Update 27/01/2017
Sinds gisterenavond is de gevreesde versieupdate 56 van de Chromebrowser beschikbaar (1 van de volgende weken komt ook versie 51 van Firefox op de markt met eenzelfde feature).
Windows gebruikers zien dus nu reeds onderstaande “niet veilig” meldingen op websites met een paswoord-veld over HTTP. Mac gebruikers zien het trouwens momenteel nog niet.
Belangrijk om te weten is dat die websites eerst een waarschuwing hebben gekregen via de Google Search Console.
De afgelopen jaren heb ik het nog wat afgewacht (zeker daar ik van de eerste rij de negatieve effecten zag bij klanten die naar https gingen). Nu is er echter veel aan het veranderen en enkele weken geleden het ik dan ook de migratie gedaan naar een SSL/TLS certificaat.
Enerzijds is er de grotere push van Google richting een all-secure www en daarnaast de opkomst van Let’s Encrypt en andere initiatieven hiervoor. Je ziet dat de grote switch nu wel is ingezet en dat de meeste grote sites ondertussen op HTTPS zitten (ja zelfs Pornhub en co).
Yesterday, for the first time, @Mozilla telemetry shows more than 50% of page loads were encrypted with HTTPS. pic.twitter.com/kADcLOLsQ7
— Let's Encrypt (@letsencrypt) October 14, 2016
Wat is HTTPS en waarom zou ik dat doen?
De S achteraan HTTPS geeft weer dat er een beveiligde verbinding tussen jou computer en de server wordt opgezet. Als er dus iemand in het midden komt meeluisteren op je verbinding (een zogenaamde man-in-the-middle attack), dan kan deze persoon niets lezen van wat je doet op die beveiligde website.
Science fiction hoor ik jullie mompelen. Wel ik heb thuis een WIFI-hack device liggen (ik twijfel al lang of ik hier wel over zou bloggen), waarmee het kinderspel is om alle niet-beveiligde verbindingen in een ruimte met public wifi te gaan onderscheppen en meelezen.
Dus…
There’s π no π excuse π to π not π use π SSL π in π 2016
β Owen Williamsβ‘οΈ (@ow) 15 juni 2016
Met dank ook aan de interne techblogs van Wired, Yelp, Thenextweb.com… over hun ervaringen met een HTTPS migratie.
WordPress naar HTTPS brengen
Met dank aan mijn cloud webhoster Stone-IS was het een fluitje van een cent om een zogenaamd HTTPS certificaat van Let’s encrypt te gaan activeren vanuit mijn Plesk Serverpanel.
Let’s Encrypt wordt gesponsord door o.a. Cisco, FB, Chrome, Automattic,… en zorgt ervoor dat je geen duur certificaat meer nodig hebt, maar een veilig en gratis certificaat via hen kan krijgen. Leuk om te lezen is deze blogpost waarin ze openlijk spreken over hun werkingskosten en hoe ze deze financieren.
Daarna was het niet meer dan volgend HTTPS stappenplan volgen:
- Maak gebruik van de Nederlandse WP plugin Really Simple SSL daar deze het meeste voor jou gaat afhandelen (redirects en instellingen) en controleren.
- Ik heb in mijn WordPress database hardcoded http-links opgespoord naar images en interne links en met een SQL scriptje aangepast (met dank aan mijn MS SQL server consultancy periode lang geleden). Ping me voor eventuele support of gebruik 1 van de vele plugins.
- Nadien heb ik mijn domein nog doorgegeven op de HSTS preload list. Als je HSTS gaat configureren (zie deze mooie tutorial), denk dan wel even 2 keer na of dit in jou geval wel slim gaat zijn.
- Als laatste checklist item heb ik de zogenaamde SLL Server test uitgevoerd (die waar onze Belgische banken begin 2015 op faalden). Met dank aan de Stone-IS support is mijn cloudserver voorzien van de nodige updates, zodat ik nu een A-score haal op deze test.
Nog bijkomende stappen uit te voeren?
Developers denken dan inderdaad dat ze er zijn, maar helaas zijn er ook nog online marketeers, die dan pas beginnen zagen:
1 van de nadelen bij een HTTPS-migratie is het feit dat je bijvoorbeeld je social counter stats kwijt bent. Je kan hiervoor in de code wel wat zaken gaan aanpassen of gewoon een juiste plugin kiezen. Ik werk zelf met de betalende Mashshare plugin en die vangt dit voor mij op.
In de Google Search Console zal je de https-versie van je website opnieuw terug moeten verifiΓ«ren (enja ook alle subdomeinen) en instellen. Als het goed gaat, dan dien je dit te gaan zien in je Google Search Console properties. De HTTP indexatie dient te verdwijnen en de HTTPS indexatie dient deze daling op te vangen.
Ga in Google Analytics ook even het default domein aanpassen in de property settings.
Gebruik je Google Tag Manager, ga dan zeker alle tags en triggers na, want ik zie hier geregeld nog foutjes tegen gebeuren.
When you switch to HTTPS, double check you also switched your tracking and ad scripts to HTTPS, otherwise they'll be blocked by browsers
— Gary ι―¨ηοΌκ²½λ¦¬ Illyes (@methode) August 14, 2016
Heb je een Youtube channel ga daar dan ook je HTTPS-url gaan koppelen ipv. je vorige http-url (directe link).
Ga overal even je http-links naar je website (op je social profielen bvb) aanpassen naar de https-versie.
Ben je zeker dat je AL je subdomeinen ook mee heb overgezet? Ik heb een Mautic Marketing Automation installatie draaien en diende deze ook naar HTTPS over te zetten, daar het trackingscript wordt aangeroepen op mijn blog.
Het meest vergeten stapje: je referrer gegevens blijven doorgeven
Reeds in de zomer van 2015 heb ik een blogpostje geschreven bij Intracto over hoe referral data naar niet-https websites niet meer wordt meegegeven en dat je hier (zeker als blogger) best even een extra metatag voor gaat meegeven.
Wie in mijn code gaat neuzen, zal dan ook zien dat ik die metatag referrer (meer info hierover) heb ingesteld, zodat niet-https websites nog altijd merken dat er bezoekers vanop mijn blog naar hun website gaan.
Check de headers van je website
Een https certificaat is 1 ding. Check zeker ook even de HTTP response headers van je site via de handige testtool securityheaders.io.
Een (aangeraden) B-score haal je eenvoudig, door volgende lijntjes in de .htaccess van je website te gaan toevoegen.
Header set X-Frame-Options SAMEORIGIN
Header set X-Xss-Protection “1; mode=block”
Header set X-Content-Type-Options “nosniff”
Header set Strict-Transport-Security “max-age=31536000”
Support nodig om je website naar HTTPS te migreren?
Het mag duidelijk zijn dat een HTTPS migratie net iets verder rijkt dan wat playmobil SEO en er wat technische aspecten langskomen. Deze super tutorial laat dit nog meer zien (let op als je deze afprint heb je een half bos nodig).
Indien je technische SEO support kan gebruiken, ping me dan zeker!
En neen zo ga je niet overleven online in de volgende jaren, door HTTPS links te faken.
https://twitter.com/ericlaw/status/765586078199795712
Hallo Herman. Fijn te lezen dat de migratie vlot verlopen is. Zo’n SSL certificaat is een goed begin, zeker in 2016. Je kan nog een stap verder gaan door te kijken naar de security headers. Deze tool helpt je testen. https://securityheaders.io/?q=www.dailybits.be&hide=on&followRedirects=on
Wat een werk toch nog dat overzetten, maar ook wij hebben A status bij de SSL check: https://www.ssllabs.com/ssltest/analyze.html?d=www.telecom-update.nl
Wil nog wel de tip meegeven om je provider te vragen, cq de helpfiles te lezen.
Is het trouwens nodig om alle internet links te wijzigen naar https? Dit gebeurd toch automatisch?
‘Better Search Replace’ is eventueel een handige WordPress plugin om de http URL’s op te sporen en te vervangen door https.