Herken je het? Je hebt wel een SSL certificaat aangeschaft, laten installeren op je hosting pakket, maar je site blijft op http draaien? Of wordt jouw website nog altijd niet als ‘veilig’ aangeduid in de browser balk? Daar zijn vaak vrij eenvoudige oorzaken voor en daar zijn dus ook bijbehorende oplossingen voor beschikbaar.
Als het je al is opgevallen dat je site niet goed functioneert op https, ondanks het SSL certificaat, kiezen er vele voor om het er maar bij te laten. De site opent op https:://www.jouwdomein.nl en dat is voor nu dan ook wel voldoende. Laat jij het er ook bij zitten? Je wilt toch dat de gedane moeite bijdraagt aan jouw online resultaten?
Waarom de ophef over SSL en HTTPS?
Ruim een jaar wordt er nu veel aandacht besteed aan het hebben van een SSL certificaat voor je website. Met een SSL certificaat kan het verkeer van de website over de veilige, versleutelde verbinding van https de website bezoeken. Google Chrome heeft vorig jaar de stap gezet om sites zonder SSL certificaat te voorzien van het kenmerk ‘onveilig’ in de adresbalk bij het invullen van een formulier veld. Denk hierbij aan nieuwsbrief inschrijfformulier, een eenvoudig contactformulier en zelfs het zoekvenster.
Resultaat van het hebben van een kenmerk ‘niet veilig’ in je adresbalk? Je raad het al, net als jijzelf, gaat een andere bezoeker daar niet zomaar mee verder. Dit betekend dat alle moeite die je hebt gedaan om bezoekers te trekken op je website, op het punt van conversie geconfronteerd worden met de melding dat jouw site niet veilig is.
DIt is wat men zal zien in de adresbalk op dit moment in Google Chrome, inmiddels doet Firefox exact het zelfde.
Meest voorkomende problemen na toevoegen SSL certificaat
Er zijn twee problemen die vaak voorkomen:
- bezoek kan zowel op de http (niet SSL certificaat verbinding) als op de https versie de website bekijken
- bezoek op https versie van de website krijgt niet de melding veilig te zien
Het resultaat van beide veel voorkomende problemen kan verstrekkende gevolgen hebben. Je site op https en http beschikbaar en dus door Google indexeerbaar betekent in feite dat Google twee keer zoveel pagina’s van jouw site kent. Omdat de helft van de gevonden pagina's een copy van elkaar is wordt de ranking gehalveerd. Nu is dit niet geheel SEO technisch juist, maar hier komt het grofweg wel op neer.
Het gewenste resultaat in de browser balk.
Het hebben van een SSL certificaat maar nog altijd niet het kenmerk ‘veilig’ in de adresbalk betekend dat het niet bijdraagt aan conversie en er voor kan zorgen dat inhoud niet juist getoond wordt. Vaak is de reden voor dit probleem dat er inhoud wordt geladen die niet veilig is.
Bezoekers forceren op https de website te bezoeken
Het is belangrijk dat de website slechts op 1 domein en op 1 protocol beschikbaar is. Dus jouw website is beschikbaar op www.jouwdomein.nl of op jouwdomein.nl , en alleen op de https of alleen op de http versie. In dit geval, is het van belang dat het bezoek de https versie gaat gebruiken.
Dit is eenvoudig te forceren door in de .htaccess file (in de root van je website folder op een Linux Apache configuratie) een aantal regels toe te voegen.
RewriteEngine On | |
RewriteCond %{HTTPS} !=on | |
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] |
Deze regels zorgen er voor dat als er bezoek komt, dat geen gebruikmaakt van de https ingang naar jouw website, automatisch daar wordt gestuurd naar de https versie. Ook Google en andere zoekmachines worden verteld dat de inhoud van de website op slechts één manier te bereiken is. Door hier een 301 forward van te maken, vertelt de webserver de browser en zoekmachines ook dat deze verandering permanent is.
Controleer of alle inhoud via https wordt ingeladen.
Het tweede veel voorkomende probleem is dat ondanks dat het bezoek netjes op https binnen komt, de browser niet aangeeft dat het veilig is. De meest voorkomende oorzaak zijn links naar afbeeldingen die zijn gelegd voor dat er een SSL certificaat aanwezig was en dus voordat content beheer via https werd gedaan. Daarnaast komt het vaak voor dat er nog javascript of iframes worden gebruikt die naar niet https sites verwijzen.
Op het moment dat jouw website op https draait en er wordt een frame ingeladen van bijvoorbeeld je CRM systeem, wat niet op https draait, wordt het iframe niet getoond. Hierdoor valt een gedeelte van de werking van je website weg.
Afbeeldingen over niet https verbindingen worden wel geladen maar zorgen er voor dat het groene kenmerk van ‘veilig’ niet meer aanwezig is in de adresbalk.
Dit wordt vaak aangeduid met een mixed content foutmelding.
Oplossen van mixed content meldingen.
Om de meldingen van mixed content op te lossen, moet eerst in kaart worden gebracht om wat voor typ mixed content het gaat. Er zijn twee type mixed content: content vanaf eigen domein en content vanaf andere locaties.
- Controleer interne bronnen, zoals afbeeldingen, iframes. Dit zijn alle niet https links die in de content staan, doorgaans van type 'src'
Om zeker te zijn dat alles is aangepast is het verstandig dit te controleren in de database van het CMS systeem zoals bijvoorbeeld WordPress. - Controleer alle links naar 3rden op op aanwezig zijn in HTTPS. Denk bijvoorbeeld javascript plugins of fonts, die nog voor de HTTPS tijdperk in gebruik zijn genomen.
Het kan voorkomen dat een bron, bijvoorbeeld een font of iframe, niet beschikbaar is op https. Voor deze pagina zit er eigenlijk niets anders op dan het verkeer weer te forceren om over de http versie de site te bekijken of genoegen te nemen met het feit dat dit onderdeel niet werkt op jouw website.