Ook jouw website heeft SSL nodig

Tijden terug, we spreken eind 2014, deed Google een oproep aan website eigenaren om zoveel mogelijk van het wereldwijde web extra te beveiligen. Met behulp van een SSL certificaat op de server verloopt het verkeer tussen de webserver en de browser van de bezoeker geëncrypteerd én kan deze door een hacker niet zomaar worden uitgelezen. Het integreren van een SSL certificaat voor je domein is dus al aan te raden zodra er een contactformulier op staat, laat dat nu hetgeen zijn die het meest te vinden is op websites. Los daarvan is het een must als je werkt met een website waarbij wordt ingelogd met een persoonlijk e-mailadres en bijhorend wachtwoord.

Waarom?

Meerdere redenen, maar de grootste zou wel eens ‘het gevoel van veiligheid’ kunnen zijn bij je bezoekers. Ze zien dat je beveiliging serieus neemt en goed omgaat met hun privacy. Het is ook een extra veiligheid die man-in-the-middle aanvallen tegenhoudt, met andere woorden, hackers die je trafiek inkijken. Google zelf toont uw website ook hoger in de zoekresultaten als het met SSL beveiligd is, hou er natuurlijk wel rekening mee dat alsmaar meer sites overgeschakeld zijn in de voorbije 2 jaar. Officiële uitleg vind je hier.

Integraties

Het integreren van zo’n certificaat hoeft niet moeilijk te zijn, ook de prijs hoeft niet duur te zijn, er is zelfs sinds April 2016 een nieuwe Certificate Authority genaamd ‘Let’s Encrypt’. Die is, met de nodige grote sponsors, op poten gezet. Mede hierdoor geeft deze organisatie gratis shared SSL integratie aan. Als je gelukt hebt heeft je hosting firma de integratie al voltooid en kan je deze in je controlepaneel slechts met één klik aanvinken.

Het enige dat je dan nog hoeft te doen is je website overzetten naar HTTPS. Alle bestanden die ingeladen worden op iedere pagina van je website moeten dus over HTTPS geladen worden. Bij één enkel bestand die niet aangepast is loopt het mis en krijg je geen groen slotje maar een mixed content waarschuwing op de site. Integraties van Let’s Encrypt heb je op verschillende platformen al, zoals DirectAdmin, die heeft een één-klik activatie met de ACME servers. Ook ander grotere platformen zoals cPanel en Plesk hebben al tijden integraties.

De nieuwe vraag ‘waarom niet?’

Nu er genoeg mogelijkheden zijn om je website zelfs gratis extra veiligheid te bieden, is er in mijn ogen geen enkele reden om het niet te doen. Investeer die tijd, of besteed het uit om meer uit je site te halen.

Ik heb geen groen slotje, wat nu?

Er zijn veel mensen die hun site voorzien van een SSL certificaat, maar er niet verder bij stil staan. Alle bestanden die op je pagina’s staan en ingeladen worden, moeten nu aangesproken worden met een HTTPS link. Indien één bestand over de ganse pagina over HTTP binnenkomt, krijg je in de browser géén groen slotje zoals deze : Veilig groen slotje

Het uitzoeken van de de boosdoener kan soms snel, en daarvoor gebruik ik altijd de Why No Padlock? website. Heel simpel, kopieer je URL van de pagina waarop het probleem zich voordoet en laat de site scannen. Daarna weet je meteen welk bestand, of welke bestanden voor problemen zorgen.