Wat is HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) is een internet communicatie protocol dat de integriteit en vertrouwelijkheid van gegevens tussen de computer van de gebruiker en de site beschermt. Gebruikers verwachten een veilige en privé online ervaring bij het gebruik van een website. We raden u aan om HTTPS te gebruiken om de verbindingen van uw gebruikers met uw website te beschermen, ongeacht de inhoud op de site.,
gegevens die met HTTPS worden verzonden, worden beveiligd via Transport Layer Security protocol (TLS), dat drie belangrijke beveiligingslagen biedt:
- versleuteling—versleuteling van de uitgewisselde gegevens om afluisteraars te beschermen. Dat betekent dat terwijl de gebruiker surft op een website, niemand kan “luisteren” naar hun gesprekken, bijhouden van hun activiteiten over meerdere pagina ‘ s, of stelen hun informatie.
- gegevensintegriteit-gegevens kunnen niet worden gewijzigd of beschadigd tijdens de overdracht, opzettelijk of anderszins, zonder te worden gedetecteerd.,
- authenticatie-bewijst dat uw gebruikers communiceren met de beoogde website. Het beschermt tegen man-in-the-middle aanvallen en bouwt het vertrouwen van de gebruiker op, wat zich vertaalt in andere zakelijke voordelen.
beste praktijken bij het implementeren van HTTPS
gebruik robuuste beveiligingscertificaten
u moet een beveiligingscertificaat verkrijgen als onderdeel van het inschakelen van HTTPS voor uw site. Het certificaat wordt uitgegeven door een certificate authority (CA), die stappen onderneemt om te controleren of uw webadres daadwerkelijk bij uw organisatie hoort, waardoor uw klanten worden beschermd tegen man-in-the-middle-aanvallen., Zorg bij het instellen van uw certificaat voor een hoog beveiligingsniveau door een 2048-bit sleutel te kiezen. Als u al een certificaat met een zwakkere sleutel (1024-bit), upgrade het naar 2048 bits. Houd bij het kiezen van uw sitecertificaat rekening met het volgende:
gebruik server-side 301 redirects
Leid uw gebruikers en zoekmachines om naar de HTTPS-pagina of bron met server-side 301 HTTP redirects.
Controleer of uw HTTPS-pagina ’s kunnen worden doorzocht en geïndexeerd door Google
- blokkeer uw HTTPS-pagina’ s niet door robots.txt-bestanden.,
- neem
noindex
tags niet op in uw HTTPS-pagina ‘ s. - gebruik het URL-inspectieprogramma om te testen of Googlebot toegang heeft tot uw pagina ‘ s.
ondersteuning HSTS
we raden aan dat HTTPS-sites HSTS ondersteunen (HTTP Strict Transport Security). HSTS vertelt de browser om automatisch HTTPS-pagina ‘ s aan te vragen, zelfs als de gebruiker http
invoert in de locatiebalk van de browser. Het vertelt Google ook om veilige URL ‘ s te dienen in de zoekresultaten. Dit alles minimaliseert het risico van het dienen van onbeveiligde inhoud aan uw gebruikers.,
om HST ‘ s te ondersteunen, gebruikt u een webserver die dit ondersteunt en schakelt u de functionaliteit in.
hoewel het veiliger is, voegt HST ‘ s complexiteit toe aan uw rollback-strategie. We raden aan om HST ’s op deze manier in te schakelen:
- rol eerst uw HTTPS-pagina’ s uit zonder HST ‘ s.
- begin met het verzenden van HST-headers met een korte
max-age
. Monitor uw verkeer zowel van gebruikers en andere clients, en ook de prestaties van dependents’, zoals advertenties. - verhoog langzaam de HST ‘ s
max-age
., -
als HST ’s geen negatieve invloed hebben op uw gebruikers en zoekmachines, kunt u, als u dat wilt, uw site vragen om Toegevoegd te worden aan de HST’ s preload lijst die door de meeste grote browsers wordt gebruikt.
overweeg het gebruik van HSTS-voorloading
Als u HSTS inschakelt, kunt u optioneel HSTS-voorloading ondersteunen voor extra beveiliging en verbeterde prestaties. Om het vooraf laden in te schakelen, moet u hstspreload.org en volg de aanmeldingsvereisten voor uw site.,
Vermijd deze veelvoorkomende valkuilen
gedurende het proces van het beveiligen van uw site met TLS, vermijd de volgende fouten:
Issue | actie |
---|---|
verlopen certificaten | zorg ervoor dat uw certificaat is altijd up-to-date. |
certificaat geregistreerd op onjuiste websitenaam | Controleer of u een certificaat hebt verkregen voor alle hostnamen die uw site bedient. Bijvoorbeeld, als uw certificaat alleen betrekking heeft op www.example.com, een bezoeker die laadt uw site met behulp van slechts voorbeeld.,com (zonder de ” www.”prefix)zal worden geblokkeerd door een fout van de certificaatnaam mismatch. |
ontbrekende Servernaamindicatie (SNI) ondersteuning | zorg ervoor dat uw webserver SNI ondersteunt en dat uw publiek over het algemeen ondersteunde browsers gebruikt. Terwijl SNI wordt ondersteund door alle moderne browsers, heb je een dedicated IP nodig als je oudere browsers wilt ondersteunen. |
Crawl issues | blokkeer niet dat uw HTTPS-site kruipt met robots.txt . |
Indexeringskwesties | staan indexering van uw pagina ‘ s door zoekmachines waar mogelijk toe., Vermijd de tag noindex . |
oude protocolversies | oude protocolversies zijn kwetsbaar; zorg ervoor dat u de nieuwste en nieuwste versies van TLS-bibliotheken hebt en implementeer de nieuwste protocolversies. |
gemengde beveiligingselementen | sluiten alleen https-inhoud in op HTTPS-pagina ‘ s. |
verschillende inhoud op HTTP en HTTPS | zorg ervoor dat de inhoud op uw HTTP-site en uw HTTPS hetzelfde is. |
HTTP-statuscode fouten op HTTPS | Controleer of uw website de juiste HTTP-statuscode retourneert., Bijvoorbeeld 200 OK voor toegankelijke pagina ‘ s, of 404 of 410 Voor pagina ‘ s die niet bestaan. |
meer tips
zie de veelgestelde vragen over HTTPS-migratie voor meer tips over het gebruik van HTTPS-pagina ‘ s op uw site.
migreren van HTTP naar HTTPS
Als u uw site migreert van HTTP naar HTTPS, behandelt Google dit gewoon als een site verplaatsen met URL-wijzigingen. Dit kan tijdelijk invloed hebben op sommige van uw verkeer nummers. Zie de overzichtspagina van site move voor meer informatie.,
voeg de nieuwe HTTPS-eigenschap toe aan Search Console: Search Console behandelt HTTP en HTTPS afzonderlijk: gegevens worden niet gedeeld tussen eigenschappen in Search Console.
zie de pagina probleemoplossing voor sitemap moves om problemen met uw migratie op te lossen.