Naar
boven

Complete website via HTTPS?

Onlangs kreeg ik een interessante vraag van één van onze lezers:

Is het verstandig om mijn hele website via HTTPS te laten lopen?

In de onderstaande video geef ik daar antwoord op.

PS: Heb je ook een vraag die je beantwoord wil zien via een video? Mail deze dan naar lianne@karelgeenen.nl met als onderwerp “Vraag het Karel”. Wij zullen ons best doen om zoveel mogelijk vragen te beantwoorden!

Meer leren over zoekmachine optimalisatie? Klik hier voor onze gratis e-mailcursus!

Met onze hulp bovenaan in Google?

Bekijk onze cursus zoekmachine optimalisatie, onze dienst of vul onderstaand formulier in:


Over de auteur:

Dit artikel is geschreven door .

Karel Geenen
Karel Geenen is medeoprichter van KG Online Marketing. Hierbinnen vallen dit weblog, onze Academy met online marketing cursussen en het Bureau voor online marketing diensten.
34 reacties op "Complete website via HTTPS?"
  • John zegt:
    07 Nov, 2012 om 09:59

    Hoi karel,

    Even een hele andere vraag, hoe krijg je die facebook box op je website. En hoe krijg je je foto bij je website in de zoekresultaten?

    Alvast bedankt, en een super site hoor ;-))

    Reageren
    • Mark zegt:
      07 Nov, 2012 om 10:11

      De foto komt in de zoekresultaten doormiddel van rich snippets! :) En die facebook box kun je bij facebook zelf weg halen. Rich snippets bestaat uit meta data zoals bijvoorbeeld auteur, bron of bevoorbeeld de beoordeling van een artikel of website etc. Sommige rich snippets kunnen ook gemaakt worden door middel van Google+

  • Ronald zegt:
    07 Nov, 2012 om 11:03

    Beste Karel,

    Goede video! Het geeft het antwoord op de vraag https, maar mijn vraag is de volgende:

    Wij hebben 2 jaar geleden getracht een ssl certificaat te behalen en deze te implementeren in de site. Volledige mislukking door dat Hosting bureaus daar geen verstand van hebben.

    is er een eenvoudige manier om ssl aan te vragen en deze te versleutelen in de site? Zeker bij account.

    Ronald

    Reageren
    • Karel Geenen zegt:
      07 Nov, 2012 om 13:35

      Ik heb helaas geen ervaring met implementatie (toch niet voldoende om hier advies te kunnen geven).

      Ik zou eens kijken op https://www.verisign.nl

    • bjorn zegt:
      15 Nov, 2012 om 11:40

      Beste Karel,

      Een SSL-certificaat installeren is op zich geen kunst. Meestal draait een website via IIS ( Microsoft ) of APACHE ( Linux ).
      Via de GUI van deze webservice kun je een zogenaamde CSR aanmaken en deze kun je bij diverse aanbieders aanreiken en wordt een SSL voor je aangeschaft, deze kun je vervolgens installeren.

      De echte moeilijkheid is: Welk SSL heb je nodig, want er zijn 10-tallen varianten.

      Om dit te kunnen achterhalen dien je specifieke vragen te beantwoorden.

      Ik kan je daar wel bij helpen.

  • Jaap zegt:
    07 Nov, 2012 om 11:21

    Dank voor je duidelijke video. Ik kom regelmatig klanten tegen die hun website over https willen laten lopen.Wat er dan precies veiliger aan is weten ze niet. Ze denken bijvoorbeeld dat de server dan niet zo makkelijk gehackt kan worden of dat soort dingen. Geen klant van mij, maar op http://www.ictu.nl loopt alls over https. Waarschijnlijk dus volledig overbodig. Duidelijk ook dat je dit belicht vanuit vertrouwen, gebruiksvriendelijkheid en vindbaarheid.

    Reageren
    • Karel Geenen zegt:
      07 Nov, 2012 om 13:34

      Grappig dat je dan ook automatisch linkt naar HTTP ipv. HTTPS ;-).

  • Elja Trum zegt:
    07 Nov, 2012 om 12:00

    Kun je de conclusie of een samenvatting niet ook gewoon als tekst in het bericht zetten? Ik lees/scan liever snel een tekstje dan ik moeite ga doen om een video te kijken.

    Reageren
    • Karel Geenen zegt:
      07 Nov, 2012 om 13:36

      Nu doe ik al zoveel moeite om een video op te nemen, is het weer niet goed ;-).

      Grapje uiteraard!

      Ik ga mijn best doen om er voortaan ook een stuk tekst bij te typen, deal?

    • rob zegt:
      07 Nov, 2012 om 15:41

      Inderdaad handig. Op mijn werk heb ik geen geluid ;) en thuis duik ik niet achter de computer.

  • Kees Schepers zegt:
    07 Nov, 2012 om 13:40

    Deze vraag kwam van mij af vermoed ik. Ik vindt het wel jammer dat je niet echt diep in gaat op de tegen argumenten van waarom je het niet zou moeten doen.

    Het vertrouwen aspect, kan ik me wel in vinden. Echter vindt ik daarin het type certificaat wel een rol spelen. Als je een EV certificaat hebt met bedrijfsnaam in de URL balk dan kan dat extra opvallen bij de bezoeker.

    Wat betreft performance, had ik je in mijn e-mail aangeven wat mijn set-up was. Ik heb dus doelbewust gekozen voor een nginx proxy (met ssl) + mod_pagespeed + apache set-up gekozen omdat nginx meer actieve SSL connecties aan kan waardoor handshake process niet zo vaak nodig is. Mede daardoor en het zetten van goede (cache) headers is het in de meeste browsers toch mogelijk om statische content op disk van de bezoeker te cachen.

    Eigenlijk was ik vooral bang van het SEO aspect. Ik heb het uiteindelijk toch gedaan een paar weken terug. In het begin was ik al mijn pageranks kwijt die te zien was met de pagerank toolbar, maar na 1 week hadden al mijn pagina’s weer hun pageranks terug over de SSL verbinding + ik had www weggehaald. Dus ik denk eerlijk gezegd dat het inleveren van link waarde niet helemaal klopt wat ik ben tot nu toe ook niet gezakt in de ranking. Daarnaast kopieeren mensen vaak links die ze op forums e.d. plaatsen dus zal het aantal http links in de loop der tijd dus ook wel afnemen.

    Verder had ik een video gezien van Matt Cutts die verder inhoudelijk niet echt goed was (want hij kon de vraag niet echt beantwoorden) maar het enige wat hij zei is dat Google ziet dat jouw site een betere privacy kan bieden als andere sites en daardoor misschien beter waardeert. Vaak hebben webshops op hun winkelwagen pagina en afrekenen pagina noindex, nofollow meta-tag en dus zal Google nooit ‘zien’ dat jij je website ook onder SSL aan biedt.

    Maar goed, ik vindt het lastig niemand kan er echt antwoord op geven. Ik heb er tot heden geen spijt van. De site waar het om gaat is: https://polyestershoppen.nl. Deze doet het in google goed op de keywords: ‘polyesterhars’, ‘polyester plamuur’, ‘epoxyhars’, ‘dd lak’, ‘werken met polyester’, ‘epoxy coating’, ‘glasvezelmat’ en nog veel meer woorden.

    Mocht je nog verder in willen gaan op het performance deel ben ik benieuwd waarom je achteruit zou moeten gaan op performance (rekening houdend met een SSL vriendelijke server architectuur zoals hierboven bijv.)

    Reageren
    • Karel Geenen zegt:
      07 Nov, 2012 om 13:46

      Dag Kees,

      Dank je voor je uitgebreide reactie. Ik moet rekening houden met de doelgroep van onze blog, en die zijn niet allemaal zo technisch onderbouwd als jij.

      Dus op de algemene vraag zeg ik dat je het beter niet kunt doen.

      Toch moet je het natuurlijk zelf weten. Het meeste leer je tenslotte van het zelf te doen!

    • Kyrian zegt:
      07 Nov, 2012 om 16:07

      Kees,

      toch ben ik het niet helemaal met je eens. Omdat het SSL verkeer ‘meer’ verkeer genereert en meer rekenkracht vereist van de klant (client) en winkel (server) heb je dus altijd een verlies. hoe klein ook. bij een klein aantal shoppers tegelijkertijd maakt dat weinig uit. bij grote webwinkels die honderden mensen tegelijkertijd op de site hebben, wordt dit verschil al een heel stuk groter. Nu weet ik niet hoeveel bezoekers je concurrent hebt, maar ik blijf bij het feit dat SSL alleen bij ‘vertrouwelijke’ data gebruikt moet worden. Alle andere extra oplossingen zijn allemaal extra rekenkracht en bandbreedte die je beter voor andere klanten kunt gebruiken ;-)

    • Kees Schepers zegt:
      08 Nov, 2012 om 09:39

      Hallo Kyrian,

      Mij hoor je ook niet zeggen dat het niets aan extra performance kost, daar zit zeker wat in. Echter is dit tot een zeker minimum te beperken waardoor het verschil tussen HTTP en HTTPS niet echt groot is. En geloof me, als je dit goed optimaliseert dan gaat het pas uit maken bij +- 100.000 bezoekers per dag of meer. En dat is bij mijn webwinkel nog lang niet aan de orde, ook niet bij mijn concurrentie.

      Ik zelf vindt het ‘verlies’ opwegen tegen de (niet echt meetbare) voordelen. Bovendien, wat is ‘vertrouwelijk’? Want dan heb ik het over pagina’s als contact formulier, afrekenen, etc. Maar je kunt bijvoorbeeld ook op elke pagina zoeken, misschien vindt je klant dat ook wel vertrouwelijk?

    • Marco Miltenburg zegt:
      08 Nov, 2012 om 10:05

      Ik ben het met je eens Kees. Het argument van performance is tegenwoordig geen issue meer. Servers en client computers (en zelfs ook smartphones en tables) zijn tegenwoordig zo snel dat de on-the-fly encryptie of decryptie geen merkbare verschillen geeft. Het opzetten van de initiële SSL verbindingen kost iets meer tijd i.v.m. de extra SSL handshakes maar daarna is het nadeel verwaarloosbaar (zolang je keep-alive connections ondersteunt). SSL maakt voor de encryptie gebruik van symmetric-key encryptie wat heel snel en efficiënt is. Alleen de initiële handshake maakt gebruik van het relatieve langzame asymmetrische encryptie voor de uitwisseling van de sleutel (welke voor de symmetrische encryptie wordt gebruikt).

      Het SEO argument van verlies van link-juice is volgens mij een mythe. Matt Cutts heeft al in diverse video’s aangegeven dat er voor Google geen verschil is tussen http en https en zolang je maar op een correcte manier redirect (301 en naar dezelfde pagina) er geen nadeel mag zijn. Als dat eventueel wel aanwijsbaar optreed dan is dat vanuit het oogpunt van Google een fout in hun algoritme en zullen ze dat aanpassen.
      En het is inderdaad niet ondenkbaar dat het wel hebben van SSL zelfs een pluspuntje kan zijn welke in de afronding van je ranking alleen maar positief kan zijn. Vooral als je een EV SSL certificaat hebt of een SSL certificaat met OV (organisation validation) en niet alleen domain validation.

      Een belangrijk punt (althans vind ik) voor webshops om altijd SSL te gebruiken is de beveiliging van cookie data. Het alleen beveiligen van de login pagina of de checkoutpagina’s is echt niet voldoende. Veel websites redirecten na het inloggen gewoon weer terug haar http. Als een klant eenmaal is ingelogd en dus een sessie cookie of authenticatie cookie met zijn requests meestuurt moet je deze ook altijd via SSL blijven versturen. Anders loopt de klant kans op session hijacking. We hebben recent met de Firesheep extensie nog gezien hoe eenvoudig dat was. Het is mede daarom dat o.a. grote websites als Twitter, Facebook, Hotmail en GMail je nu de mogelijkheid geven om geheel op SSL over te gaan. En voor websites van deze schaal is dat technisch vrij complex vanwege de content distribution networks (CDN’s) waar ze gebruik van maken. Maar het feit dat ze het doen geeft al aan hoe belangrijk het is.

      Het switchen tussen http en https heeft ook nadelige gevolgen voor client-side caching van content. De cache van een browser mag namelijk geen content delen tussen http en https sessies en als je dus zowel http als https gebruikt dan kan het zijn dat de client je content twee keer moet downloaden.

      Ik heb ook enkele webshops van een klant die al een paar jaar geheel op SSL draaien en die ondervinden daar geen nadelen van. Althans niet merkbaar want uiteraard is het heel lastig vergelijken omdat je niet weer hoe het zou zijn geweest zonder SSL.

    • Kees Schepers zegt:
      08 Nov, 2012 om 11:24

      Bedankt voor je reactie Marco! Goede technische/theoretische onderbouwing!

      Ook goed om te lezen dat bij jouw klanten die volledig onder SSL draaien er geen nadelige effecten ervaren worden. Ik tot op heden ook niet, ben er erg tevreden over.

      Verder, was voor mij ook argument om het te doen is omdat het andere grotere organisaties (die jij eerder noemt) ook doen. Dat had ik ook in mijn mail naar Karel gestuurd geloof ik.

  • grigory zegt:
    07 Nov, 2012 om 18:49

    Ik vraag mij af of dat zo handig is een antwoord op de vraag in form van een videoclip geven. Het dwingt bezoeker geluid aanzetten of koptelefoons gebruiken. Is het niet beter op normale manier gewoon tekst gebruiken?

    Reageren
    • Karel Geenen zegt:
      07 Nov, 2012 om 19:03

      Bedankt voor je reactie Grigory. We nemen het mee als feedback!

  • Jurgen zegt:
    08 Nov, 2012 om 21:36

    Hoi Karel,

    leuk en handig je video-antwoord, ik ben gelukkig in de gelegenheid om met geluid en alles te kunnen luisteren, wel idd makkelijk als je het met tekst aanvult. Je hebt een geweldig interessante site!
    Maar als je laat betalen via Credit Card of Paypal Ideal is het toch allemaal al beveiligd?
    Ook heb ik de SSL cert. gekocht direct bij je domeinnaam (namecheap als ik me goed herriner).
    Je kunt toch ook anti-hacker programma’s gebruiken om je website te beveiligen?
    Nu ben ik niet technisch maar zit ik er nu naast?
    Groeten en dank voor de reactie(s),
    Jurgen

    Reageren
  • Kees Schepers zegt:
    19 Nov, 2012 om 19:48

    Toevallig kwam ik dit tegen vandaag op nu.nl: http://www.nu.nl/internet/2961795/facebook-waarschuwt-tragere-site-https.html

    Ik vraag me af waarom alle grotere partijen overgaan op volledig HTTPS. Dit heeft er volgens mij voornamelijk mee te maken dat het tegenwoordig dusdanig te configureren is dat het performance verschil verwaarloosbaar is. En je kunt dan over elke pagina wat meer veiligheid/privacy garanderen.

    Reageren
    • Karel Geenen zegt:
      19 Nov, 2012 om 19:57

      Uhm, heb je het artikel gelezen Kees ;-)? Daar geven ze juist expliciet aan: let op, onze website wordt langzamer omdat we overstappen op https.

    • Kees Schepers zegt:
      19 Nov, 2012 om 20:03

      Ja, ik heb het gelezen maar als je het goed gelezen had ;) dan hab je ook gelezen dat het te wijten is aan de overstap en niet omdat HTTP straks langzamer is.

      Ze geven namelijk iets verder aan, ondanks het door de verbinding iets langzamer is, “hebben wij significante vooruitgang geboekt waardoor de meeste overlast uitgesloten is.”

    • Karel Geenen zegt:
      19 Nov, 2012 om 20:06

      Denk dat we de tekst anders interpreteren:

      “De overgang maakt de verbinding misschien iets langzamer…”

      Hiermee doelen ze niet op de overgang zelf denk ik maar het feit dat het https wordt.

    • Kees Schepers zegt:
      19 Nov, 2012 om 20:09

      Oke, maar ook al zou dat kloppen dan vraag ik me nog steeds waarom hun het dan waard vinden?

  • Karel Geenen zegt:
    19 Nov, 2012 om 20:13

    Omdat het veiliger is waarschijnlijk?

    Reageren
    • Kees Schepers zegt:
      19 Nov, 2012 om 20:18

      Doe niet zo flauw. Dat snap ik zelf ook wel. Maar dat zij hun volledige site aanbieden onder HTTPS wilt dat zeggen dat het opweegt tegen het verlies wat je hebt aan performance. Dat is wat ik me af vraag en waar een discussie eerder hier ook over ging.

    • Karel Geenen zegt:
      19 Nov, 2012 om 20:36

      Doe niet zo flauw? Was serieus bedoeld.

      Een website als Facebook lijkt me inderdaad goed om die zo veilig mogelijk te maken omdat het meestal om privegegevens gaat. Dus daarbij primeert veiligheid boven performance.

      Bij een website als bijvoorbeeld Wikipedia is veiligheid minder een issue en primeert dus waarschijnlijk performance.

  • Marco Miltenburg zegt:
    19 Nov, 2012 om 20:17

    Met het langzamer worden van de “verbinding” doelt men, zoals ik in mijn reactie ook al schreef, op het opzetten van de initiële HTTPS verbindingen (want een browser open meerdere verbindingen tegelijk). Die kosten gewoon wat meer tijd, vooral de eerste keer als de browser ook nog revocation list moet raadplegen. Maar als die HTTPS verbindingen er eenmaal zijn is er eigenlijk nauwelijks vertraging merkbaar.

    Reageren
  • Irene zegt:
    04 Jan, 2013 om 16:04

    Beste Karel, ik sta ook voor het besluit wel/geen https voor mijn OutdoorFriends website. Ik heb je video bekeken en e.e.a. gelezen. Wat ik er tot nu toe van begrepen heb:
    – verplicht voor betaalpagina’s
    – liever niet voor gedeelten waar niet nodig ivm snelheidsverlies en vindbaarheid.

    Ik vraag me nog af:
    – moet het wel op pagina’s waar mensen persoonlijke profielen aanmaken?
    – en daar waar mensen elkaar berichten sturen?
    – en is het niet helemaal ingewikkeld als je op de helft van je site wel, op de andere site geen https hebt? Is dat voor de gebruikers nog wel te doen? Als ze zelf url’s gaan intypen?

    Groet, Irene

    Reageren
  • TiaID zegt:
    14 Jan, 2013 om 10:56

    Afgelopen weekend bezig geweest met installeren van SSL certificaat in onze webwinkel, en ik was toch wel eens benieuwd naar het feit of het verstandig is om de hele site secure te maken.

    Nu ik deze video heb gelezen, ben ik er van overtuigd dat het inderdaad niet nodig is.

    Dankje voor de tips !

    Reageren
  • Tunis zegt:
    07 Aug, 2014 om 14:54

    Dezelfde vraagstelling:

    Is het verstandig om mijn hele website via HTTPS te laten lopen?

    @Karel, hoe denk je er nu over?

    Zie http://www.nu.nl/tech/3846535/google-beloont-beveiligde-sites.html

    Reageren
  • Kees Schepers zegt:
    07 Aug, 2014 om 15:49

    Ik heb deze vraag een tijd geleden oorspronkelijk aan Karel gesteld en heb zelf overwogen om mijn volledige site om te zetten naar HTTPS met een 301 redirect voor != HTTPS.

    Tot nu toe geen seconde spijt van na 2 jaar. Ik kan niet zeggen of ik in ranking gestegen ben of niet, ik stond al vrij hoog met mijn belangrijkste termen. Mijn omzet dat jaar is onwijs hard gegroeid, maar dat kan, en zal ook zeker te maken hebben met veel meer veranderingen die ik doorgevoerd heb.

    Mijn advies zou dus zijn; gewoon altijd doen. Met veel hits per dag bij voorkeur Nginx gebruiken ipv bijv. Apache.

    Reageren
  • Marco Miltenburg zegt:
    08 Aug, 2014 om 07:09

    Ter ondersteuning van mijn eerdere betoog, is dit gisteren op de Google Webmaster Central Blog verschenen: http://googlewebmastercentral.blogspot.nl/2014/08/https-as-ranking-signal.html?m=1

    Reageren

Reageren