Ultieme HTTPS SEO Migratie Checklist; Waar moet je op letten?

Binnenkort gaan wij over op HTTPS (HyperText Transfer Protocol Secure). Met HTTPS is uitgewisselde data tussen bezoeker en server versleuteld. Ook geldt HTTPS als rankingfactor. Beveiliging en privacy zijn al een tijd “hot topics”, daarom deel ik een uitgebreide checklist m.b.t. HTTPS, SEO en de migratie met je. Maar eerst: een korte refresher van het wat en waarom van HTTPS.  

Waarom is HTTPs ook alweer belangrijk?

  • Beveiliging en privacy; Onderwerpen die de afgelopen tijd volop in de belangstelling staan. De encryptie achter HTTPS (SSL) zorgt ervoor dat je informatie en (tijdelijke)identiteit onmogelijk is te lezen of te wijzigen door nieuwsgierige derden (man-in-the-middle attacks).
  • Vertrouwen; Het slotje en de groene balk in je browser kan je bezoekers een gevoel van veiligheid en vertrouwen geven. Grote media campagnes zoals; Hang op! Klik weg! Bel uw bank!, informeren actief over het belang van deze visuele signalen.
  • SEO; HTTPS als één van de vele ranking factoren. Lees hierover meer in ons eerdere uitgebreide artikel over HTTPS & SEO. Google is sinds 2014 al actief zijn “HTTPS everywhere” strategie aan het pushen en is binnenkort zelfs van plan om sites die geen beveiligde verbinding ondersteunen als ‘niet-veilig’ aan te duiden in Chrome.
  • Wettelijke verplichting; Bij het verwerken van persoonsgegevens ben je door de wet verplicht om het verzenden daarvan te beveiligen.

veilig-bankieren

Wat is er recent veranderd?

  • Google indexeert HTTPS-pagina’s nu als eerst; Bij elke URL’s wordt eerst gecontroleerd of deze werkt op HTTPS, is dit het geval, dan indexeert en toont Google alleen deze versie. Lees het officiële bericht op het Webmaster Central Blog: Indexing HTTPs pages by default.
  • Minder problemen met plugins, externe tools en diensten; Zelfs diensten van Google werkten in 2014 nog niet optimaal samen met HTTPS-sites. De meeste van deze kinderziektes zijn ondertussen opgelost. Ook onze hosting partij Savvii, die tot op heden nog moeite had met het combineren van bepaalde caching technieken met HTTPS (voor ons een reden om niet direct over te gaan), biedt nu oplossingen. Mijn favo WordPress cache plugin WP Rocket heeft met de laatste update ook weer enkele SSL gerelateerde problemen opgelost.
  • HTTPS nog steeds een hot topic; Google heeft net een onderdeel toegevoegd aan zijn Transparency Report dat zich richt op het gebruik van HTTPS op eigen sites en de top 100 niet-Google-sites op het web. Na websites gaat Google samen met Microsoft en LinkedIn nu ook werken aan betere e-mail encryptie via SMTP STS (Strict Transport Security).

De ultieme HTTPs SEO migratie checklist

Ga jij binnenkort ook over? Dan heb je geluk, hieronder mijn checklist. Neem de tijd om je migratie goed voor te bereiden: bepaal wat, op welke wijze, door wie, wanneer etc. Bouw een tijdsmarge in richting livegang en houd op voorhand rekening met (te herstellen) fouten. Zorg dat alle verantwoordelijken en betrokkenen op de hoogte zijn van hun rol op specifieke momenten. Meer tips in ons eerdere blog: Hoger in Google met beveiligde HTTPS-website?

1. SSL-certificaten

  • Gebruik certificaten met een 2048-bit private key (eis van Google)
  • Bepaal het soort validatie en certificaat dat je nodig hebt
    • Domein validatie (slotje zonder groene adresbalk)
    • Organisatie validatie (slotje zonder groene adresbalk met bedrijfsgegevens)
    • Uitgebreide validatie (slotje met groene adresbalk en bedrijfsnaam)
  • Hoeveel domeinen wil je beveiligen? (dit kan een mix zijn)
    • Standaard (één domeinnaam)
    • Multi domein (meerdere (sub)domeinnamen, 100 max)
    • Wildcard (onbeperkt aantal subdomeinen)
  • Geldigheidsduur?
    • Hoe langer, hoe beter. Je verlaagt het risico dat het certificaat verloopt en meestal krijg je extra korting
    • Zorg dat de verlengingen binnen je organisatie goed geborgd is, vooral bij uitgebreide validatie waar vaak een nieuwe telefonische- en domeinvalidatie moet worden uitgevoerd
  • Merk?
    • Neem je certificaat af bij een betrouwbare CA (certificate authority) die goede technische ondersteuning biedt, zoals Comodo, Symantec of GlobalSign

ssl-certificaat

2. Hosting

  • Zoek uit of je SSL Certificaten via je hosting kan afnemen en laten installeren (soms gratis)
  • Zorg dat je op de hoogte bent van de stappen die doorlopen moeten worden om SSL-certificaten te installeren en beheren binnen jouw hostingpakket
  • Werk samen met een gespecialiseerde hostingpartij met de focus op laadsnelheid en die technieken inzet om de SSL-snelheid te verbeteren, zoals:
    • HTTP/2
    • OCSP Stapling
    • STS Header Field
    • SSL Session Caching

3. Techniek

  • Voorkom mixed content; Wanneer een HTTPS-pagina ook HTTP elementen bevat, waarschuwen browsers de gebruiker dat de pagina niet volledige veilig is
  • Maak URL’s zo relatief mogelijk:
    • Zonder protocol (//voorbeeld.nl/jquery.js)
    • Zonder host (/jquery.js)
  • Zorg ervoor dat het CMS standaard HTTPS gebruikt:

4. Performance

5. Migratie

  • Update Google Analytics (Administration > Property Settings > Default URL)
  • Voeg je HTTPs domein toe als nieuwe property aan Google Search Console
    • Liefst alles: www, niet-www, https-www, https-niet-www, etc.
  • Verwijs alle HTTP requests naar HTTPS met een 301 redirect
  • Via .htaccess:
    RewriteEngine On
    RewriteCond %{HTTPS} !on
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
  • Test je best presterende URL’s met Screaming Frog SEO Spider

6. Controle

  • Controleer op dubbele content:
    • www / niet-www
    • http / https
    • test / dev omgevingen
  • Zorg dat je HTTPS-site niet via de robots.txt of x-robots header wordt geblokkeerd voor crawlers
  • Gebruik Fetch as Google om te testen of de Googlebot toegang heeft tot de HTTPs-pagina’s.
  • Test de SSL-implementatie via Qualys SSL Labs
  • Controleer regelmatig de Google webmaster Tools:
    • Check voor eventuele fouten bij de crawlstatistieken
    • Check voor eventuele fouten bij de HTTP-statuscodes
  • Controleer de server logs op eventuele errors

Tot slot

Zodra wij de migratie hebben voltooid zal ik een artikel schrijven over mijn eigen bevindingen.Heb je zelf voorbeelden van problemen/oplossingen die je tijdens de migratie bent tegengekomen? Of heb je vragen over HTTPS en SEO? Laat het weten in een reactie.