Vanaf heden: HTTPS

HTTPS netsensei

HTTP inruilen voor HTTPS, dat stond nog op het lijstje. Ik heb dat net in orde gebracht. De S staat namelijk voor Secure. Met andere woorden, wanneer je rondstruint doorheen mijn blog, dan doe je dat vanaf nu veilig.

Waarom is dat belangrijk? Omdat er op het web ook mensen en organisaties zijn met minder goede bedoelingen. Wanneer mijn webserver een pagina naar jouw computer stuurt, dan wil je zeker zijn dat er tijdens het transport niet mee werd geknoeid. Dankzij HTTPS weet jouw computer automagisch dat de pagina die hij/zij ontvangt, ook daadwerkelijke de pagina is die oorspronkelijk werd verzonden.

Maar Matthias, kan je een voorbeeld geven van dergelijk “geknoei”? Wel, wanneer je surft op een “Free WIFI hotspot” – op hotel, in het station, luchthaven, restaurant,… – dan benader je het web via een toegang waarvan je niet weet of ze wel veilig is. Je stelt je vertrouwen in de uitbater van de hotspot. Voor niets gaat natuurlijk de zon op, en sommige uitbaters durven al eens advertenties te “injecteren” in webpagina’s die jij opvraagt. Daar zijn gedocumenteerde cases van. Ondanks dat dat overduidelijk een schending is van je privacy, is dat nog relatief tam. Vandaar is het immers maar een kleine stap om code te injecteren waarmee je computer kan worden gehackt. (Wat meteen ook een pleidooi is om niet zomaar op elk open, gratis netwerk te surfen!)

Bij HTTPS worden de pagina’s die jij opvraagt van een server, versleuteld verstuurd naar je browser. Enkel diegene met de juiste sleutel kan de pagina openen.

HTTPS is dus duidelijk een Goede Zaak. Matt Mullenweg kondigde onlangs aan dat bepaalde features in WordPress in de toekomst waarschijnlijk enkel nog met HTTPS zullen werken. Google gaat sneller beveiligde sites in zijn zoekresultaten tonen dan onbeveiligde websites. En vanaf 2017 gaat Chrome onbeveiligde sites “shamen”.  Met andere woorden, het wordt in de toekomst zelfs een basisvereiste om op het web te publiceren met versleuteling.

Waarom deed ik dat dan niet eerder? Om van HTTPS gebruik te maken met je bij een externe service een digitaal certificaat aanvragen. Dat certificaat kost doorgaans iets te veel om geen pijn te doen. Sinds kort is er een gratis alternatief dat zeer snel aan populariteit wint: Let’s Encrypt. Mocht je dus HTTPS op je weblog willen activeren: dan is dit wat je wil gebruiken.

6 replies

  • WordPress heeft dat blijkbaar zelf al aangepast. Want waar er vroeger http:// stond, is dat recentelijk omgeturnd naar https:// voor mijn blog.

    • matthias

      18 december 2016 at 2:58 pm

      Inderdaad. Jouw blog wordt gehost op het wordpress.com platform van Automattic. Zij doen dat soort wijzigingen voor jou. Ik host mijn blog op een eigen server dus ik moet dat zelf manueel doen. Niet dat ik dat erg vind: dat is een bewuste keuze omdat ik er zo ook iets uit leer.

  • Moest je gebruik maken van Google Search Console (vroeger ‘Google Webmaster Tools’), dan moet je deze hervalideren voor de nieuwe domeinnaam met HTTPS. Zoniet, dan zal je binnenkort al je data zien terugvallen naar nul. Beetje onhandig van Google, maar momenteel is er geen andere oplossing.

    • matthias

      18 december 2016 at 8:51 pm

      Ha! Het toeval wil dat ik dat op dit eigenste moment heb gearrangeerd.

      • Nice. 🙂 Ik merk trouwens ook dat je nog steeds zowel .nl als .be gebruikt, zonder duidelijke voorkeur. Ik kreeg namelijk dubbele meldingen in Feedly.

        • matthias

          21 december 2016 at 10:38 pm

          Thanks voor het opmerken! Ik heb de canonical URL niet ingesteld. Ligt waarschijnlijk daar aan. Hoewel ik vroeger de .nl pushte (was ook mijn eerste domeinnaam) wil ik nu wel overstappen op de .be. Wat logischer is. Search results be damned! De .nl wordt dan louter nog een alias.

Commentaar is gesloten