De overstap maken naar volledig SSL voor je webwinkel? De laatste tijd zien we overal blogartikelen verschijnen sinds Google heeft aangekondigd het gebruik van een beveiligde verbinding (https) mee te nemen als rankingfactor. Naast hoger in Google biedt volledige SSL veel extra voordelen. Op het forum van webwinkelcommunity kwam er ook al een vraag voorbij over hoe over te stappen naar volledig SSL. Mede door deze vraag heb ik een stappenplan beschreven die jou kan helpen bij het makkelijk(er) maken met de overstap naar SSL.
Sinds Google naar buiten is gekomen met SSL als ranking factor denken steeds meer webwinkels er over om over te stappen naar een beveiligde verbinding. Nu was het natuurlijk al langer wettelijk verplicht om persoonsgegevens te beschermen. Lees hiervoor ook het artikel: SSL voor webwinkels verplicht?
Ik ga dan ook niet meer uitleggen wat SSL of https inhoud dat kun je al voldoende terug vinden. Wat je nog niet volledig terugvind zijn de stappen die je als webwinkel moet volgen om ervoor te zorgen dat de migratie van http naar https goed verloopt. In het kort kun je de volgende stappen onthouden:
- SSL aanvragen en installeren
- SSL inregelen op je webwinkel
- Controle interne links / afbeeldingen
- Redirects instellen (301)
- Verwijzingen in robots.txt (bv. sitemap)
- Externe HTTP links vervangen door HTTPS
- Eindcontrole
SSL aanvragen + accepteren
Het aanvragen van een SSL certificaat kun je doen via je hostingprovider, of via een externe aanbieder. Daarin zul je zien dat er veel verschillende types SSL certificaten zijn variërend van een paar euro tot honderden euro’s per jaar. Op basis van onze vorige blog rondom de verschillende types SSL certificaten kun je een keuze maken welke certificaat voor jou geschikt is. Je kunt eventueel ook kiezen voor de securityscan van WebwinkelKeur waarbij je het eerste jaar gratis een SSL certificaat krijgt.
Heb je een SAAS webwinkel zoals Lighspeed, CCVshop of Mijnwebwinkel dan is een SSL certificaat vaak niet extern te regelen en dien je contact op te nemen met de aanbieder van je webwinkel software.
SSL installeren op je hostingpakket
Het installeren van een SSL certificaat is niet moeilijk, toch verschillen de stappen per hostingpakket. Vraag daarom bij je hosting provider na hoe je een SSL certificaat kan installeren. Schaf je een SSL certificaat aan via een externe partij? Dan geven zij vrijwel altijd instructies hoe de aanvraag en installatie in zijn werk gaat. Na installatie van het SSL certificaat kun je controleren of alles goed is gegaan via de SSLcheck van Xolphin.
SSL regelen op de webwinkel
Je SSL verbinding is nu actief, echter moet je nu nog in je webwinkel instellen dat ook de HTTPS url in plaats van de HTTP url wordt gebruikt. Hoe dat precies in zijn werk gaat verschilt per webwinkel software. Voor veelgebruikte software als Magento, Prestashop, Opencart 1 en 2 en Woocommerce is genoeg uitleg te vinden.
Om een volledig beveiligde verbinding tussen een browser en je webwinkel op te kunnen zetten, is het van belang dat alles wat wordt ingeladen ook daadwerkelijk via het HTTPS-protocol wordt ingeladen. Dit betekent dat ook de externe verwijzingen en afbeeldingen via HTTPS opgevraagd moeten worden. Externe verwijzingen zijn bijvoorbeeld een Facebook like knop, een chatapplicatie en de WebwinkelKeur banners. De meeste van deze verwijzingen zullen standaard HTTPS ondersteunen, maar belangrijk is om dit wel goed te controleren. Staat er slechts 1 verwijzingen naar een http locatie, dan zal er geen SSL slotje in de adresbalk verschijnen en is je webwinkel dus niet veilig. Controleer na deze stap of alles goed is ingesteld met een tool zoals why no padlock?
Controle interne links / afbeeldingen
Zorg ervoor dat je je complete webwinkel na loopt op interne links zodat er nergens http verwijzingen meer staan. Een manier waarop je alle interne link kan controleren is een tool zoals screaming frog.
Redirects instellen (301)
Zodra je webwinkel helemaal beveiligd is kun je de redirects instellen. Dit zorgt ervoor dat iemand die alsnog een http url intypt automatisch naar de juiste https pagina wordt doorgestuurd. Om ervoor te zorgen dat alles naar https gaat kun bij de meeste hosters een .htaccess bestand gebruiken. Middels de volgende code in je .htaccess bestand worden de bezoekers doorgeleid naar de HTTPS pagina.
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Deze code zet zowel niet WWW urls om naar WWW. als http naar HTTPS. Hiermee worden alle bezoekers, en ook zoekmachines of andere bots, automatisch doorverwezen naar de juiste https-variant van de opgevraagde URL. Let op: zorg ervoor dat ook je canonical tag naar de juiste locatie verwijst, ofwel dat de URL daar ook begint met https.
Verwijzingen in robots.txt
Natuurlijk heeft jouw webwinkel ook een robots.txt (een bestand dat aangeeft welke bestanden een zoekmachine mag indexeren). Daarin staat als het goed is ook de link naar je sitemap(s) Vergeet niet om deze en eventuele andere links aan te passen.
User-Agent: *
Allow: /
Sitemap: https://www.jouwwebwinkel.nl/sitemap.xml
Vergeet niet dat je je sitemap ook aan moet passen in Google Search Console. Laat de oude sitemaps nog wel voor ongeveer 30 dagen staan zodat de zoekmachines nog je oude urls kunnen crawlen en de 301 redirect kunnen verwerken.
Externe links wijzigen
Vrijwel alle verwijzingen naar jouw webwinkel zullen de oude http url gebruiken. In principe worden deze automatisch doorgestuurd naar de nieuwe https url, maar toch is het belangrijk om zoveel mogelijk de oude links te (laten) wijzigen naar de nieuwe link. Dit doe je met de volgende stappen.
Maak een lijst met inkomende links
Via Google Search Console (voorheen Google Webmaster Tools) of screamingfrog kun je een lijst exporteren van alle inkomende links. Probeer hierbij de beste websites eruit te halen en deze een mail te sturen met het verzoek om de link naar je webwinkel aan te passen naar https://
Controle links in externe programma’s
Vergeet zeker niet de externe programma’s waar je je webwinkel hebt aangemeld. Je kunt hierbij denken aan Adwords, Google mijn bedrijf, Bing, Hotjar of Copernica
In Adwords kun je bij iedere advertentie bij de uiteindelijke link aangeven of dit http:// of https:// moet zijn.
Vergeet zeker niet om ook alle extensies binnen adwords te doorlopen.
Toevoegen van https in Google Search Console
Voeg aan Google Search Console ook je https property van je webwinkel toe. Controleer bij deze pagina geregeld of er geen fouten zijn die aandacht nodig hebben.
Vervang de url van je website in Google Analytics of Google Tag Manager
Binnen Google Analytics dien je op verschillende plaatsen http te vervangen door https. Dit doe je door naar het desbetreffende account te gaan, daar de property te selecteren en te kiezen voor property instellingen. Hier kun je de standaard url aanpassen naar https.
Let op: doe dit ook met je weergave (view)
Niet vergeten: ook het script wat je op je website hebt geïmplementeerd te controleren.
Controleer je Social Media kanalen
Bij de meeste social media kanalen kun je ook je webwinkel url invoeren. Loop daarom ook zeker alle social media kanalen door om ook deze aan te passen.
PSP instellingen
Een belangrijk stuk van je webwinkel is natuurlijk de koppeling met je PSP (payment service provider) Bij deze zal je zeker je instellingen door moeten lopen omdat iedere PSP helaas anders omgaat met een SSL beveiliging. Denk hierbij bijvoorbeeld aan de bedankpagina waarvan je de url natuurlijk ook moet aanpassen naar https.
Eindcontrole
Nog een laatste controle of je wel alles gehad hebt. Dit kun je doen door bijvoorbeeld met screaming frog opnieuw je site te laten crawlen, maar voer natuurlijk ook zelf even een zoekopdracht uit via Google of Bing om te kijken of de urls al zijn doorgevoerd.
Maak gebruik van de Fetchen als Google in je search console om te controleren of zoekmachines ook daadwerkelijk je site kunnen crawlen.
Controleer als laatste of je SSL-certificaat een goed cijfer ontvangt van bijvoorbeeld SSL labs. Dit doe je door naar deze site te gaan en je webwinkel url in te voeren: https://www.ssllabs.com/ssltest/
Tip: Vergeet niet om het vinkje uit te vinken bij: Do not show the results on the boards anders wordt je score openbaar gemaakt.
Heb jij jouw webwinkel al over naar volledig SSL? Ben je nog tegen andere problemen aangelopen? Ik hoor ze graag zodat ik deze blogpost kan blijven updaten!
Reacties
Goedemiddag,
Ik was benieuwd of u aan kunt geven wat een oorzaak zou kunnen zijn waarom bij mij de zgn. “secure calls made to other websites” een rood kruis generen. Het certificaat is juist ingesteld en het ontvangt ook een goed cijfer ontvangt van SSL labs. Ze vermelden wel allen “is secure and valid”.
Ik heb het idee dat er in je broncode van je website dan toch nog http:// verwijzingen zijn, bijvoorbeeld naar externe .js of .css files of bijvoorbeeld afbeeldingen. Je kunt binnen een pagina met SSL verbinding namelijk niet verwijzen naar bronbestanden die geen SSL verbinding hebben.
Great read, thanks a lot for posting this and continue the great work please.