SSL Certificaat en SEO: Waarom HTTPS Essentieel is

SSL staat voor Secure Sockets Layer en is een beveiligingsprotocol dat de verbinding tussen de browser van je bezoeker en je webserver versleutelt. Tegenwoordig gebruiken we eigenlijk het opvolgende protocol TLS, maar de term SSL wordt nog steeds algemeen gebruikt. Wanneer je website een SSL-certificaat heeft, verandert je URL van http naar https en toont de browser een slotje in de adresbalk.

De versleuteling werkt via een systeem van publieke en private sleutels. Wanneer een bezoeker je website opvraagt, stuurt je server het SSL-certificaat met de publieke sleutel. De browser verifieert het certificaat bij de uitgever, en als alles klopt, wordt er een versleutelde verbinding opgezet. Alle data die vervolgens uitgewisseld wordt, is onleesbaar voor buitenstaanders die het verkeer zouden onderscheppen.

Google bevestigde al in 2014 dat HTTPS een rankingsignaal is. Hoewel het destijds als een licht signaal beschreven werd, is het belang ervan sindsdien alleen maar toegenomen. Google heeft herhaaldelijk aangegeven de voorkeur te geven aan beveiligde websites en heeft Chrome zo aangepast dat onbeveiligde sites een duidelijke waarschuwing krijgen.

Naast het directe rankingvoordeel beinvloedt SSL ook je klikratio en gebruikersvertrouwen. Bezoekers die een Niet beveiligd-waarschuwing zien in hun browser zullen sneller afhaken, zeker als ze persoonlijke gegevens moeten invoeren. Voor webshops en websites met contactformulieren is SSL daarom absoluut onmisbaar.

SSL beschermt ook je analytics-data. Wanneer een bezoeker van een HTTPS-website naar een HTTP-website navigeert, wordt de referrer-informatie niet doorgestuurd. Dit betekent dat je in Google Analytics niet kan zien waar je bezoekers vandaan komen als je geen SSL hebt. Met HTTPS behoud je deze waardevolle verwijzingsdata.

Er zijn drie hoofdtypes SSL-certificaten, elk met een ander validatieniveau. Domain Validation, ofwel DV-certificaten, zijn het meest basale type. Ze verifieren enkel dat je eigenaar bent van het domein en worden binnen minuten uitgegeven. Voor de meeste websites en blogs is een DV-certificaat ruim voldoende.

Organization Validation certificaten, de OV-variant, verifieren ook dat je organisatie werkelijk bestaat. De certificaatautoriteit controleert je bedrijfsgegevens bij de Kruispuntbank van Ondernemingen of een vergelijkbare instantie. Dit type certificaat toont je bedrijfsnaam in de certificaatdetails, wat extra vertrouwen wekt.

Extended Validation certificaten, ofwel EV, bieden het hoogste validatieniveau. Het uitgifteproces is het meest grondig en kan enkele dagen tot weken duren. Vroeger toonden browsers de bedrijfsnaam in een groene balk bij EV-certificaten, maar de meeste browsers hebben dit afgeschaft. Het verschil in SEO-waarde tussen de drie types is nihil, want Google maakt geen onderscheid.

De eenvoudigste en goedkoopste manier om SSL te krijgen is via Let's Encrypt, een gratis certificaatautoriteit. De meeste hostingproviders in Belgie bieden Let's Encrypt certificaten aan met een paar klikken via het controlepaneel. Combell, Siteground en andere populaire hosts hebben dit geintegreerd in hun beheeromgeving.

Als je hosting Let's Encrypt niet standaard ondersteunt, kan je het certificaat handmatig installeren. Genereer eerst een Certificate Signing Request op je server, dien deze in bij de certificaatautoriteit, en installeer het ontvangen certificaat via je hostingpaneel of direct op de server.

Na installatie moet je controleren of het certificaat correct werkt. Surf naar je website via https en controleer of het slotje verschijnt zonder waarschuwingen. Gebruik een online SSL-checker zoals die van SSL Labs om een grondige analyse te doen. Deze tool geeft je een score en rapporteert eventuele configuratieproblemen.

De migratie van HTTP naar HTTPS is technisch gezien een site-migratie en moet zorgvuldig uitgevoerd worden om rankverlies te voorkomen. De eerste stap is het instellen van 301-redirects van alle HTTP-URLs naar hun HTTPS-equivalenten. Dit vertelt Google dat de pagina permanent verhuisd is en dat alle opgebouwde autoriteit overgedragen moet worden.

Werk vervolgens alle interne links bij naar HTTPS. Dit omvat links in je navigatie, footer, content en sitemap. Pas ook je canonical tags aan zodat deze naar de HTTPS-versie verwijzen. Als je een CMS gebruikt, is er vaak een instelling om de site-URL globaal te wijzigen.

Dien je bijgewerkte sitemap in bij Google Search Console en voeg je HTTPS-domein toe als nieuw property. Google behandelt HTTP en HTTPS als aparte sites. Monitor je indexeringsstatus en rankings nauwgezet in de weken na de migratie. Een korte dip in rankings is normaal en herstelt zich doorgaans binnen twee tot vier weken.

Mixed content ontstaat wanneer je HTTPS-pagina resources laadt via HTTP, bijvoorbeeld afbeeldingen, scripts of stylesheets. Browsers blokkeren onveilige scripts en tonen waarschuwingen bij onveilige afbeeldingen, wat je bezoeker een slechte ervaring geeft en je SSL-beveiliging ondermijnt.

De eenvoudigste manier om mixed content op te sporen is door je website te bezoeken en te letten op browserwaarschuwingen. In Chrome opent je de Developer Tools en kijk je in de Console-tab voor mixed content waarschuwingen. Tools zoals Why No Padlock of JitBit SSL Check scannen je hele website en rapporteren alle mixed content problemen.

De oplossing is meestal eenvoudig: vervang alle http-verwijzingen door https in je broncode. Als de externe resource geen HTTPS ondersteunt, host de bestanden dan zelf of zoek een alternatieve bron. Voor WordPress-gebruikers kan de plugin Really Simple SSL de meeste mixed content automatisch oplossen door URLs on-the-fly te herschrijven.

Een SSL-certificaat heeft een beperkte geldigheidsduur, meestal 90 dagen voor Let's Encrypt of een tot twee jaar voor betaalde certificaten. Stel automatische vernieuwing in zodat je certificaat nooit onverwacht verloopt. Een verlopen certificaat resulteert in een afschrikwekkende browserwaarschuwing die vrijwel alle bezoekers wegjaagt.

Gebruik HTTP Strict Transport Security, oftewel HSTS, om browsers te instrueren om altijd de HTTPS-versie van je website te laden. Dit voorkomt dat bezoekers per ongeluk de onbeveiligde versie bezoeken en beschermt tegen bepaalde man-in-the-middle aanvallen. Voeg de Strict-Transport-Security header toe aan je serverconfiguratiebestand met een max-age van minstens een jaar.

Controleer regelmatig je SSL-configuratie met SSL Labs. Een A-score of hoger is het doel. Zorg dat verouderde protocollen zoals TLS 1.0 en 1.1 uitgeschakeld zijn en dat je server moderne cipher suites gebruikt. Een goed geconfigureerd SSL-certificaat beschermt niet alleen je bezoekers maar straalt ook professionaliteit uit naar zowel mensen als zoekmachines.