SSL-certificaat: Verplicht of niet?

Een SSL-certificaat kan het verschil maken voor jouw website. Zowel de overheid als Google streven naar een zo veilig mogelijk internet. Zij oefenen steeds meer druk uit op eigenaren en ontwikkelaars van websites om het internet veiliger te maken. SSL-certificaten spelen hierin een belangrijke rol. Maar is een SSL-certificaat verplicht? In dit artikel geven we antwoord op die vraag. Daarnaast leggen we uit wat een SSL-certificaat is en wat het voor jouw site kan betekenen.

Wat is een SSL-certificaat?

Een SSL-certificaat is nodig om alle data die verstuurd wordt tussen een website bezoeker en de webserver te versleutelen. Wanneer er data onderschept wordt is deze door de versleuteling onleesbaar. Het certificaat is dus nodig voor een beveiligde verbinding tussen browser en webserver. Een site met een SSL-certificaat is te herkennen aan het hangslotje in de adresbalk van je browser.

Is een SSL-certificaat verplicht?

Het is door de Wet bescherming persoonsgegevens verplicht om gegevens op een veilige manier op te slaan, te verzenden en te ontvangen. Websites met betaal- en/of inlogmodules en zelfs contactformulieren zijn dus bij wet verplicht dat veilig te doen. De wet vereist niet expliciet een bepaalde technische oplossing, maar juridisch sta je heel zwak als je geen SSL-certificaat hebt. Een SSL-certificaat is dus niet letterlijk verplicht, maar we raden het wel ten zeerste aan.

Een SSL-certificaat heeft namelijk ook een aantal belangrijke voordelen. Uiteraard beveiligt een SSL-certificaat de gegevens van jou en je bezoekers. Ook blijkt uit een onderzoek van Tech-Ed dat 100% van de ondervraagden liever zaken doet met een bedrijf dat een SSL-certificaat gebruikt.

Een ander belangrijk voordeel van een SSL-certificaat is dat het al sinds eind 2014 een positief effect op de ranking in Google heeft. Google heeft op 17 december 2015 aangegeven SSL nog zwaarder te laten wegen bij het indexeren van websites.

Maar let op: om hiervoor in aanmerking te komen, dien je wel te voldoen aan de criteria die Google heeft gesteld.

Inlogpagina of betaalverkeer? Let op!

Niet alleen de overheid vindt het belangrijk dat persoonsgegevens goed beschermd worden. Voor websites met een inlogpagina of webshops waar betaalverkeer op plaatsvindt, zet Google met de nieuwe browserversie Chrome 56 een belangrijke stap. Vanaf januari 2017 staat in de browser naast de domeinnaam, in het rood “Not secure” of “Onveilig” aangevuld met een gevarendriehoek. Google laat weten dat deze melding regelmatig zal veranderen, omdat uit onderzoek blijkt dat gebruikers blind worden voor dergelijke meldingen indien ze deze vaak te zien krijgen.

HTTP/2

In de nabije toekomst wordt het HTTP/2-protocol de nieuwe standaard. In de nieuwste browserversies is dit protocol al geïmplementeerd. Deze nieuwe versie van het HTTP-protocol zorgt er in het kort voor dat de gegevensoverdracht sneller wordt. Het HTTP/2-protocol bevat vele kenmerken van het door Google uitgebrachte SPDY-protocol. Nu het gebruik van HTTP/2 toeneemt heeft Google aangegeven vanaf 15 mei 2016 de ondersteuning van SPDY op HTTP/1.1 te stoppen. Het HTTP/2-protocol is alleen te gebruiken wanneer je een SSL-certificaat hebt. Het HTTP/2-protocol is een stuk sneller dan zijn voorganger omdat verschillende assets tegelijkertijd ingeladen kunnen worden, iets wat met het HTTP-protocol niet mogelijk is. Om van de extra snelheid te kunnen profiteren heb je dus een SSL-certificaat nodig.

Enkele partijen die HTTP/2 al ondersteunen zijn: Chrome, Safari, Opera, Firefox en IE. Bij Savvii zijn we achter de schermen het protocol aan het Beta testen. Ook hebben we verschillende sites, waaronder deze site, al op HTTP/2 draaien.

Wel of geen SSL-certificaat?

Afhankelijk van het doel van jouw website, hoe deze functioneert en de investering die je bereid bent te doen zou je ervoor kunnen kiezen om via HTTP te blijven werken. Er zijn echter veel meer goede redenen te verzinnen om wel een SSL-certificaat te installeren. Werk je met persoonsgegevens? Wil je jouw bezoekers meer veiligheid bieden en een vertrouwd gevoel geven? Wil je hoog ranken in Google of wil je je conversieratio verhogen? Kies dan voor een SSL-certificaat.

Welk type SSL-certificaat?

Er zijn verschillende typen SSL-certificaten beschikbaar. De verschillende certificaten bieden we allemaal aan bij Savvii. Kijk op onze SSL-pagina of neem contact met ons op om je advies te geven.

Waarom een EV-certificaat nemen?

Wat we speciaal onder de aandacht willen brengen is het meest uitgebreide SSL-certificaat. Het EV-certificaat (Extended Validation) zien we tot op heden vaak alleen nog bij de grotere spelers. Denk bijvoorbeeld aan de banken Rabobank, ING of een grotere webshop als Bol.com.

In onze optiek hebben juist startende ondernemers of de kleinere webshops profijt van een EV-certificaat. Door de handelsnaam in de groene balk te tonen, weet de bezoeker dat het om een legitiem bedrijf gaat. Om een EV-certificaat te kunnen krijgen dien je namelijk aan strenge eisen te voldoen die gecontroleerd worden door een certificaatautoriteit (CA). Deze autoriteit controleert de identiteit van het bedrijf die het certificaat aanvraagt, iets wat bij een DV-certificaat niet wordt gedaan.

Waar de grotere firma’s vaak het vertrouwen van klanten al hebben gewonnen door een gevestigde naam te hebben, zullen de minder bekende bedrijven veel vertrouwen kunnen winnen met een EV-certificaat. Zonder vertrouwen bij je bezoekers op te wekken, zullen ze minder snel geneigd zijn om op de call-to-action buttons klikken! Je zou daarmee kunnen stellen dat de grote meerwaarde van het EV-certificaat zit in beter converterende sites. Ook kun je hiermee de identiteit van een brand sterker maken.

Verlies ik niet veel snelheid met een SSL-certificaat?

Laten we er niet om heen draaien. Doordat er een “handshake” plaats moet vinden tussen client en server om de geldigheid van het certificaat te controleren, verlies je in sommige situaties een aantal honderd milliseconden snelheid maar in veruit de meeste gevallen minder. Maar wanneer je bijvoorbeeld thuis komt na een dag hard werken, moet je ook eerst je sleutel in het slot steken om deze vervolgens open te draaien voordat je jouw woning kunt betreden. Dit kost je een paar seconden, maar wel vermindert dit de kans op inbrekers aanzienlijk!

Je hostingprovider kan de nodige tweaks uitvoeren om de snelheid op peil te houden. Zo hebben wij bij Savvii voldoende kennis in huis om met de nieuwste technieken er toch voor te zorgen dat sites snelheid behouden met SSL. Zo is het mogelijk Varnish en SSL samen te laten draaien. Hierbij blijft het van belang dat de applicatie geen cookies plaatst. Varnish in combinatie met SSL zorgt ervoor dat je site ondanks het gebruik van een SSL-certificaat toch de best mogelijke performance behoudt. We zien geregeld dat we sneller uit een speedtest komen met SSL dan bij een generieke host zonder het gebruik van SSL.

Een aantal andere technieken die we bij Savvii gebruiken om supersnelle WordPress sites te hosten zijn te vinden in deze blogpost.

Conclusie

Hopelijk is het duidelijk of een SSL-certificaat verplicht is. Ben je nog niet overgestapt op SSL? Dan is dit hét moment om actie te ondernemen! Informeer bij jouw webdeveloper of hostingprovider wat de mogelijkheden zijn en bepaal welk type certificaat je nodig hebt. Vraag hierbij ook naar de technieken die ingezet worden om zo min mogelijk in te leveren op snelheid.

Ben je klant bij Savvii en ben je overtuigd? Ga dan direct aan de slag met het instellen van jouw SSL-certificaat. Wij installeren standaard gratis een Let’s Encrypt DV-certificaat op elk domein waarvan de DNS naar ons platform staat. Lees hoe je SSL kunt instellen.

Wil je profiteren van de voordelen die een EV-certificaat met zich meebrengt? Bestel deze dan direct!

Heb je na het lezen van dit artikel nog een brandende vraag of wil je graag persoonlijk advies? Neem dan gerust contact op met ons op. Bel 024 – 820 00 00 of stuur een mail naar info@savvii.nl.

Gijs Hovens - Gijs is marketing manager bij Savvii. Hij heeft al bijna 10 jaar lang diverse WordPress websites en houdt zich bezig met o.a. SEO, SEA, onze producten en het organiseren van de WordPress Meetup Nijmegen.