Een met HTTPS beveiligde website: hype of noodzakelijk?

Er is de laatste tijd veel om te doen: het hangslotje in de browserbalk. Het geeft aan dat er een beveiligde verbinding is met de website, zodat je met een gerust hart door de website kunt surfen. Is jouw website al voorzien van zo'n beveiligde verbinding? Is dat nodig, of is het weer een hoop gedoe om niks?

Het hangslot-icoontje wordt zichtbaar in de adresbalk als een webpagina beschikt over een SSL-certificaat. Een SSL-certificaat zorgt vervolgens voor de mogelijkheid om een versleutelde verbinding te kunnen maken tussen de webserver en de computer van haar bezoekers. Omdat alle gegevens van en naar de website in "geheim schrift" worden verstuurd, kunnen wachtwoorden en persoonlijke gegevens niet zomaar onderschept worden. Ook kan hiermee de authenticiteit van het bedrijf achter de website worden gecontroleerd.

Hype én noodzakelijk?

Het feit dat de verbinding met de webserver wordt versleuteld, garandeert natuurlijk niet dat verdere beveiliging van de website ook in orde is. Het is slecht één schakel in een reeks van veiligheidsmaatregelen. Misschien koop je je spullen via een veilige verbinding bij een webshop met een verouderd systeem dat (voor hackers) zo lek is als een mandje. In die zin creëert het een schijnveiligheid voor de gebruiker van de website. En daarbij: is het ook niet aan de bezoeker van de website om privacy-gevoelige informatiue niet te versturen via een onveilig (en makkelijk afluisterbaar) wifi-signaal van een willekeurig koffietentje?

Zonder je iets te willen verkopen wat je niet nodig hebt, zijn er misschien toch een paar prima redenen te noemen waarom ook jij een SSL-certificaat zou moeten hebben op je website:

  1. Wettelijke verplichting
  2. Beter scoren in de zoekresultaten
  3. Betrouwbare uitstraling
  4. Voorkom waarschuwingen van de browser
  5. Zelf veiliger je website beheren

1. Wettelijke verplichting

Op 1 januari 2016 is de Wet Datalek Meldplicht in werking getreden. Daarmee ben je niet alleen wettelijk verplicht om digitale inbraken te melden, maar wordt er ook van je verwacht dat je je data te passend beveiligd. Er kunnen boetes worden uitgedeeld als je deze beveiliging niet op orde hebt.

Heb je een formulier op je website waarmee je persoonlijke gegevens van je bezoekers vraagt? Je bent dan bezig met de verwerking van persoonsgegevens. En dus ben je wettelijk verplicht om passende technische maatregelen te nemen om de overdracht van die gegevens veilig te maken en te houden. Wat precies een "passende maatregel" is staat niet vast, maar een normale onbeveiligde verbinding is waarschijnlijk niet genoeg. Een SSL-certificaat op je website is in ieder geval een aantoonbare technische beveiligings-maatregel.

2. Beter scoren bij zoekmachines

Al in 2015 maakten de ontwikkelaars van Google bekend, dat beveiligde websites voorrang zouden gaan krijgen in de natuurlijke zoekresultaten. Welk ‘gewicht’ er aan deze eigenschap wordt gegeven is niet bekend (daar spreken ze bij Google nooit over), maar wel dat het van invloed gaat zijn op de volgorde van de zoekresultaten.

Je vindbaarheid wordt dus posifitief beinvloed door het beveiligen van je website met een SSL-certificaat. En ergens is dat ook wel logisch. Een website-eigenaar die een beveiligde verbinding aanbiedt, neemt zijn/haar website serieus. Het is aannemelijk dat de kwaliteit van de content dan ook wel beter zal zijn dan gemiddeld. Als jouw website even goed scoort bij Google als een andere, kan het hebben van een beveiligde verbinding de weegschaal naar jouw website doen doorslaan.

3. Betrouwbare uitstraling

Een belangrijke taak van een website is het creëren van een gevoel van vertrouwen. Jouw diensten zijn oplossingsgericht of jouw producten prima in orde. Pas als een bezoeker het vertrouwen heeft dat via jouw website zijn probleem kan worden opgelost, komt ie in actie.

Een hangslotje in de browser zal bijdragen aan het toenemen van dat vertrouwen - zelfs als er helemaal geen wettelijke reden is om dat te doen.

4. Waarschuwingen door browsers

Met de komst van versie 56 van Chrome heeft Google weer een stap gemaakt richting een veiliger internet. Google Chrome zal (net als de nieuwste versie van Firefox) webpagina’s die niet voldoen aan de gestelde veiligheidseisen gaan aanduiden als “Niet veilig”.

Deze “Niet veilig” classificatie wil nog niet zeggen dat mensen niet meer op je webpagina kunnen komen. In de adresbalk van de browser zal vóór jouw domeinnaam als waarschuwing "Niet veilig" komen te staan, op pagina's waar bijvoorbeeld een wachtwoord of betaalgegevens kunnen worden ingevuld. Dat zal zeker bezoekers afschrikken, althans dat hoopt Google.

Het staat ook niet zo fraai: "Niet veilig" - pal naast je domeinnaam...

5. Beveiligd je website beheren

Niet alleen jouw potentiële klanten hebben baat bij een versleutelde verbinding met jouw website. Jijzelf ook. Als je inlogt in je CMS (de Manager van MODx) zal dat ook versleuteld gebeuren. Niemand zal het wachtwoord wat je gebruikt om in te loggen, kunnen achterhalen door de verbinding af te luisteren.

Kosten HTTPS-website

Voorheen was het relatief ingewikkeld en duur om een SSL-certificaat te installeren op een webserver. Ook had de website een uniek ip-adres nodig, wat in de praktijk vaak niet het geval was. Dat is nu niet meer. Per domeinnaam kan een SSL-certificaat worden geïnstalleerd op je website. Ook de kosten voor de registratie van beveiligingscertificaten zijn aardig gedaald, dus een beveiligde website is bereikbaar voor iederen.

Er zijn verschillende soorten SSL-certificaten, variërend voor het aantal domein waarmee het werkt en de mate van bedrijfsverificatie. De kosten voor het eenvoudigste certificaat komt neer op €3,50 per maand, en wordt jaarlijks gefactureerd. Een EV SSL-certificaat waarbij ook je bedrijfsnaam in groene letters in de browserbalk verschijnt, kost €16,50 per maand.

Na de registratie en installatie van een SSL-certificaat moet ook je MODx systeem (de motor van je website) worden aangepast om te kunnen werken met een SSL-certificaat. De verbinding wordt namelijk veranderd van http:// naar https:// en dit heeft een aantal technische gevolgen die moeten worden gewijzigd in templates en de database. Uiteraard test ik het geheel ook goed nadat het certificaat geactiveerd is. Ik lever natuurlijk een correct werkende en beveiligde website op. Afhankelijk van de complexiteit van de website variëren de kosten voor deze (eenmalige) aanpassingen tussen €70 en €140.

Interesse of vragen? Neem even contact op!

Heb je interesse in een website met een SSL-certificaat? Of twijfel je nog over het nut van een https-website? Schroom niet om me te mailen.


De kleine lettertjes

Alle genoemde prijzen zijn exclusief 21% BTW. Aan alle geboden informatie is uiterste zorg besteed, maar op de geboden informatie kunnen geen rechten worden ontleend.

schaduw_charlotte