Wacht even, bestaan er daar echt twee van? Onoplettende gebruikers merken het vaak niet, maar HTTP (of http://) en HTTPS (https://) komen beide voor aan het begin van een URL en vormen een groot verschil in alle webpagina's die u dagelijks bezoekt. Zelfs als u weinig interesse heeft in hoe dingen werken, zal dit artikel volgens ons toch uw horizon verruimen. Beschouw dit als uw eerste les als u meer wilt weten over internetbeveiliging.
Dit is het verschil tussen HTTP en HTTPS, zoals wordt uitgelegd in deze verbazingwekkende infografiek gemaakt door FirstSiteGuide (alleen beschikbaar in het Engels). Hieronder geef ik meer uitleg over de belangrijkste punten.
HTTP: Geen Encryptie van Gegevens Geïmplementeerd
Elke URL-link die begint met HTTP gebruikt een basistype van 'hypertext transfer protocol'. Deze netwerkprotocolstandaard, ontwikkeld door Tim Berners-Lee in het begin van de jaren 1990, toen het internet nog in zijn kinderschoenen stond, zorgt ervoor dat webbrowsers en servers kunnen communiceren door gegevens uit te wisselen.
HTTP wordt ook wel een 'staatloos systeem' genoemd, wat betekent dat het op aanvraag een verbinding tot stand brengt. U klikt op een link, vraagt zo een verbinding aan, en uw webbrowser stuurt deze aanvraag naar de server, die reageert door de pagina te openen. Hoe sneller de verbinding, hoe sneller u de gegevens te zien krijgt.
Als 'toepassing laag protocol' blijft HTTP gericht op het presenteren van informatie, maar houdt het zich minder bezig met de manier waarop informatie van de ene plaats naar de andere wordt overgedragen. Dat betekent helaas dat HTTP onderschept en mogelijk gemanipuleerd kan worden, waardoor zowel de informatie als de ontvanger ervan (u dus) kwetsbaar worden.
HTTPS: Versleutelde Verbindingen
HTTPS is niet de tegenhanger van HTTP, eerder zijn jongere neefje. De twee zijn in wezen hetzelfde, omdat ze beide verwijzen naar hetzelfde 'hypertext transfer protocol', dat ervoor zorgt dat webgegevens op uw scherm worden weergegeven. HTTPS werkt echter iets anders, is meer geavanceerd en veel veiliger.
Eenvoudig gezegd: het HTTPS-protocol is een uitbreiding van HTTP. Die 'S' in de afkorting staat voor Secure (veilig) en aan de basis ervan ligt Transport Layer Security (TLS) [de opvolger van Secure Sockets Layer (SSL)], de standaardbeveiligingstechnologie die een versleutelde verbinding tot stand brengt tussen een webserver en een browser.
Zonder HTTPS zouden alle gegevens die u op de website invoert (zoals gebruikersnaam/wachtwoord, creditcard- of bankgegevens, andere formuliergegevens enz.) gewoon worden verzonden en kunnen worden onderschept of afgeluisterd. Daarom moet u altijd controleren of een website HTTPS gebruikt voordat u gegevens invoert.
Naast het versleutelen van de gegevens die tussen de server en uw browser worden verzonden, authenticeert TLS ook de server waarmee u verbinding maakt en beschermt de verzonden gegevens tegen manipulatie.
Ik bekijk het als volgt, HTTP in HTTPS is het equivalent van een bestemming, terwijl SSL het equivalent is van een reis. Het eerste is verantwoordelijk om de gegevens op uw scherm weer te geven en het tweede bepaalt de manier waarop deze op het scherm terechtkomen. Samen zorgen ze voor een veilige gegevensoverdracht.
De Voordelen en Nadelen van HTTPS
Zoals hierboven besproken, helpt HTTPS de cyberveiligheid te garanderen. Het is zonder twijfel een betere oplossing van netwerkprotocol dan zijn oudere neef, HTTP.
Heeft HTTPS dan alleen maar voordelen? Of zijn er ook nadelen aan verbonden? Laten we eens kijken.
De Voordelen van HTTPS
De hierboven vermelde beveiligingsvoordelen – de server authenticeren, de gegevensoverdracht versleutelen en de uitwisseling beschermen tegen manipulatie – zijn de voor de hand liggende voordelen van HTTPS. Siteoperators willen en moeten de gegevens van hun bezoekers beschermen (HTTPS is een vereiste voor websites die betalingsgegevens verzamelen in overeenstemming met de PCI Data Security Standard) en bezoekers willen weten dat hun gegevens op een veilige manier worden verzonden.
De stijgende vraag naar privacy en gegevensbeveiliging van het publiek is een bijkomend voordeel van het gebruik van HTTPS. Volgens We Make Websites worden 13% van de winkelwagentjes niet afgerekend vanwege twijfels over de beveiliging van de betalingsgegevens. Sitebezoekers willen weten dat ze uw site kunnen vertrouwen, vooral als ze financiële gegevens invoeren, en HTTPS gebruiken is één manier om dat te doen (d.w.z. het is een manier om uw bezoekers te tonen dat de ingevoerde gegevens versleuteld worden).
HTTPS kan ook helpen bij uw Zoekmachine Optimalisatie (SEO). In 2014 kondigde Google aan dat HTTPS een ranking-signaal zou worden. Sindsdien hebben een aantal studies en anekdotische ervaringen van bedrijven, die HTTPS geïmplementeerd hebben, aangetoond dat er een verband is tussen hogere ranking en de zichtbaarheid van pagina's.
Browsers doen ook moeite om het gebruik van HTTPS te vergroten door UI-wijzigingen door te voeren die een negatieve impact hebben op niet-HTTPS websites. Zo kondigde Google eerder dit jaar aan dat Chrome vanaf juli alle HTTP-sites als onveilig zou markeren.
Geplande UI-wijzigingen in Chrome van Googles oorspronkelijke aankondiging in februari 2018 (bron)
Als u een http-website bekijkt (in Chrome 66) ziet u een waarschuwing die bezoekers laat weten dat hun verbinding niet veilig is als u op het pictogram 'meer informatie' in de adresbalk klikt.
Voorbeeld van waarschuwing voor HTTP-site in Chrome 66 (dankzij badssl.com voor voorbeeld HTTP-site)
Firefox heeft ook laten weten dat het van plan is om HTTP-websites te markeren. Stelt u eens voor wat voor invloed dit zou hebben op uw merkreputatie en marketing, het verwerven van nieuwe klanten en verkoop. De enige manier om met deze wijziging om te gaan is dat u zich aanpast – gebruik HTTPS voor uw website!
Aandachtspunten voordat u overschakelt naar HTTPS
Hoewel de overschakeling van HTTP naar HTTPS een eenrichtingsstraat is, zijn er toch nog veel mensen die op een zijspoor belanden, waarschijnlijk door het grote aantal opties die hen worden voorgeschoteld.
Kortom, het eerder besproken proces bestaat uit deze vier stappen:
- Een SSL-certificaat kopen van een vertrouwde certificeringsinstantie
- Het certificaat installeren op de hosting account van uw website
- 301 Redirects instellen door het volgende toe te voegen aan uw .htaccess-bestand in uw hoofdmap:
- RewriteEngine On
- RewriteCond %{HTTPS} off
- RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
- Zoekmachines inlichten dat de adressen van uw website gewijzigd zijn en dat iedereen die daarna uw website bezoekt, automatisch wordt doorgestuurd naar het HTTPS-adres.
Maak u geen zorgen als dit allemaal nogal ingewikkeld lijkt. Uw mogelijkheden zijn niet uitgeput!
Veel hostingbedrijven bieden tegenwoordig SSL-certificaten aan als onderdeel van hun diensten en doen het meeste werk zelf (de eerste drie van de vier hierboven vermelde stappen). U hoeft uw bezoekers enkel naar het juiste adres te leiden. Maar let op! Dit kan u een aardige duit kosten.
De toekomst
Hoe het ook zij, er zijn tegenwoordig meer dan 4 miljard internetgebruikers, gebruikers van content, klanten en dergelijke. De combinatie van de vraag van gebruikers (sitebezoekers zijn zich meer dan ooit bewust van gegevensbeveiliging), regelgeving (bv. PCI DSS) en aanmoediging van browsers (bv. plannen om HTTP-sites als onveilig te markeren), zorgt ervoor dat de volledige overstap van HTTP naar HTTPS binnenkort in zal gaan.
Opmerking: dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.
