Websites die hun data beter beveiligen tegen hackers worden sinds kort door het algoritme van Google beloond met een hogere ranking in de zoekresultaten. Hiermee wil Google websites en webshops stimuleren om gebruik te maken van HTTPS, waardoor gegevens van klanten beter worden beveiligd.
Veilig op het web
HTTPS staat ook wel bekend als TLS (Transport Layer Security). Het verkeer via HTTPS is anders dan via HTTP. Door het gebruik van HTTPS is het verkeer versleuteld voor buitenstaanders, zoals bijvoorbeeld voor hackers. Een encryptie-algoritme voorkomt hierin dat persoonlijke gegevens, waaronder creditcard gegevens, van webshopklanten worden gelezen.
Tips & tricks voor beter beveiligde websites & webhops
Google is de beroerdste niet en geeft daarom een paar tips & tricks om website-eigenaren te begeleiden naar HTTPS. Deze delen wij uiteraard graag met je:
- Bepaal wat voor soort versleutelingen je nodig hebt: een single, multi-domain of een wildcard versleuteling. Een standaard single SSL certificaat is geldig voor de beveiliging van een enkele domeinnaam. Een multi-domain is, zoals de naam al verklapt, geschikt voor meerder domeinnamen. En met het wildcard certificaat beveilig je alle subdomeinen van een domeinnaam. In de meeste gevallen is een single beveiligingscertificaat al voldoende. Deze zijn al beschikbaar vanaf € 9,- per jaar.
- Google raadt aan een 2048-bit versleuteling te gebruiken. Alle beveiligingscertificaten die na 1 januari 2014 worden uitgegeven, voldoen hier al aan.
- Gebruik relatieve URL’s voor bronnen die op hetzelfde beveiligde domein staan. Daarmee zorg je ervoor dat je geen HTTP (onbeveiligde) content opvraagt vanuit je HTTPS (beveiligde) omgeving. Een voorbeeld: je hebt een JavaScript bestand staan op www.website.nl/js/javascript.js. Als link gebruik je dan niet http://www.website.nl/js/javascript.js, maar /js/javascript.js. Zodoende kan het bestand zowel via HTTP als HTTPS opgevraagd worden. Gebruik protocol relatieve URL’s voor alle andere domeinen.
- Zorg ervoor dat Google je website kan indexeren waar dit mogelijk is. Dit doe je door in het robots.txt bestand HTTPS sites niet te blokkeren. Daarnaast moet je de noindex robots meta tag zien te voorkomen.
Om je op weg te helpen heeft Google een handleiding gemaakt waarmee je in een paar stappen je website URL wijzigt van HTTP naar HTTPS. Wanneer je website al op de beveiligde HTTPS variant draait, kun je het security level en configuratie gratis testen met de Qualys Lab Tool.