Lezers, weten jullie wat de volgende dingen gemeen hebben?

• Een website met nieuws over financiële technologie
• Meerdere dagelijkse kranten in New England
• Een promotor van technologieprijzen
• En, tot enkele weken geleden, de e-commercesite van een bekende juwelier en een belangrijke speler in de e-commerce

Het antwoord: geen enkele van deze websites werd als veilig beschouwd door Google, en dat is niet bepaald goed voor de zaken.

Voorbeeld van 'niet-veilige' website in Chrome v69. Bron:badssl.com

Wanneer Google uw website als onveilig beschouwt, leidt dat ongetwijfeld tot gefrustreerde, ontevreden klanten. Als u weet dat de meerderheid van de mensen Chrome gebruikt om te surfen (ca. 60%, volgens recente schattingen), ben ik vrij zeker dat iedereen die een bedrijf heeft dit scenario liever vermijdt.

Op dit moment krijgen waarschijnlijk honderdduizenden websites het label 'niet veilig'. Wat is hier aan de hand? Waarom worden er zoveel sites als onveilig gemarkeerd?

Vanaf Chrome v68 worden alle websites zonder HTTPS als 'niet veilig' gemarkeerd

Google probeert al meerdere jaren ervoor te zorgen dat het volledige web versleuteld wordt met SSL/TLS (de technologie achter HTTPS). In het verleden werden websites die SSL gebruikten gemarkeerd als 'veilig', maar bij de release van Chrome 68 heeft Google het script omgedraaid. Nu worden websites die geen SSL gebruiken gemarkeerd als 'niet veilig'.

Bron: Google

Deze wijziging werd in juli doorgevoerd. Wanneer Chrome 70 wordt gelanceerd, zullen er nog meer veranderingen worden gerealiseerd. De browser zal een rood label 'niet veilig' weergeven als een gebruiker gegevens begint in te voeren (bv. gebruikersnaam/wachtwoord, financiële gegevens, een invulformulier) op een niet-HTTPS-site. Dit vestigt hopelijk nog meer aandacht op het feit dat de gegevens die de gebruiker wil verzenden, niet versleuteld zijn en daarom kunnen worden onderschept of bespioneerd. 

Bron: Google

Waarom HTTPS?

HTTPS is een veiligere versie van HTTP. Het helpt voorkomen dat indringers de communicatie tussen uw websites en de browsers van uw gebruikers manipuleren. Het maakt het ook moeilijker om de gegevens die tussen browser en server worden verzonden te onderscheppen. Uw websites, en de bezoekers die uw website gebruiken, worden ook beschermd tegen derden, die advertenties kunnen injecteren om beveiligingsgaten te creëren, of indringers die afbeeldingen, cookies, scripts enz. op een site misbruiken (bv. om malware of andere gemene dingen te injecteren).

Hoewel de beveiligingsvoordelen duidelijk zijn, blijven veel sites de overstap naar HTTPS uitstellen. We hopen dat de recente browserwijzigingen van Google, websitebeheerders over de streep kunnen trekken om eindelijk de overstap te maken. Het vraagt wat planning en inspanningen, maar dit is een cruciale stap als u geen enorme daling van het aantal websitebezoekers wilt zien.

HTTPS installeren op uw website

Hoewel het niet erg duur of moeilijk is om een website te converteren naar HTTPS, vergt het natuurlijk wel enige moeite. Er zijn vier belangrijke stappen:

• Een SSL/TLS-certificaat kopen bij de leverancier van uw voorkeur; als u een hostingbedrijf gebruikt, kunnen zij u eventueel een lijst met suggesties geven. Lees onze stapsgewijze procedure voor welk type certificaat u nodig heeft: https://www.globalsign.com/en/company/blog/articles/guide-to-choosing-an-ssl-certificate/. Lees onze richtlijnen voor het genereren van CSR's (deel van het bestelproces) hier - https://support.globalsign.com/customer/en/portal/articles/1229769-certificate-signing-request-csr---overview. 
• Installeer uw certificaat. Lees onze installatie-instructies voor een aantal servertypes hier- https://support.globalsign.com/customer/en/portal/articles/1309527-install-an-ssl-certificate---overview.
• Zodra uw certificaat is geïnstalleerd, moet u uw serverconfiguratie controleren om zeker te zijn dat u de juiste, bijgewerkte instellingen gebruikt. U kunt onze gratis tool hiervoor gebruiken - https://globalsign.ssllabs.com/
• Zodra het conversieproces van uw website voltooid is, moet u Google hiervan op de hoogte brengen. Dit is een cruciale stap om ervoor te zorgen dat uw website opnieuw wordt geïndexeerd in de zoekdatabase van Google. Google beschrijft dit proces en geeft u extra tips voor het implementeren van SSL - https://support.google.com/webmasters/answer/6073543?hl=nl.

Belangrijk – Zorg ervoor dat uw website via HTTPS wordt bediend!

Een belangrijk onderdeel van de overgang naar HTTPS is ervoor zorgen dat u de juiste 301 redirects, op de server, heeft om gebruikers en zoekmachines naar de HTTPS-versie om te leiden. We merken dit de laatste tijd vaak – websites die dit niet goed hebben ingesteld zodat gebruikers nog steeds naar de HTTP-versies worden gestuurd en de markering 'niet veilig' zien. Als u handmatig HTTPS invoert aan het begin van het adres, kunt u zien dat de site SSL gebruikt, maar het is heel onwaarschijnlijk dat gebruikers dit zullen proberen, dus u kunt het beste uw volledige website omleiden naar HTTPS.

U wilt ook zeker zijn dat elke pagina op uw website beveiligd is met SSL, niet enkel de pagina's waarop persoonlijke gegevens of betalingsgegevens worden verzameld.

U kunt ook HSTS (HTTP Strict Transport Security) implementeren, dat alle verbindingen over HTTPS dwingt, zelfs als een gebruiker handmatig HTTP invoert. HSTS helpt aanvallen van het type 'SSL stripping' voorkomen. Dit is een soort man-in-the-middle-aanval waarbij hackers inhoud bedoeld voor een HTTPS-verbinding onderscheppen. Daarnaast zorgt HSTS ervoor dat gebruikers niet door certificaatwaarschuwingen kunnen klikken. Met HSTS kunnen gebruikers alleen verbinding maken met de website als deze een geldig, vertrouwd certificaat heeft; alle andere verbindingen worden geblokkeerd, zonder de mogelijkheid om door te klikken.

Meer informatie over HSTS en instructies voor de implementatie vindt u in ons artikel – Wat is HSTS en hoe implementeer ik het?

Word niet gemarkeerd door Google. Schakel vandaag nog over naar HTTPS!

Door uw website om te zetten naar HTTPS wordt deze veiliger en zullen klanten blijven in plaats van naar andere websites te gaan.

Als u meer informatie wenst over het implementeren van SSL/TLS en het converteren van uw website, dit blogartikel staat boordevol informatie en nuttige tips. Als u meer specifieke vragen over uw configuratie heeft, kunt u uiteraard contact met ons opnemen.