Een SSL certificaat zorgt ervoor dat de communicatie tussen je browser en de webserver geëncrypteerd is en dus onbruikbaar voor mensen of bedrijven die de informatie zouden willen stelen.
Wat is een SSL certificaat ?
SSL of “secured socketlayer” is een protocol waarbij de communicatie tussen browser (internet explorer, chrome) geëncrypteerd wordt. Oorspronkelijk was dit protocol bestemd voor de bescherming van websites maar sinds vorige jaar is Google dit protocol aan het “pushen” als een de-facto standaard. En met de belofte dat je website hoger zal geranked worden als je het SSL protocol installeert op je website.
Een SSL verbinding zorgt er dus voor dat de gegevens die uitgewisseld worden tussen de browser en de server niet “leesbaar” zijn voor een derde partij. Enkel de zender en ontvanger kunnen iets doen met de uitgewisselde informatie.
Je kan een SSL certificaat aanvragen via de zogenaamde “Certificate Authorities” die een aantal elementen registreren en controleren. Zo krijg je als het ware een soort “identiteitskaart” voor je website na controle van je online reputatie en basisgegevens.
Deze gegevens krijg je dan bezorgd via een “file” die je kan installeren op je server.
De procedure om een dergelijk ssl certificaat aan te vragen is vrij complex. Vandaar dat Mailbox je kan helpen bij de aanvraag én installatie van een dergelijk certificaat als je de hosting bij ons hebt ondergebracht.
Er zijn ook verschillende soorten certificaten. Elk type certificaat betekent een stapje hoger of lager op de kwaliteit van de beveiliging. Zo zijn er bijvoorbeeld “Extended Validation SSL” certificaten of “Organisational” en “Domain” SSL certificaten. (zie het technische artikel op globalsign)
Is een SSL certificaat enkel voor de veiligheid van een website ?
Nee ! Veel mensen denken dat SSL enkel nodig is ter beveiliging van websites waarbij online transacties en betalingen gebeuren. De achterliggende redenering is dan dan platformen zoals Ogone en Multisafepay wel voor de beveiliging zullen zorgen.
Dat is uiteraard voor een groot gedeelte waar. De échte transacties waarbij creditcardgegevens of rekeningnummers worden uitgewisseld tussen koper en verkoper vinden inderdaad op deze platformen plaats.
In elk geval lijkt de gouden regel dat voor webshops ALTIJD ssl moet gebruikt worden. Zelfs als de betaling op de website van een payment service provider gebeurt.
Maar wat als je klant volgende keer wil inloggen op je website en daarvoor een paswoord moet gebruiken ? Of een email moet invullen ? Dan spreken we toch ook over persoonlijke gegevens die, eenmaal ze in verkeerde handen zijn, voor best wel wat schade kunnen zorgen. Het is immers bijvoorbeeld geweten dat de meeste mensen maar een beperkt aantal paswoorden gebruikt en op deze manier zou een kwaadwillende verschillende logins kunnen proberen te doen op bijvoorbeeld Facebook of ander sociale media.
Maar het gebruik van een ssl certificaat is ook gewoon een kwestie van psychologie. Veel mensen associëren immers het gebruik van https met vertrouwen en voelen zich meer op hun gemak om persoonlijke gegevens in te vullen voor de inschrijving van een nieuwsbrief bijvoorbeeld als ze weten dat een website “beveiligd” is. Zo willen deze bedrijven aan hun potentiële klanten laten zien dat ze gecontroleerd worden en een legitiem bedrijf zijn. Het is dus ook gewoon een kwestie van credibiliteit geworden.
Er is nog een andere reden waarom je zou moeten investeren in een ssl certificaat. Sinds ongeveer een jaar promoot google het gebruik van een sll certificaat via de belofte dat websites die een ssl certificaat hebben hoger zullen scoren in de zoekresultaten. De reden daarachter is nogal duidelijk : als https het standaard internet protocol wordt, zal het web in zijn geheel een stuk veiliger worden.
Ik heb het zelf uitgetest en inderdaad. Ik had tot 8% meer traffic op de website via dezelfde zoekwoorden als voordien.
Volgens de laatste gegevens zou zelfs al meer dan 50% van alle websites gebruik maken van het https protocol.
Gratis of betalende ssl certificaten ?
Momenteel is het mogelijk om via het initiatief Let’s Encrypt een volledig gratis SSL certificaat te installeren. In de nieuwere versie van cpanel en whm kan je makkelijk Let’s Encrypt activeren zodat je een volledig gratis certificaat kan installeren.
Daarnaast kan je ook (nog altijd) een betalend SSL certificaat kopen. Comodo is bijvoorbeeld één van de grotere spelers op deze markt. Het grote verschil tussen de gratis en betalende certificaten, is dat bij de betalende certificaten er een bijkomende domein- of bedrijfsvalidatie plaatsvindt. Je domein en bedrijfsgegevens zitten dan mee verwerkt in het certificaat. Daarnaast bestaat er ook nog zoiets als Extended Validation (EV). Het spreekt voor zichzelf dat hoe meer je laat valideren, hoe meer het certificaat kost.
Meer uitleg vind bij Combell en Comodo.
SSL certificaten voor wordpress
Het meeste werk voor de installatie van een SSL certificaat gebeurt op de server (en dat doen wij dus voor u) maar als je wordpress gebruikt moet je nog een paar extra elementen wijzigen.
Login in op je wordpress site en ga naar “Instellingen->Algemeen”. Als het goed is, zie je daar twee urls staan. Je moet gewoon “http” in de url vervangen door “https”. Of met andere woorden : “http://www.mijnsite.be” wordt “https://www.mijnsite.be”. Dat is alles.
Opgepast : dit mag je enkel doen als de volledige installatie al gebeurd is op de server. Dus zowel de installatie van het certificaat als enkele noodzakelijke wijzigingen in de .htaccess file.
Maar wie dacht dat hiermee de kous af was. Nee dus. WordPress bewaart alle verwijzingen naar interne links en afbeeldingen via een absoluut pad. Bijvoorbeeld. Deze pagina heeft als absoluut pad “https://www.mailbox-marketing.be/blog/wordpress/wat-is-een-ssl-certificaat” terwijl het relatief pad (met weglating van het domein) dus “/blog/wordpress/wat-is-een-ssl-certificaat” is. Als je dus overschakelt van http naar https, moet je alle (interne) verwijzigingen naar “http://www.mailbox-belgium.com/” vervangen door “https://www.mailbox-belgium.com/”.
Dat kan je makkelijk doen door de plugin “Better Search Replace” te installeren en bovenvermelde wijzigingen door te voeren. Opgepast wel : als je een verkeerde “vervanging” doet, kan het zijn dat je WordPress site offline gaat. Dus goed oppassen is de boodschap.
Hoe redirecten van http naar https
Technisch gesproken kan je website werken op zowel http als https. En in feite kan je website op beide werken. Het probleem is dat dit voor Google soms beschouwd wordt als een tweede domein.
Google denkt dus dat “http://www.mailbox-marketing.be” een ander domein is dan “https://www.mailbox-marketing.be”.
Om dat te vermijden kan je best een redirect doen van de http versie naar de https versie. Dat kan natuurlijk via de .htaccess file maar het kan evengoed via een WordPress plugin.
Bij de “instellingen” van deze plugin kan je de 301 redirect makkelijk instellen
Mixed content
Je website bestaat uit HTML-, beeld-, javascript- en CSS-bestanden. Wanneer uw site in de browser is geladen, bevat de geladen HTML links naar de afbeeldingen, javascripts en CSS-bestanden, de bronnen van uw website.
Als je HTML over https wordt geladen en je andere resources (gedeeltelijk) over http worden opgeroepen, dan is de inhoud “gemengd” en krijg je wat Google “mixed content” noemt. Er kunnen ook andere oorzaken zijn: een beeld dat over https laadt, maar doorgestuurd wordt naar http bijvoorbeeld. Het vinden van deze onveilige bronnen in de browser is meestal niet zo moeilijk. Het vinden van welke plugin of welk bestand in uw thema gebruikt de afbeelding is vaak het moeilijke deel.
Je krijgt dan dit te zien in de browser :
Ook in dit geval kan je zoals hierboven beschreven “Better Search Replace” gebruiken om dit probleem op te lossen. Meer info over dit onderwerp vind je in dit artikel.
Meestal lost die plugin het grootste deel van de migratieproblemen op.