Wat is HTTPS Everywhere?
HTTPS Everywhere is een best practice voor beveiliging die ervoor zorgt dat de complete gebruikerservaring is beschermd tegen bedreigingen. De term verwijst naar het gebruik van HTTPS, het veilige webprotocol dat mogelijk wordt gemaakt door TLS/SSL op de hele website in plaats van alleen op bepaalde pagina's. Dit betekent dat elke pagina op uw site is beveiligd met TLS/SSL-versleuteling en niet als onveilig wordt aangemerkt door webbrowsers.
Met HTTPS worden de identiteit van de website, de verbinding en de gegevensintegriteit geauthenticeerd, en wordt alle informatie die wordt uitgewisseld tussen website en bezoeker (inclusief cookies) versleuteld. Dat beschermt de gegevens tegen onderschepping en manipulatie door kwaadwillenden. Door te zorgen voor een veilige verbinding gedurende de hele sessie, kunt u garanderen dat uw websitebezoekers zijn beveiligd tegen spoofing, code-injecties en man-in-the-middle-aanvallen.
Browser en de roep om HTTPS
Het is niet langer acceptabel om alleen maar een deel van de verbindingen met uw gebruikers te beveiligen. Als u HTTPS niet consequent toepast op uw site, zijn alleen bepaalde pagina's beveiligd met versleuteling en TLS/SSL, en zijn de andere pagina's kwetsbaar voor gegevensdiefstal, code-injectie en manipulatie van inhoud, en schending van privacy. Als u TLS/SSL niet overal implementeert, voldoet u niet aan de verwachtingen van uw gebruikers en komt u niet tegemoet aan de verwachtingen van browsers en besturingssystemen.
In een langdurige poging om het gebruik van te stimuleren, werden er in de browser van Google, Mozilla en Apple waarschuwingen weergegeven voor websites met alleen HTTP. Daarmee werd de aandacht gevestigd op het gebruik van het veiligere HTTPS.
Waarom u uw website moet beveiligen met HTTPS Everywhere
Vertrouwen is de basis van de interneteconomie. Maar om dat vertrouwen te verdienen, moet u alle webpagina's van uw site beschermen – niet alleen aanmeld- en betaalpagina's. In nieuwe internetnormen en webbrowsers worden websites die HTTPS gebruiken actief bevoordeeld en onveilige websites met alleen HTTP benadeeld. Google geeft pagina's met HTTPS al sinds 2014 een hogere positie in zijn zoekresultaten. Ook werd ooit in de adresbalk van HTTPS-pagina's het woord 'Veilig' weergegeven. Sinds juli 2018 wordt in Google Chrome een beveiligingswaarschuwing getoond voor pagina's met alleen HTTP.
Chrome was de eerste grote browser die gebruikers een waarschuwing liet zien voor alle HTTP-pagina's; andere browsers volgden al snel als deel van de overgang naar "secure by default" als norm. Daarnaast werken veel webtechnologieën en browsers op basis van HTTPS. Een voorbeeld daarvan is HTTP/2, een fundamentele verbetering van het communicatieprotocol voor internet. Hierdoor werken websites niet alleen sneller, maar kunnen ook functies worden gebruikt zoals locatiebepaling, meldingen, Service Workers, Google AMP voor mobiele sites, nieuwe compressiemethoden en nog veel meer. Kortom, een website zonder HTTPS is volstrekt achterhaald.
Drie tips voor het overstappen op HTTPS Everywhere
1. Zorg dat eventuele services van derden, zoals advertenties of analytics, ook beschikbaar zijn via HTTPS om te voorkomen dat u problemen krijgt met "gemengde inhoud".
2. Koop extra TLS/SSL-certificaten als verschillende delen van uw website zich op verschillende servers of in verschillende domeinen bevinden.
3. Laat al uw webpagina's doorverwijzen naar de nieuwe HTTPS-variant en update uw Google Webmaster-tools. De overstap op HTTPS Everywhere heeft ook gevolgen voor SEO. Google en andere zoekmachines beschouwen dit als een verhuizing van uw website, net alsof u naar een nieuw domein gaat.