Hoger in Google staan met beveiligde HTTPS-website? [UPDATE]

Het komt niet vaak voor dat Google zo openlijk een nieuwe rankingfactor aankondigt: de zoekreus gaat per direct SSL / HTTPS als rankingsignaal inzetten (wereldwijd). Voor elke online marketeer dus iets om goed bij stil te staan. Maar hoe? Voorlopig is het een lichtgewicht SEO-factor, maar in de toekomst zal de impact ervan ongetwijfeld toenemen. In dit artikel een update, concreet migratie-advies en gerelateerde tips. Bij deze meteen de belangrijkste: laat je niet opjagen.

[NB: dit artikel is ook gepubliceerd op Emerce.nl]

Google is van mening dat – en ik citeer – “All (online) communication should be secured by default”. Dat heeft dus betrekking op surfen op internet via Google, en specifiek het nu voor websites geadviseerde gebruik van SSL-certificaten c.q. HTTPS-beveiliging (ook wel: Transport Layer Security). Uitgewisselde data tussen bezoeker en server is dan versleuteld.

De door Google aangevoerde reden: je wilt als gebruiker van internet én als site niet het gevaar lopen dat anderen (lees: hackers) ongewenst inzicht krijgen in jouw online gedrag dan wel de rol die een site daarin speelt. Iets wat kan gebeuren op het moment dat iemand bijvoorbeeld van een (onbeveiligde) WiFi-hotspot gebruik maakt en sites bezoekt zonder HTTPS. Google zelf wil daarnaast zijn gebruikers (lees: jij, ik, vrijwel iedereen om je heen) door dataversleuteling op een zo hoog mogelijk niveau ‘beschermen’.

HTTPS wordt een SEO-rankingfactor

De aankondiging van Google afgelopen week heeft zeker het wereldje van zoekmachine-optimalisatie even opgeschud. Dit nieuws kwam overigens voor ons en wellicht ook voor jou niet als een verrassing. De signalen waren er recent al naar. Een maand geleden presenteerde Google namelijk zijn ‘HTTPS everywhere’-strategie. Met deze stap dwingen ze het gebruik hiervan bij veel webmasters feitelijk gewoon af, zou je zeggen. Het kleine beetje ranking-voordeel dat het vooralsnog lijkt te gaan opleveren (verderop meer hierover) is bovendien voor velen direct een onweerstaanbare stok achter de deur. Wie wil er nou niet hoger in Google staan (m.n. voor relevante zoekopdrachten)?

Bekijk de video ‘HTTPS everywhere’ (Google I/O):

Google heeft een periode lang flink getest en is van HTTPS overtuigd als positieve rankingfactor in zoekresultaten. Daar kunnen we dus niet of nauwelijks omheen, ook al beïnvloedt het voorlopig slechts één procent van de wereldwijde zoekopdrachten. Men is echter zo aardig geweest om ons allen wel ‘nog even de tijd te geven’ om over te stappen. In Google’s eigen nieuwsberichtkun je onder meer het volgende lezen:

For now it’s only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Het nieuwe HTTPS-algoritme uitgelegd

De afgelopen dagen leren we steeds meer over wat HTTPS als nieuwe rankingfactor precies inhoudt. De belangrijkste inzichten tot nu toe zet ik hier voor je op een rij:

1. Apart algoritme
   Het HTTPS-algoritme functioneert volledig zelfstandig en is geen onderdeel van Google’s Panda-algoritme of enig ander al bestaand algoritme, iets wat wel even rondging in ‘de online buzz’.
2. Kleine boost op ‘real time’-basisZodra Google de HTTPS-versie van een URL indexeert, zal deze een hele kleine ranking-boost krijgen. Of en in hoeverre dat bijdraagt aan het verbeteren van je positie(s), is moeilijk te zeggen; dat kan per geval verschillen, afhankelijk van veel factoren waaronder je concurrentie. Bekende algoritmes als Penguin en Panda voeren niet met deze snelheid de impact van ranking-factoren door.
3. Signaal wordt op individuele URL’s toegepast
   Google geeft dat kleine rankingvoordeel alleen aan HTTPS-URL’s. Dus als slechts een deel van jouw site in HTTPS staat, krijgen alleen die URL’s te maken met de ogenschijnlijke voordelen van het nieuwe algoritme. Site-wide geldt die impact dus niet. Bekijk ook deze Google hangout-video voor meer informatie.
4. Adreswijziging-tool in WMT ondersteunt migratie niet
   Google heeft site-eigenaren geadviseerd bij de verhuizing van HTTP naar HTTPS gebruik te maken van de specifieke adreswijziging-tool in Webmaster Tools. Dit lijkt (nog) niet goed te werken; Google heeft aangegeven hier bovenop te zitten, wanneer de tool wel zoals bedoeld functioneert is nog onduidelijk. (UPDATE: Bij monde van John Mueller heeft Google alvast aangeven dat een goede 301-redirect migratiestrategie op zichzelf ook het juiste signaal aan Google zou moeten doorgeven.)
   
   
5. Geen problemen voor Google Nieuws-sites
   Anders dan voorheen, lijkt HTTPS geen ‘showstopper’ te zijn voor Google Nieuws-sites. Pagina’s worden goed geïndexeerd. Iets wat overigens voor een web feed-tool als (Google) Feedburner (nog) niet het geval is.
6. SSL-waarschuwingen in Webmaster Tools
   Er zijn meldingen bekend van site-eigenaren die zeggen in hun Webmaster Tools sinds de livegang van het HTTPS-algoritme zogenaamde SSL Certificaat-waarschuwingen te hebben ontvangen. Google heeft aangegeven dat dit er doorgaans niets mee te maken heeft omdat het bijvoorbeeld oudere meldingen betreft, of gerelateerd aan verkeerd geconfigureerde certificaten. Maar webmasters zijn het daar niet altijd mee eens, zeker niet als ze voor hun site(s) bijvoorbeeld gebruik maken van Content Delivery Networks. Wordt vervolgd ongetwijfeld…

NB: Wil je op de hoogte blijven van actuele ontwikkelingen rondom het HTTPS-algoritme, dan raad ik je aan onder meer Googles John Mueller te volgen op bijvoorbeeld zijn G+-profiel. Hij beantwoordt hier ook vragen.

Krijgt mijn site in Google direct klappen zonder HTTPS?

De logische vraag voor velen is nu: moet je meteen mee in deze aankondiging? Moet je je gek laten maken door dit nieuws? Het antwoord is: nee. Jouw site zal geen ‘penalty´ krijgen als je geen gebruik maakt van HTTPS. Net zo min hoef je er nu van uit te gaan dat sites met HTTPS direct ´betere maatjes´ zullen zijn met Google.

Google gebruikt honderden signalen om de (thematische) relevantie en populariteit van specifieke webpagina’s te bepalen. De prioriteit per signaal verschilt. Of een webpagina naar aanleiding van zoekopdrachten als (organisch) zoekresultaat op een bepaalde positie binnen Google getoond wordt, is zodoende niet afhankelijk en zal zeker niet alleen maar afhangen van het gebruik van HTTPS.

Dat een beveiligde HTTPS-verbinding voortaan dus door Google expliciet meegewogen wordt als (voorlopig zeer lichte) factor om zoekresultaten te ´ranken´, is een feit. Factoren als concurrentieniveau in een markt en het gebruik van HTTPS door ‘online toppers’ in die branche kunnen ook meer invloed krijgen. Maar staar je hier alsjeblieft niet blind op.

De rol van onder meer een technisch goed ingericht platform, een logische sitestructuur, doelgroepgerichte (en gefocuste) content op basis van een contentstrategie, een gezond linkprofiel, relevante social signals en ook zaken als correcte structured data en content freshness zijn – om maar eens wat grove pijlers van effectieve SEO te noemen – invloedrijke factoren waar je veel meer je hoop op kunt en mag vestigen om jouw online zichtbaarheid en vindbaarheid te sturen.

Wel of niet (al) migreren naar HTTPS?

Of en wanneer je gaat migreren van HTTP naar HTTPS is uiteindelijk simpelweg aan jou of ‘de site-eigenaar’. Weet ook: migreren naar HTTPS is niet opeens iets van nu, het gebeurt al heel lang, met uiteenlopende redenen en door uiteenlopende sites in diverse branches. In het verleden was ons advies aan opdrachtgevers vaak om niet de volledige site in HTTPS te voeren, maar enkel de pagina’s die ook daadwerkelijk gevoelige (persoonlijke) data verzamelen en versturen (zoals creditcardnummers, adressen en telefoonnummers. Denk dus aan pagina’s binnen een bestelproces, checkoutpagina’s, inschrijfformulieren of specifieke contactformulieren enzoverder.

Dat advies om zeker niet je gehele site over te zetten naar HTTPS had diverse redenen, waaronder:

• Vaktechnisch gezien is het voor SEO’ers en webbouwers onhandig dat bepaalde externe (SEO) tools niet meer goed werken en zodoende beperkte data verschaffen – iets dat de ROI van je online marketing-strategie logischerwijs nadelig kan beïnvloeden.
• HTTPS vertraagt bovendien je verbinding, en dat terwijl laadsnelheid juist door Google als SEO-factor is bestempeld (belangrijker nog, je bezoeker is hier niet blij mee).
• HTTPS zorgt, gebaseerd op onze ervaringen, regelmatig voor diverse andersoortige onverwachte risico’s en (beheer)problemen. Denk hierbij aan de ongewenste creatie van dubbele content, verlopen SSL-certificaten, HTTPS-foutmelding (plaatjes, video’s, CSS- en JS-files), gebruikers die niet uit zichzelf verwijzen naar HTTPS-pagina’s wat dus je online autoriteit niet ondersteunt et cetera.

Bovenstaande aangegeven redenen om niet je hele site naar HTTPS over te zetten, snijden wat ons betreft nog steeds regelmatig hout. Zaak is per uniek geval, per site te kijken naar wat nodig en zinvol is. Migreren naar HTTPS hoeft – qua technische uitvoering – geen probleem te zijn. Zolang je maar de juiste stappen aanhoudt, en weet wat je doet. Is dat zo, dan zal de migratie met betrekking tot SEO en usability geen nadelig effect hebben voor ‘de nieuwe site’.

Een vrij recent voorbeeld van problemen met HTTPS (als gevolg van een migratie) is de Selexyz-case. Toen selexyz.nl migreerde naar polare.nl was er via https://www.selexyz.nl/ nog een volledig geïndexeerde versie van de oude De Slegte-website beschikbaar…Oeps.

Risico’s van migratie beperken: tips van Google

Google heeft voor webmasters en online marketeers direct een lijst met tips opgesteld, die je kan helpen met de overstap naar HTTPS (TLS) voor je volledige site. Dit lijstje wil ik je niet onthouden:

• Bepaal welk certificaat jij nodig hebt: enkel domein, multi-domein of wildcard-certificaat.
• Gebruik 2048-bit key certificates.
• Gebruik ‘relative URL’s’ voor alle elementen/ files op een beveiligd domein.
• Gebruik ‘protocol relative URL’s’ voor alle andere domeinen.
• Lees Google’s artikel over site-migratie en adres-aanpassing. (+ extra info)
• Zorg dat je HTTPS-site niet via robots.txt wordt geblokkeerd voor crawlers.
• Laat je pagina’s waar mogelijk indexeren, vermijd het gebruik van de noindex robots meta tag.
• Test je SSL-certificaten en pagina’s met bijvoorbeeld Qualys Lab Tool.

Browsers kunnen soms toegang tot een site-versie volledig blokkeren. Een voorbeeld van het niet op orde hebben van SSL-certificeringen (en duplicate-content issues) ziet er dan zo uit op je scherm:

Zijn we er nu? Nog niet helemaal. Migreren kan zoveel impact hebben op je SEO en usability – in de zin van rankings en verkeer verliezen als je het verkeerd aanpakt – dat er meer zaken zijn waar je echt bij stil moet staan, vooral ook vóórdat je gaat migreren naar HTTPS.

Mijn aanvullende tips voor jou:

• Neem de tijd om je migratie naar HTTPS goed voor te bereiden: bepaal wat, op welke wijze, door wie, wanneer enzoverder. Bouw een tijdsmarge in richting livegang, houd op voorhand rekening met (te herstellen) fouten. Zorg dat alle verantwoordelijken en betrokkenen op de hoogte zijn van hun rol op specifieke momenten.
• Verzorg een volwaardige 0-meting (verkeer, rankings, landingspagina’s, andere SEO-metrieken) om de prestaties van je site voor en na de migratie – en het verloop van de migratie zelf – te kunnen evalueren.
• Crawl al je (oude) URL’s om na de migratie te kunnen controleren of ze daadwerkelijk met goede 301-redirects zijn verhuisd naar HTTPS.
• Migreer op een moment dat je prospects of bezoekers daar het minst last van hebben. Zo vermijd je bovendien zoveel mogelijk het verlies van inkomsten.
• Denk na over welke canonical URL’s je toepast (naar HTTP of dus HTTPS).
• Verifieer binnen Webmaster Tools duidelijk alle relevante versies van je site waarvoor je data wilt inzien – inclusief submappen. Geef ook je voorkeursdomein aan als bezoekers je pagina’s via www- en niet-www-url’s kunnen benaderen. Lees Google’s advies hierover.
• Onderneem zo mogelijk actie voor allereerst je meest waardevolle externe links, m.n. vanaf die sites waar je een relatie mee hebt – bv. die bekende site waar je al 3 jaar interessante gastblogs plaatst. Geef aan dat je url’s een ander protocol krijgen, en laat links liefst handmatig aanpassen.
• Pas je robots.txt aan en verwijs naar de up-to-date sitemap.
• Zorg dat je analytics-pakket nieuwe URL’s correct kan meten en testing-tools blijven werken na de migratie.
• Realiseer je dat je – ook al wil Google graag dat sites als geheel overgaan naar HTTPS – je ook je site in delen naar dit protocol kunt migreren. Belangrijk: weet in dat geval echt wat je doet, en zorg dat je de mogelijkheden (en valkuilen) van het door jou gebruikte platform tot in detail begrijpt. Wil je het jezelf echter niet moeilijk maken, ga dan met je gehele site in één keer over naar HTTPS. De meest makkelijke manier: op server-niveau met de juiste 301-redirects alles van HTTP omzetten naar HTTPS.

En als je dan migreert, zorg dan dat je daar aandacht aan besteedt via (online) PR, je blog-/nieuwssectie (inclusief RSS-feed) en je sociale media kanalen. Hoe meer mensen en relevante media ervan op de hoogte zijn en je site bezoeken of ernaar linken, en hoe eerder zoekmachine-crawlers jouw nieuwe site bezoeken, hoe sneller de indexatie van nieuwe URL’s plaatsvindt. Iedereen blij.

Conclusie: interessant, maar geduld kan geen kwaad

HTTPS is momenteel dus even hot. Maar niet zo heet dat je je vingers er nu à la minute aan moet branden. Ons advies: denk in elk geval wel al over een migratie na. Heb je bedenkingen of je er wel echt voordeel uit gaat halen als je het meteen oppakt? Wacht er dan gewoon mee tot je volgende site-update of een ander natuurlijk migratiemoment. Ga niet halsoverkop alles omgooien, zeker niet bij grote sites. Houd ook updates over dit onderwerp in de gaten, en leer van de fouten van anderen. Met enig geduld en vooral de juiste (deskundige) begeleiding is jouw site pas echt geholpen. En vergeet vooral niet te blijven doen wat je altijd zou moeten doen: doelgroepgerichte (inbound) marketing.

 – Dit artikel heb ik geschreven in samenwerking met mijn SEO-collega Robbert van Ekris –

Tot slot

★  Sta je op het punt over te gaan naar HTTPS, ben je al begonnen met het migreren naar HTTPS, of ben je er zelfs al mee klaar? We zijn benieuwd naar jouw overwegingen & ervaringen! Deel je learnings en tips met ons en laat onderaan een reactie achter.

Meer weten over goed migreren van HTTP naar HTTPS?
Neem vrijblijvend contact met ons op. We horen graag aan wat je overwegingen of mogelijke vragen zijn om daar vervolgens een maatwerk oplossing voor aan te leveren.

Enkele aanvullende externe bronnen over deze ontwikkeling:

• http://googlewebmastercentral.blogspot.nl/2014/08/https-as-ranking-signal.html
• http://searchengineland.com/explainer-googles-new-ssl-https-ranking-factor-works-200492
• https://www.seroundtable.com/google-ssl-https-ranking-signal-18966.html

---