerd online marketeer met een focus op zoekmachinemarketing, en vanuit dotSearch online uitgever van enkele prijsvergelijkers zoals vergelijksimonly.nl en telefoonabonnement.nl.

Categorie

5 Reacties

    Karel

    Goed artikel Ruud! Andere factor, is er verschil in conversie? Kan me voorstellen dat een adres met Extended Validation (groene balk met bedrijfsnaam) meer vertrouwen uitstraalt en zo bezoekers eerder converteren. Meeste onderzoeken hier over staan op sites van aanbieders van SSL-protocollen – geen onafhankelijke / algemene.


    29 januari 2015 om 10:36
    sequence

    @Karel: Het zelf verzamelen van orders was voor ons überhaupt de initiële reden om over te stappen naar HTTPS, dus voor de migratie verwezen wij enkel naar externe webwinkels. Over de eventuele impact op de conversie kunnen we dus geen zinnige uitspraken doen. Wel een terecht punt dat je opmerkt overigens, ben wel benieuwd of er verder nog mensen zijn die daar iets over kunnen zeggen.


    29 januari 2015 om 11:56
    Jan-Willem Eshuis

    De uitspraak “Wanneer je de certificaten correct hebt geïnstalleerd en alle verwijzigen juist hebt aangepast, is je website aan de voorkant goed beveiligd.” is wel een beetje kort door de bocht. Alleen HTTPS toepassen maakt de voorkant van je website nog niet veilig, tal van andere zaken als XSS, ontbreken van CSRF tokens etc.. zul je toch ook echt moeten controleren voordat je kunt zeggen dat de boel goed is beveiligd


    30 januari 2015 om 14:23
    sequence

    @Jan-Willem: Eens hoor. Ik had al getracht het te nuanceren door het te beperken tot de voorkant, maar je hebt gelijk dat er naast het HTTPS nog zeker meer punten van aandacht zijn. Bedankt voor je aanvulling.


    30 januari 2015 om 15:08

Marketingfacts. Elke dag vers. Mis niks!