Defaults.Exposed › Oplossingen › HTTPS & geforceerde beveiligde omleiding

Hoe je HTTPS & geforceerde beveiligde omleiding oplost

HTTPS is het hangslot in de browserbalk — het versleutelt alles wat tussen uw website en uw klanten reist zodat het onderweg niet kan worden gelezen of gemanipuleerd. De geforceerde beveiligde omleiding zorgt ervoor dat bezoekers automatisch op die versleutelde versie belanden, zelfs als ze uw adres typen zonder «https://». Samen zijn ze het meest basale dat een website nodig heeft om überhaupt als veilig te worden beschouwd.

De kern voor je bedrijf: Zonder HTTPS reist elk wachtwoord, kaartnummer en bericht dat een klant u stuurt als leesbare tekst over het internet, en Chrome, Edge, Safari en Firefox bestempelen uw site allemaal als «Niet veilig» voor elke bezoeker nog voordat die een woord leest. Zonder de omleiding laten zelfs sites die wél een certificaat hebben het allereerste bezoek onbeschermd. Beide kosten u vertrouwen, omzet en zoekpositie — en beide zijn gratis op te lossen in minuten.

Wat dit je kan kosten

Een eerste bezoeker ziet een grote «Niet veilig»-waarschuwing op het moment dat uw pagina laadt. De meesten gaan ervan uit dat de site nep, kapot of onveilig is en vertrekken naar een concurrent — en u weet niet eens dat de verkoop verloren ging.
Een klant voert kaartgegevens in of logt in over een onversleutelde verbinding vanuit een café, hotel of luchthaven. Iemand op dezelfde wifi leest het in platte tekst, en de frauduleuze afschrijvingen die volgen krijgen u de schuld.
De inkoop- of beveiligingsafdeling van een grotere klant doet een snelle scan voor het tekenen, ziet geen HTTPS of een ontbrekende geforceerde omleiding, en parkeert het contract tot u kunt bewijzen dat het is opgelost.
Google rangschikt u onder concurrenten die HTTPS aanbieden, dus u verliest stilletjes jarenlang zoekverkeer zonder het ooit met dit gat te verbinden.
Een toezichthouder of uw betaalprovider behandelt het onversleuteld versturen van persoons- of kaartgegevens als een meldingsplichtige tekortkoming, waardoor een gratis oplossing van vijf minuten een complianceprobleem wordt.

Waarom het ertoe doet. HTTPS is de bodem, niet het plafond, van webbeveiliging — het is wat het hangslot doet verschijnen en wat voorkomt dat alles wat uw klanten versturen onderweg wordt gelezen of gewijzigd. De geforceerde beveiligde omleiding dicht het gat dat een certificaat alleen openlaat: mensen typen vrijwel nooit «https://», dus zonder omleiding reist hun eerste verzoek onbeschermd voordat de beveiligde versie ooit laadt. Een site die een van deze mist, ziet er onveilig uit voor bezoekers, rangschikt lager in de zoekresultaten en stelt echte klantgegevens bloot — daarom is dit de zwaarst wegende enkele tekortkoming die wij scoren.

Wat dit is, in gewone taal

HTTPS is de beveiligde, versleutelde versie van uw website — degene die een hangslot in de adresbalk toont. Wanneer een bezoeker op HTTPS zit, is alles wat tussen hun browser en uw site passeert (de pagina’s die ze zien, de formulieren die ze invullen, hun wachtwoorden, hun kaartgegevens) versleuteld zodat niemand ertussen het kan lezen of wijzigen. De gewone versie, HTTP, verstuurt dat allemaal als leesbare tekst die iedereen op hetzelfde netwerk kan onderscheppen.

Er zijn twee delen om dit goed te krijgen, en we controleren beide:

Is HTTPS überhaupt beschikbaar? Heeft uw site een werkend beveiligingscertificaat zodat de beveiligde versie met hangslot bestaat? Dit is de ernstigste van de twee — zonder is er helemaal geen versleuteling.
Forceert uw site bezoekers ernaartoe? Vrijwel niemand typt «https://» met de hand. Als iemand alleen uw domeinnaam typt, probeert hun browser eerst de gewone HTTP-versie. Een geforceerde beveiligde omleiding stuurt dat verzoek automatisch door naar de versleutelde versie. Zonder die zijn de eerste momenten van elk bezoek onbeschermd, zelfs als u wél een certificaat hebt.

U wilt beide. Een certificaat zonder omleiding is een vergrendelde voordeur waar bezoekers simpelweg omheen kunnen lopen.

Wat er op het spel staat voor uw bedrijf

Dit is het meest basale signaal van of een website veilig is — en cruciaal, het is er een die uw klanten zelf kunnen zien. Elke moderne browser (Chrome, Edge, Safari, Firefox) labelt een site zonder HTTPS als «Niet veilig» pal in de adresbalk, en toont een waarschuwing als iemand in een formulier probeert te typen. Uw bezoekers hoeven niet te weten wat een certificaat is om op dat woord te reageren.

Naast de zichtbare waarschuwing beïnvloedt dit drie dingen waar eigenaren direct om geven: vertrouwen (mensen verlaten sites die onveilig lijken), zoekpositie (Google gebruikt HTTPS al jaren als rangschikkingssignaal en bevoordeelt beveiligde sites), en echte blootstelling (gegevens verstuurd over gewone HTTP kunnen daadwerkelijk door anderen op hetzelfde netwerk worden gelezen). Het is ook het soort dat de beveiligingsafdeling van een grotere klant in seconden controleert tijdens due diligence — en het missen ervan kan een deal stilleggen.

Wat dit u kan kosten

De stille afhaker. Een potentiële klant klikt door vanuit een zoekresultaat of advertentie, en de pagina laadt met een grijs «Niet veilig»-bordje — of erger, een schermvullende waarschuwing. Ze mailen u niet om te vragen waarom; ze sluiten gewoon het tabblad en klikken op het volgende resultaat. U betaalde voor dat bezoek en verloor het voordat ze een woord lazen, en niets in uw analytics vertelt u waarom.
Een onderschepte login of betaling. Een klant meldt zich aan of rekent af op gedeelde wifi in een hotel of café. Omdat de verbinding niet versleuteld is, vangt iemand in de buurt hun wachtwoord of kaartnummer in platte tekst op. De fraude die volgt wordt gerapporteerd als uw inbreuk, en u bent degene die de boze telefoontjes en de terugboekingen opvangt.
De deal die stilvalt. Een grotere prospect staat klaar om te tekenen, maar hun inkoopproces omvat een snelle beveiligingscontrole van uw website. Die komt terug met de melding geen HTTPS, of een ontbrekende geforceerde omleiding. Plots legt u een basaal beveiligingsgat uit in plaats van te sluiten — en het contract wacht, of gaat stilletjes naar een concurrent die slaagde.
Het trage positieverlies. Twee bedrijven bieden hetzelfde; één serveert beveiligde HTTPS en de ander niet. Zoekmachines duwen de beveiligde hoger. Over maanden verliest u een gestaag straaltje gratis verkeer en verbindt u het nooit met deze ene instelling.
Geïnjecteerde content die u nooit schreef. Op een onversleutelde verbinding kan iedereen ertussen — een dubieus openbaar netwerk, een gecompromitteerde router — valse pop-ups, oplichtingsaanbiedingen of malware in uw pagina’s invoegen terwijl een bezoeker ze laadt. Voor die bezoeker ziet het eruit alsof uw site het deed.

Wat het eigenlijk is

Wanneer een browser over HTTPS verbinding maakt met een website, gebeuren er twee dingen. Ten eerste presenteert de site een certificaat — een legitimatie uitgegeven door een vertrouwde autoriteit die bewijst dat de site is wie hij beweert te zijn. Ten tweede komen de browser en de server een versleutelingssleutel overeen en gebruiken die om alles wat ze uitwisselen te versleutelen. Onze eerste controle, HTTPS beschikbaar, vraagt simpelweg: kunnen we een beveiligde TLS-verbinding met uw site maken op de standaard beveiligde poort (443) en een geldig certificaat terugkrijgen? Zo ja, dan kan het hangslot verschijnen en is versleuteling aan. Zo nee, dan is er helemaal geen beveiligde versie van uw site — en dat is de zwaarst wegende tekortkoming die wij scoren.

De tweede controle, de geforceerde beveiligde omleiding, dekt een gat dat het certificaat alleen openlaat. Mensen typen «uwbedrijf.com», niet «https://uwbedrijf.com». Dat kale verzoek gaat eerst naar de gewone HTTP-versie. Een omleiding is een instructie van één regel die zegt «stuur iedereen die op de onveilige versie aankomt regelrecht naar de beveiligde». Onze controle vraagt: wanneer we uw gewone HTTP-adres opvragen, stuurt uw site ons dan door naar HTTPS? Doet die dat, dan belandt elke bezoeker beschermd, ongeacht hoe ze uw adres typten. Doet die dat niet, dan draagt die eerste onbeschermde stap alles wat de browser verstuurt — cookies, formuliergegevens — in het open.

Hoe «goed» eruitziet: een geldig, vertrouwd certificaat zodat het hangslot op elke pagina verschijnt, én elk gewoon-HTTP-verzoek automatisch omgeleid naar de HTTPS-versie (idealiter met een permanente «301»-omleiding, die ook uw zoekpositie netjes doorgeeft aan het beveiligde adres).

Hoe los je het op (gratis, ~15 minuten)

Geef dit onderdeel aan uw IT-persoon of de support van uw hostingprovider — de oplossing is gratis. Beide delen hiervan kosten niets: vertrouwde certificaten zijn gratis en vernieuwen zichzelf, en de omleiding aanzetten is op de meeste platforms één instelling. Er is geen betaald product nodig om hiervoor te slagen.

Er zijn twee dingen om aan te zetten. Op de meeste moderne hosting maakt het eerste doen het tweede vaak een klik.

1. Krijg een certificaat zodat HTTPS werkt (het hangslot).

Cloudflare: als uw site achter Cloudflare zit, wordt SSL voor u geregeld. Zet de SSL/TLS-modus op «Full» (of «Full (strict)» als uw origin-server ook een certificaat heeft).
Websitebouwers en managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, de meeste Microsoft 365 / Google Workspace webhosting): HTTPS wordt automatisch geleverd; zorg gewoon dat het is ingeschakeld in uw site-/domeininstellingen — er valt meestal niets te installeren.
cPanel-hosting: open SSL/TLS Status en draai AutoSSL, dat een gratis Let’s Encrypt-certificaat uitgeeft.
Uw eigen server (VPS): installeer Let’s Encrypt met Certbot — sudo certbot --nginx -d uwdomein.com (of --apache). Het haalt een gratis certificaat op, installeert het en stelt automatische vernieuwing in.
Iets anders: neem contact op met de support van uw hostingprovider en vraag of ze «een gratis SSL-certificaat voor mijn domein willen inschakelen». Vrijwel allemaal bieden dit kosteloos aan.

2. Forceer elke bezoeker naar HTTPS (de omleiding).

Cloudflare: SSL/TLS → Edge Certificates → zet «Always Use HTTPS» aan. Dat is de hele klus.
Websitebouwers (Squarespace, Wix, Shopify, enz.): zoek naar een schakelaar «Force HTTPS» of «Secure (HTTPS)» in uw site-instellingen en zet die aan.
Nginx: voeg een serverblok op poort 80 toe dat een permanente omleiding teruggeeft — return 301 https://$host$request_uri;.
Apache (.htaccess): schakel rewriting in en leid elk niet-HTTPS-verzoek om — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
IIS (Windows-hosting): installeer de URL Rewrite-module en voeg een omleidingsregel «HTTP naar HTTPS» toe.

Test het nadat beide aan zijn: typ uw adres met gewoon http:// ervoor en bevestig dat de browser automatisch naar de versie https:// met hangslot springt, en dat het hangslot op uw hoofdpagina’s verschijnt.

Veelgemaakte fouten

Certificaat geïnstalleerd, maar geen omleiding. Het meest voorkomende gat. U ziet het hangslot wanneer u uw eigen site bezoekt (omdat uw browser HTTPS onthield), dus u gaat ervan uit dat het klaar is — maar nieuwe bezoekers die het kale domein typen, belanden nog steeds eerst op HTTP. Test altijd expliciet de gewone http://-versie.
Gemengde content. Uw pagina laadt over HTTPS maar haalt een afbeelding, script of lettertype op van een oud http://-adres. Browsers blokkeren het of degraderen het hangslot tot een waarschuwing. Werk die verwijzingen bij naar https:// (of naar relatieve links). De meeste platforms hebben een rapport «gemengde content» of «onveilige content» dat ze vindt.
Een tijdelijke (302) omleiding in plaats van een permanente (301). Een 302 werkt voor bezoekers maar vertelt zoekmachines dat de verhuizing tijdelijk is, dus zoekwaarde gaat niet netjes over naar uw beveiligde adres. Gebruik een permanente 301.
Alleen het kale domein omleiden, niet «www» (of andersom). Zorg dat zowel uwdomein.com als www.uwdomein.com op HTTPS belandt, anders is één pad nog steeds blootgesteld.
Een certificaat laten verlopen. Een verlopen certificaat geeft een schermvullende browserfout die bezoekers stokstijf stopt. Gratis Let’s Encrypt-certificaten vernieuwen automatisch; kocht u er een handmatig, zet dan ruim voor de vervaldatum een agendaherinnering.

FAQ

Zie de vragen hierboven — ze behandelen het niet-technische «kan ik dit zelf doen», het verschil tussen een hangslot hebben en de omleiding forceren, certificaatkosten en -vernieuwing, of brochuresites het nodig hebben, en hoe dit zich verhoudt tot HSTS.

Veelgestelde vragen

Ik ben niet technisch — is dit iets wat ik zelf kan regelen?

U hoeft geen detail te begrijpen. Beide helften hiervan worden aangezet door wie uw website of hosting beheert, en op de meeste moderne platforms is het een gratis certificaat plus één schakelaar — vaak letterlijk een vinkje met «Altijd HTTPS gebruiken». Geef het onderdeel «Hoe los je het op» aan uw webpersoon of de support van uw host; de oplossing kost niets en duurt meestal minuten.

Ik zie al een hangslot op mijn site — ben ik klaar?

Mogelijk niet. Het hangslot betekent dat uw beveiligde (HTTPS) versie bestaat, maar het garandeert niet dat bezoekers ernaartoe worden gestuurd. Als iemand uw adres typt zonder «https://» en uw site leidt ze niet om, is hun eerste verbinding nog steeds onversleuteld. De hangslotcontrole en de omleidingscontrole zijn twee aparte dingen — u wilt allebei.

Is een certificaat niet duur of lastig te vernieuwen?

Nee. Gratis certificaten van Let's Encrypt worden door elke grote browser vertrouwd en vernieuwen zichzelf automatisch, dus er valt niets te onthouden en niets te betalen. Betaalde certificaten bestaan maar bieden geen extra beveiliging voor een typische zakelijke website — de versleuteling is identiek.

We nemen geen betalingen of logins aan op onze site — maakt dit dan nog uit?

Ja. Browsers markeren elke niet-HTTPS-site als «Niet veilig» ongeacht wat die doet, dus zelfs een brochuresite verliest vertrouwen en zoekpositie. HTTPS voorkomt ook dat iemand ertussen valse content, pop-ups of malware in uw pagina's injecteert terwijl bezoekers ze laden.

Kan de geforceerde omleiding aanzetten mijn site breken?

Het is veilig zolang uw beveiligde versie al werkt — wat, als u een geldig certificaat hebt, het geval is. De standaardaanpak is eerst te bevestigen dat uw site correct laadt over https://, en dan de omleiding aan te zetten. Het enige om op te letten is gemengde content (zie Veelgemaakte fouten hieronder), wat makkelijk te spotten en op te lossen is.

Wat is het verschil tussen dit en HSTS?

Deze pagina gaat over überhaupt HTTPS hebben en bezoekers ernaartoe sturen. HSTS is een verdere stap die browsers vertelt te onthouden dat uw site alleen-HTTPS is en nooit meer onveilig te verbinden — het verhardt wat u hier hebt opgezet. Krijg HTTPS en de omleiding eerst goed; HSTS bouwt daarop voort.