Wat is HTTPS en waarom is mijn website plots onveilig?

Sinds het begin van dit jaar worden websites die wachtwoorden en betalingsgegevens doorsturen als onveilig aangeduid door Chrome, de browser van Google, wanneer deze geen HTTPS gebruiken. Mettertijd wil het bedrijf alle niet-HTTPS-sites als onveilig bestempelen. Chrome is de tweede browser die start met waarschuwingen bij onbeveiligde verbindingen. Firefox (Mozilla) is hier al enige tijd geleden mee gestart en beide geven aan de waarschuwingen nog opvallender te zullen gaan maken. 

Wat is ‘HTTPS’ of HyperText Transfer Protocol Secure eigenlijk?

Wikipedia omschrijft ‘HTTPS’ of ‘HyperText Transfer Protocol Secure’ als een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.

HTTPS wordt veelal gebruikt bij betalingstransacties per creditcard of bij internetbankieren en bij uitwisseling of verzending en opslag van privacy-gevoelige informatie zoals naam, adres, geboortedatum en andere persoonsgegevens.

Waarom? En waarom is dat plots zo?

Zowel Google als Firefox zijn al enige tijd bezig met het stimuleren van het gebruik van SSL-certificaten omdat dat leidt tot een veiliger internet. Het doel van Google is een volledig versleuteld internet. Google neemt vrij recent ook het gebruik van HTTPS op de website mee als rankingfactor in de Google zoekresultaten, voorlopig nog in vrij beperkte mate. Daarnaast nemen ze vaak het voortouw bij het ontmoedigen van het gebruik van verouderde certificaten. Hoewel het dus aan voelt als ‘ineens’ omwille van de waarschuwingen die worden getoond, is dat eigenlijk niet het geval.

Hoe ziet zo’n waarschuwing eruit?

Standaard wordt er een ‘informatie icoon’ getoond links van de website url. Wanneer je hier op klikt krijg je verdere informatie over de veiligheid van een website en meer details over bijvoorbeeld het gebruik van cookies.

Er zijn echter binnen eenzelfde website verschillen in waarschuwingen, we lichten even toe:

Chrome

Wanneer we ons op een pagina bevinden waar we niet rechtreeks privacy gevoelige gegevens kunnen uitwisselen zien we de standaard melding; het informatie icoontje

Wanneer we echter een pagina bezoeken waar we wel privacy gevoelige gegevens kunnen achterlaten zoals een login pagina of de checkout van een webshop verschijnt de tekst ‘Niet veilig’ naast het informatie icoontje.

Op termijn is Google van plan om alle ‘niet https’ pagina’s als volgt te gaan labelen:

Firefox (Mozilla)

Hoewel de meldingen in Firefox zeer gelijkaardig zijn aan die van chrome zien we hier enkele kleine verschillen.

Op een ‘gewone’ pagina zien we eveneens een informatie icoon op dezelfde positie.

Wanneer we surfen naar een ‘gevoelige’ pagina zien we een icoon van een ‘slotje’ dat rood doorstreept is om aan te geven dat de pagina niet veilig is.

Firefox gaat zelfs verder en toont tevens op invulvelden een waarschuwing.

En wat als ik wél een SSL certificaat heb?

Misschien eerst even vermelden dat er drie manieren van valideren zijn.

• Domeinvalidatie: Bij SSL certificaten met domeinvalidatie wordt enkel je domeinnaam gevalideerd, bijvoorbeeld ‘jouwbedrijswebsite.be’. De eigenaar van de website wordt dus niet gecontroleerd en het certificaat bevat geen bedrijfsgegevens. Dit certificaat is niet ideaal voor webshops.
  • Prijs op jaarbasis bij Combell: 50€

• Organisatievalidatie: Alle bedrijfsgegevens worden nu zorgvuldig gecontroleerd en geïntegreerd in het SSL certificaat. Als je nu als website bezoeker op het woordje ‘Veilig’ in de zoekbalk klikt, kan je deze informatie dus inzien en controleren of de eigenaar in het certificaat overeenkomt met de website die wordt bezocht.
  • Prijs op jaarbasis bij Combell: 99€

In beide gevallen wordt dit als volgt gevisualiseerd:

• Uitgebreide validatie: Dit werkt volgens de strenge extended validation (EV) richtlijnen, hou dus rekening met een langere levertijd gezien de zeer uitgebreide controle. Dit EV certificaat resulteert in een groene adresbalk met de officiële bedrijfsnaam die het vertrouwen van (potentiële) klanten op je website vergroot.
  • Prijs op jaarbasis bij Combell: 300€

De adresbalk ziet er dan als volgt uit:

Waarom hebben alle bedrijven hier zo lang mee gewacht?

Er zijn verschillende factoren die een enorme rol in hebben gespeeld in de almaar uitgestelde switch naar https. Enerzijds was het met name voor de oudere sites een hele klus om alles te verhuizen, anderzijds was verlies van snelheid tot voor kort onvermijdelijk en had het bovendien een negatief effect op je vindbaarheid in de zoekmachines. Wie bouwt er nu een vertragende factor in zijn webshop zonder dat dat eigenlijk écht moet? Met name ecommerce spelers stonden dus niet te springen om hun webshop te verhuizen naar HTTPS.

Inmiddels is dit verlies van snelheid te verwaarlozen en heeft Google bevestigd dat er niet langer een te verwachten ‘verlies’ is bij de switch naar HTTPS. Sterker nog, dit kan zelfs een positief effect hebben op je vindbaarheid in de zoekmachine, mits correct uitgevoerd uiteraard.

Conclusie?

Er is geen enkele reden om nog langer te wachten om je webshop over te zetten naar ‘HTTPS’, sterker nog, het is ten zeerste aangeraden. Je zou nu namelijk verkopen kunnen missen omdat je (potentiële) klanten omwille van de huidige meldingen liever elders gaan shoppen waar het volgens hun browser wel veilig is.

Zoals je hebt gezien zijn er geen extreem grote verschillen tussen de soorten certificaten. Wanneer je een webshop runt kan het echter wel een verschil maken om je bezoekers net dat extra beetje gevoel van veiligheid te geven tijdens het online shoppen.

Is jouw webshop nog niet voorzien van een SSL certificaat en wil je hier graag ondersteuning bij? Neem dan even contact op via het contactformulier op onze website of door een mailtje te sturen naar connect@tilroy.com. Je kan uiteraard ook steeds telefonisch contact opnemen op het nummer +32(0)38201756