Sla navigatie over
Home·Uitleg·HTTPS
Uitleg · Webdesign

HTTPS: wat
is het?

HTTPS (HyperText Transfer Protocol Secure) is de beveiligde versie van HTTP. Het versleutelt verkeer tussen browser en website via TLS/SSL. Sinds 2018 weergeeft Chrome HTTP-sites als 'Niet veilig'.

SNEL ANTWOORD
HTTPS: Beveiligde website-verbinding. HTTPS (HyperText Transfer Protocol Secure) is de beveiligde versie van HTTP. Het versleutelt verkeer tussen browser en website via TLS/SSL. Sinds 2018 weergeeft Chrome HTTP-sites als 'Niet veilig'.

In het kort

HTTPS staat voor Hypertext Transfer Protocol Secure en is de versleutelde versie van HTTP, het protocol dat websites gebruiken om data te versturen tussen server en bezoeker. HTTPS gebruikt SSL/TLS-encryptie om die data onleesbaar te maken voor derden onderweg. Sinds 2018 markeert Chrome HTTP-sites expliciet als 'Niet veilig', en Google gebruikt HTTPS als rankingfactor voor SEO. Voor moderne websites is HTTPS geen optie meer, het is een vereiste. Bij Creative Hero zetten we HTTPS standaard in op elke nieuwe website. We gebruiken Let's Encrypt voor gratis SSL-certificaten of premium certificaten van DigiCert/Sectigo voor klanten die uitgebreidere garanties willen. We forceren altijd redirect van HTTP naar HTTPS via .htaccess of de hosting-configuratie, en zetten HSTS-headers om browsers te vertellen dat de site enkel HTTPS-only werkt. Een correcte HTTPS-implementatie omvat ook mixed-content fixing: als je site HTTPS is maar je laadt afbeeldingen of scripts van HTTP-bronnen, breekt het beveiligingsniveau. We checken op mixed content bij elke deploy om problemen te voorkomen. HTTPS is niet alleen technisch correcter, het verhoogt ook gebruikersvertrouwen: 84 procent van bezoekers verlaat een site die als 'Niet veilig' gemarkeerd staat.

Hoe het werkt

HTTPS werkt via een TLS-handshake tussen browser en server. De server presenteert een SSL-certificaat dat is uitgegeven door een Certificate Authority (CA). De browser controleert of het certificaat geldig is, of het bij het domein hoort, en of het niet verlopen is. Daarna wordt een gedeelde encryption-sleutel uitgewisseld waarmee alle daaropvolgende communicatie versleuteld wordt. Een correcte setup heeft drie componenten: een geldig certificaat, een 301-redirect van HTTP naar HTTPS, en HSTS-headers om browsers te dwingen HTTPS te gebruiken voor toekomstige bezoeken. We checken altijd via SSL Labs (ssllabs.com/ssltest) of een setup een A of A+ haalt. Lagere scores duiden op verouderde TLS-versies, zwakke ciphers of ontbrekende headers.

Voorbeelden uit de praktijk

creativehero.be HTTPS setup

Onze site gebruikt Let's Encrypt-certificaten met automatische vernieuwing via Combell. HSTS preload op de officiële lijst gebroadcast, A+ score op SSL Labs. Geen mixed content op enige pagina.

WordPress migratie naar HTTPS

Een klant met legacy HTTP-WordPress migreerden we volledig naar HTTPS. We installeerden Let's Encrypt, fixten 47 mixed-content issues in plug-in templates, en activeerden HSTS. SEO-positie steeg binnen 8 weken.

Shopify HTTPS standaard

Shopify levert HTTPS automatisch met een gratis certificaat per shop. Bij headless setups met custom domain checken we de certificate-chain en redirect-flow om volledige beveiliging te garanderen.

Do's & don'ts

Wel doen

  • Activeer altijd HTTPS, ook voor non-transactionele sites.
  • Forceer 301-redirect van HTTP naar HTTPS via .htaccess of hosting.
  • Voeg HSTS-headers toe met includeSubDomains en preload.
  • Test elke setup via SSL Labs voor je live gaat.
  • Repareer mixed content (HTTP-resources op HTTPS-pagina) onmiddellijk.
  • Vernieuw certificaten automatisch via Let's Encrypt of certbot.

Niet doen

  • Laat geen HTTPS-certificaat verlopen, dat breekt je hele site.
  • Vergeet nooit HSTS uit te zetten op staging-omgevingen, anders breek je de echte site bij testen.
  • Mix nooit HTTP en HTTPS resources, het breekt de beveiliging volledig.
  • Gebruik nooit verouderde TLS 1.0 of 1.1, alleen TLS 1.2 en 1.3.
  • Negeer SSL Labs-waarschuwingen niet, ze duiden op echte security-risico's.
  • Vermijd self-signed certificaten in productie, ze leiden tot browser-waarschuwingen.

Veelgestelde vragen

Heb ik HTTPS nodig als mijn site geen formulieren heeft?
Ja. Sinds 2018 markeert Chrome HTTP-sites als 'Niet veilig', en Google gebruikt HTTPS als rankingfactor. Een site zonder HTTPS verliest vertrouwen en SEO-positie ongeacht of er formulieren op staan.
Wat kost een SSL-certificaat?
Let's Encrypt is gratis en voor 95 procent van de KMO-cases voldoende. Premium certificaten van DigiCert of Sectigo kosten 50 tot 500 euro per jaar en bieden Extended Validation of garanties bij security-issues.
Wat is HSTS en heb ik dat nodig?
HSTS (HTTP Strict Transport Security) is een HTTP-header die browsers vertelt om een site uitsluitend via HTTPS te bezoeken. Het voorkomt downgrade-aanvallen en verhoogt veiligheid. Voor productiesites raden we het altijd aan.
Helpt HTTPS mijn SEO?
Ja, Google bevestigde HTTPS als ranking-factor in 2014. Sites met HTTPS scoren licht hoger dan identieke sites zonder. Belangrijker is dat HTTPS gebruikersvertrouwen behoudt, wat bounce rate verlaagt.
Wat is mixed content?
Mixed content ontstaat wanneer een HTTPS-pagina HTTP-resources laadt (afbeeldingen, scripts, stylesheets). Browsers blokkeren steeds vaker mixed content, wat tot kapotte pagina's leidt. Altijd controleren bij elke deploy.
Hoe migreer ik van HTTP naar HTTPS?
In drie stappen: (1) installeer SSL-certificaat, (2) forceer 301-redirect van HTTP naar HTTPS, (3) repareer mixed content op alle pagina's. Daarna update je interne links, sitemap en robots.txt.

Gerelateerde uitleg

Hulp nodig met https?

Plan een kennismaking. We bekijken samen of we kunnen helpen.

Plan een call
Start een project