Je site beveiligen met HTTPS

Bescherm je site en je gebruikers

Wat is HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) is een internetcommunicatieprotocol. Hiermee worden de integriteit en vertrouwelijkheid van de gegevens beschermd tussen de computer van de gebruiker en de site. Gebruikers verwachten een website veilig en privé te kunnen gebruiken. We raden je aan HTTPS te gebruiken om de verbindingen van je gebruikers met je website te beveiligen, ongeacht de content op de site.

Gegevens die via HTTPS worden verzonden, worden beveiligd via het Transport Layer Security-protocol (TLS), dat drie belangrijke beschermingslagen biedt:

  1. Versleuteling: gegevens die worden uitgewisseld, worden versleuteld om deze te beveiligen tegen meekijkers. Dit houdt in dat wanneer de gebruiker op een website browst, niemand zijn communicatie kan 'afluisteren', zijn activiteiten op meerdere pagina's kan bijhouden of zijn gegevens kan stelen.
  2. Gegevensintegriteit: gegevens kunnen niet met opzet of anderszins worden gewijzigd of beschadigd raken tijdens een overdracht zonder dat dit wordt gedetecteerd.
  3. Verificatie: hiermee wordt bewezen dat je gebruikers met de beoogde website communiceren. Verificatie biedt bescherming tegen man-in-the-middle-aanvallen en versterkt het vertrouwen van de gebruiker, wat leidt tot andere zakelijke voordelen.

Praktische tips voor het implementeren van HTTPS

Gebruik robuuste beveiligingscertificaten

Je hebt een beveiligingscertificaat nodig wanneer je HTTPS voor je website inschakelt. Certificaten worden uitgegeven door een certificeringsinstantie (CA, Certificate Authority). Een certificeringsinstantie onderneemt stappen om te controleren of je webadres daadwerkelijk bij je organisatie hoort, zodat je klanten worden beveiligd tegen man-in-the-middle-aanvallen. Zorg tijdens het instellen van je certificaat voor een hoog beveiligingsniveau door een 2048-bits sleutel te kiezen. Als je al een certificaat hebt met een zwakkere sleutel (1024-bits), moet je deze upgraden naar 2048 bits. Houd rekening met het volgende wanneer je een certificaat voor je website kiest:

  • Haal je certificaat bij een betrouwbare certificeringsinstantie die technische ondersteuning biedt.
  • Bepaal welk type certificaat je nodig hebt:
    • Eén certificaat voor een enkelvoudige beveiligde bron (bijv. www.voorbeeld.com).
    • Een certificaat voor meerdere domeinen voor meerdere bekende beveiligde bronnen (bijv. www.voorbeeld.com, cdn.voorbeeld.com, voorbeeld.co.uk).
    • Certificaat met jokertekens voor een beveiligde bron met veel dynamische subdomeinen (bijv. a.voorbeeld.com, b.voorbeeld.com).

Gebruik 301-omleidingen aan serverzijde

Leid je gebruikers en zoekmachines om naar de HTTPS-pagina of -bron met 301 HTTP-omleidingen aan serverzijde.

Controleer of je HTTPS-pagina's kunnen worden gecrawld en geïndexeerd door Google

  • Blokkeer je HTTPS-pagina's niet met robots.txt-bestanden.
  • Neem geen noindex-metatags op je HTTPS-pagina's op.
  • Gebruik Fetchen als Google om te controleren of Googlebot toegang kan krijgen tot je pagina's.

Bied ondersteuning voor HSTS

We raden aan dat HTTPS-sites ondersteuning bieden voor HSTS (HTTP Strict Transport Security). HSTS geeft de browser opdracht automatisch HTTPS-pagina's aan te vragen, ook als de gebruiker http opgeeft in de locatiebalk van de browser. Daarnaast zorgt het mechanisme ervoor dat Google beveiligde URL's weergeeft in de zoekresultaten. Al deze functies zorgen ervoor dat het risico op de weergave van niet-beveiligde content aan je gebruikers wordt geminimaliseerd.

Als je HSTS wilt ondersteunen, gebruik je een webserver die HSTS ondersteunt en schakel je de functionaliteit in.

Hoewel HSTS veiliger is, wordt je implementatiestrategie complexer met HSTS. We raden je aan HSTS als volgt in te schakelen:

  1. Implementeer je HTTPS-pagina's eerst zonder HSTS.
  2. Begin met het verzenden van HSTS-koppen met een korte 'max-age'-waarde. Houd het verkeer van zowel gebruikers als andere clients bij, evenals de prestaties van afhankelijke items, zoals advertenties.
  3. Verhoog de 'max-age'-waarde voor HSTS langzaam.
  4. Als HSTS geen negatieve gevolgen heeft voor je gebruikers en zoekmachines, kun je desgewenst vragen of je site kan worden toegevoegd aan de lijst voor HSTS-preloading die wordt gebruikt door de meeste grote browsers.

Overweeg HSTS-preloading te gebruiken

Als je HSTS inschakelt, kun je desgewenst HSTS-preloading ondersteunen voor extra beveiliging en betere prestaties. Als je preloading wilt inschakelen, moet je naar hstspreload.org gaan en de inzendingsvereisten voor je site volgen.

Voorkom deze veelvoorkomende valkuilen

Vermijd de volgende fouten wanneer je je site beveiligt met TLS:

Probleem Actie
Verlopen certificaten Zorg ervoor dat je certificaat altijd up-to-date is.
Certificaat is geregistreerd bij onjuiste websitenaam Controleer of je een certificaat hebt gekregen voor alle hostnamen die door je site worden weergegeven. Als je certificaat bijvoorbeeld alleen van toepassing is op www.example.com, wordt een bezoeker die je site laadt door alleen example.com (zonder het voorvoegsel 'www.') te gebruiken, geblokkeerd vanwege een certificaatfout met een niet-overeenkomende naam.
Ontbrekende SNI-ondersteuning (Server Name Indication, servernaamindicatie) Zorg ervoor dat je webserver SNI ondersteunt en dat je publiek voornamelijk ondersteunde browsers gebruikt. Hoewel SNI door alle moderne browsers wordt ondersteund, heb je een toegewijde IP nodig als je ondersteuning moet bieden voor oudere browsers.
Problemen met crawlen Blokkeer je HTTPS-site niet tegen crawlen met behulp van robots.txt.
Problemen met indexeren Sta het indexeren van je pagina's door zoekmachines waar mogelijk toe. Gebruik de noindex-metatag niet.
Oude protocolversies Oude protocolversies zijn kwetsbaar. Zorg ervoor dat je over de nieuwste versies van TLS-bibliotheken beschikt en implementeer de nieuwste protocolversies.
Gecombineerde beveiligingselementen Sluit alleen HTTPS-content in op HTTPS-pagina's.
Verschillende content op HTTP en HTTPS Zorg ervoor dat de content op je HTTP- en HTTPS-site hetzelfde is.
Fouten in de HTTP-statuscode in HTTPS Controleer of je website de juiste HTTP-statuscode retourneert. Bijvoorbeeld 200 OK voor toegankelijke pagina's, of 404 of 410 voor pagina's die niet bestaan.

Meer tips

Bekijk de Veelgestelde vragen over HTTPS-migratie voor meer tips voor het gebruik van HTTPS-pagina's op je site.

Migreren van HTTP naar HTTPS

Als je je site migreert van HTTP naar HTTPS, behandelt Google dit gewoon als een siteverplaatsing met URL-wijzigingen. Dit kan tijdelijk van invloed zijn op je verkeerscijfers. Bekijk de overzichtspagina voor siteverplaatsingen voor meer informatie.

Voeg de nieuwe HTTPS-property toe aan Search Console: Search Console verwerkt HTTP en HTTPS afzonderlijk. De gegevens voor deze property's worden niet gedeeld in Search Console.

Ga naar de probleemoplossingspagina voor sitemapverplaatsingen om problemen met je migratie op te lossen.

Meer informatie

Meer informatie over het implementeren van TLS op je site:

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?