Een veilige website voor je bezoekers: HTTPS

Deel 1: Wat is HTTPS en wat doet het?

Wie wil dat zijn website goed wordt bezocht, zorgt dat zijn bezoekers en klanten zich er prettig voelen. Een gevoel van veiligheid en vertrouwen kunnen daarbij een belangrijke bijdrage leveren.  HTTPS (ook: SSL of TLS) waarborgt een veilige gegevensoverdracht met je bezoekers, versterkt het gevoel van veiligheid van je bezoekers en zorgt dat je met je online activiteiten binnen de grenzen van de wet blijft.

Wat is HTTPS?

Wanneer een bezoeker in zijn browser naar een website gaat, verloopt alle communicatie tussen de  browser en de webserver volgens een afgesproken protocol. Dit protocol heet HTTP. Wanneer nu gebruik wordt gemaakt van HTTPS (zeg maar: HTTP met er aan toegevoegd de S van Secure) dan wordt ditzelfde HTTP protocol gebruikt maar nu met een aantal veiligheids-verhogende kenmerken.

Letterlijk betekent HTTPS HyperText Transfer Protocol Secure, een begrip dat je beter direct weer kunt vergeten. In de praktijk betekent HTTPS: HTTP met verhoogde Security. De technische aanduiding voor HTTPS is SSL (Secure Socket Layer) of TLS (Transfer Layer Security).

De bezoeker herkent een website die gebruik maakt van HTTPS vooral aan het groene slotje in de adresbalk van de browser (zoals in Chrome) of de geheel groene adresbalk (Internet Explorer).

HTTPS is voor elke website een positieve toevoeging. Voor websites die persoonlijke gegevens van bezoekers vragen is het onmisbaar. Sterker nog: van dergelijke websites eist de wet dat er gebruik wordt gemaakt van HTTPS.

Wat doet HTTPS?

HTTPS doet feitelijk 3 dingen, die ik hieronder elk kort zal bespreken.

1. Het versleutelt de gegevensoverdracht

Simpeler gezegd: het zorgt ervoor dat de informatie die browser en server met elkaar uitwisselen, onleesbaar is voor derden.

In geval van HTTP worden alle gegevens als platte tekst tussen browser en server uitgewisseld. Derden die het lukt om deze gegevens te onderscheppen kunnen deze eenvoudig lezen. Omdat HTTPS deze gegevens versleuteld alvorens ze te verzenden, zijn ze voor een eventuele onderschepper onbruikbaar.

Het belang hiervan wordt duidelijk wanneer je website van bezoekers vraagt om persoonlijke gegevens te overleggen. Niemand wil dat deze ‘op straat’ komen te liggen. Als het om NAW-gegevens gaat ligt identiteitsfraude op de loer, in het geval van bijvoorbeeld creditcard-gegevens bestaat het risico van diefstal.

2. HTTPS verifieert de webserver

Anders gezegd: HTTPS garandeert dat de website die de bezoeker ziet ook werkelijk de website is die in zijn adresbalk staat.

Zonder HTTPS is het technisch mogelijk dat de bezoeker denkt dat hij website A bezoekt terwijl hij feitelijk website B bezoekt. In het geval van je bedrijfswebsite zou dat kunnen betekenen dat de bezoeker in vertrouwen denkt dat hij zijn creditcard-gegevens aan jou overlegt terwijl hij ze in werkelijk aan een hacker overlegt. HTTPS voorkomt dit.

3. Het schept vertrouwen bij je klanten en bezoekers

Naast alle technische veiligheidsverbeteringen die HTTPS brengt, moet ook dit meer psychologische punt niet worden vergeten. Want terwijl de doorsnee websitebezoeker vaak amper of helemaal niet weet wat HTTPS precies doet en betekent, begrijpt hij wel dat een website met HTTPS veiliger voor hem is dan een website zonder HTTPS.

Tenslotte

Een vraag die geregeld gehoord kan worden is: “Waarom gebruiken niet alle (bedrijfs)websites HTTPS?”. Een afdoende antwoord op die vraag heb ik nooit gehoord, maar kennisgebrek zal ongetwijfeld vaak een rol spelen. En wat waarschijnlijk ook meespeelt is onderschatting van de risico’s voor de bezoeker wanner een website geen HTTPS gebruikt.

In deel 2

In deel 2 van deze serie gaan we dieper in op de voordelen van HTTPS voor jou als website eigenaar.