HTTP vs. HTTPS: waarom wel en waarom niet?

Misschien wel het grootste vraagstuk onder webmasters momenteel: wel of niet overstappen naar een https-verbinding? ‘Google’s wil is wet, dus we doen het maar gewoon’, is de algemeen heersende gedachte. Dit was ook de gedachte op ons kantoor. Google hecht waarde aan een beveiligde verbinding, om verschillende redenen, dus hebben wij het daar maar mee te doen. Dat een SSL-verbinding een positieve invloed heeft op je ranking, staat daarbij buiten kijf. Maar hoe groot is deze invloed eigenlijk? Waarom is een partij als Nike bijvoorbeeld nog niet overgestapt? Hieronder een oprecht onderzoek naar de toegevoegde waarde van de https-verbinding en een antwoord op de vraag of wij deze overstap wel moeten maken.

Wat is een https-verbinding?

Voordat je de voors en tegens van de https-verbinding kunt analyseren, is het belangrijk te weten wat het precies inhoudt en hoe het werkt. Http staat voor hyper tekst transfer protocol. Dit is de technologie die gebruikt wordt voor de communicatie tussen servers en webgebruikers. De https staat voor hyper tekst transfer protocol secure, waarbij secure eigenlijk staat voor secure sockets layer, ook wel SSL vernoemd. De SSL-verbinding is een verbinding die verzonden data van- en naar websites beschermd. De data wordt versleuteld, waardoor derden hier niet bij kunnen komen. In praktische zin werd deze data voorheen vooral ingezet bij het gebruik van webshops. Financiële gegevens en andere persoonlijke data – zoals wachtwoorden – konden niet langer (of in ieder geval minder makkelijk) in handen vallen van kwaadwillende. In een tijd waarin privacy en de bescherming van persoonsgegevens steeds belangrijker worden geacht, is een versleutelde verbinding een logisch gevolg. Vooral in landen als de Verenigde Staten, waar de NSA constant over je schouder meekijkt, hecht the average Joe veel waarde aan de bescherming van zijn gegevens. Google heeft dit opgepikt en raadt iedere webmaster dan ook aan deze beveiliging op te nemen.

Waarom hecht Google zoveel waarde aan een https-verbinding?

Dit kan voor sommigen controversieel klinken, maar een versleutelde verbinding door https is niks meer dan een paar extra lagen op de al bestaande beveiliging van je website. Het is geen doodvonnis als je er niet over beschikt. Behalve de al dan niet veiliger omgeving, is de voornaamste reden dat webmasters overstappen naar een https-verbinding de verhoogde waardering die zij van Google ontvangen. Op haar pagina heeft Google er het volgende over te zeggen: “Data sent using HTTPS is secured via Transport Layer Security protocol (TLS), which provides three key layers of protection:

1. Encryption—encrypting the exchanged data to keep it secure from eavesdroppers. That means that while the user is browsing a website, nobody can “listen” to their conversations, track their activities across multiple pages, or steal their information.
2. Data integrity—data cannot be modified or corrupted during transfer, intentionally or otherwise, without being detected.
3. Authentication—proves that your users communicate with the intended website. It protects against man-in-the-middle attacks and builds user trust, which translates into other business benefits.”

Zoals ik hierboven al vertelde, staat het vast dat een beveiligde verbinding een positieve invloed heeft op je ranking; wanneer twee websites over identieke waardes en identieke content beschikken, zal de website met een https-verbinding altijd bovenaan komen te staan. Dit is alleen vrij nietszeggend. Om te achterhalen of het binnen hengelen van een SSL-certificaat en integreren van een https-verbinding daadwerkelijk een toegevoegde waarde heeft, moet er dieper in de materie gedoken worden.

De voordelen van een https-verbinding

Nu we iets meer achtergrond hebben van dit fenomeen, is het allereerst tijd om de voordelen eens op een rijtje te zetten. Na hevig overleg en het analyseren van tientallen blogs en opiniestukken, hebben we een aantal voordelen op een rij kunnen zetten:

• Een SSL-verbinding straalt vertrouwen uit. Je laat duidelijk aan je bezoeker weten dat jouw omgeving veilig is en dat hun vertrouwelijke gegevens veilig zijn. Deze professionaliteit zal je op een hogere conversie komen te staan.
• Logischerwijs zorgt een https-verbinding voor een extra beveiliging op- en van je website. Het voegt een paar extra lagen toe aan de al bestaande beveiliging, waardoor de kans op gehackt worden, of het binnenhalen van malware, nóg kleiner wordt.
• De mate waarin is niet duidelijk, maar een SSL-certificaat zorgt in zekere zin voor een positieve waardering van je website door Google.

Al met al toch wel wat voordelen. Aan voordelen zitten echter ook nogal eens wat nadelen.

De nadelen van een https-verbinding

Nederlanders zijn vrij pessimistisch ingesteld. Het zal je dan ook niet verbazen dat het vrij weinig moeite kostte om aan nadelen van een https-verbinding te komen.

• Uiteraard brengt de transitie naar deze beveiligde verbinding kosten met zich mee. Er zijn verschillende aanbieders van SSL-certificaten, die niet allemaal dezelfde prijs hanteren, maar onder de 5 euro per maand ga je het niet redden.
• Simpel gezegd maak je eigenlijk een nieuwe versie van je website als je deze laat draaien op een https-verbinding. Als er iets is dat Google haat, is het wel dubbele content. Daarbij wil je ook dat bezoekers wel daadwerkelijk op de veilige omgeving belanden. Vooral bij websites met meerdere pagina’s levert dit een hels karwei aan redirects op. Dit moet allemaal goed gebeuren. Bezoekers moeten direct via het oude adres naar het nieuwe adres worden geleid, en niet via allerlei omwegen. Dit kun je bijna alleen maar goed doen door een externe partij in te schakelen.
• Lang niet alle migraties naar een https-verbinding worden succesvol uitgevoerd. Daarbij kunnen certificaten ook op den duur verlopen. Mocht één van de twee scenario’s zich voordoen, krijgt de bezoeker een onwijze foutmelding in beeld. De maar halve beveiliging is inderdaad op papier veiliger dan een normale http-verbinding, maar hier krijgt de bezoeker niet zo’n foutmelding. Als je de overstap maakt, moet je er wel voor zorgen dat echt álles in orde is. Anders heeft deze migratie geen zin.

Onze eigen analyse

Al met al is er niet met 100% zekerheid te zeggen of jij wel of niet over moet stappen op een https-verbinding. Dit is echt per organisatie en per website afhankelijk. Voor webshops is het toch wel aan te raden. Je werkt met gevoelige data, zoals wachtwoorden en financiële gegevens. Je kunt jezelf maar beter wat extra indekken, want de gevolgen kunnen anders niet te overzien zijn. Voor ‘overige’ websites is dit minder van toepassing. Verder wordt er door Jan en alleman van de daken geschreeuwd dat het je een betere ranking in Google bezorgd. Tot op heden hebben we hier geen solid proof voor kunnen vinden. Inderdaad roept Google aan alle kanten dat ze het waarderen. In de praktijk zijn er echter geen grote verschillen te bemerken. De vraag is alleen in welke mate deze ranking factor in de toekomst toe zal gaan nemen. Wel is het een zekerheid dat de overstap naar een volledige https-verbinding een flinke rompslomp met zich meebrengt. De vraag blijft dus – heel onbevredigend – onbeantwoord. Heb jij een duidelijke mening hierover, horen wij deze graag hieronder van je!