03.09.17
bijgewerkt 21.10.20
Jan Hornung
0 commentaren
WordPress HTTPS: Een eenvoudig certificaat kan je site enorm versnellen

WordPress onder HTTPS: een eenvoudig certificaat maakt je pagina's in één klap sneller

Er bestaat een hardnekkige misvatting dat HTTPS WordPress traag maakt. In feite is precies het tegenovergestelde waar: dankzij HTTP/2 zijn SSL-gecodeerde pagina's soms extreem snel. En dankzij gratis SSL-certificaten en geïntegreerde installaties is het nog nooit zo eenvoudig geweest om WordPress om te schakelen naar HTTPS. En dat is maar goed ook, want HTTP-sites krijgen binnenkort te maken met een aantal nadelen. We laten je de voordelen van de overstap zien en hoe je in één oogopslag kunt controleren of je host HTTP/2 gebruikt.

Tegenwoordig kent elke klant en eindgebruiker het verschil tussen versleutelde en onversleutelde sites. Tenminste op een subjectief niveau: het groene slotje geeft gewoon een goed gevoel. Maar net zo bekend als het positieve effect op het vertrouwen van sitebezoekers is de misvatting dat SSL, of TLS (de het verschil uitleggen bijvoorbeeld door onze collega's van CHIP.de) WordPress traag maakt.

En ja, in theorie is dit waar: als een pagina wordt afgeleverd via HTTPS (d.w.z. de beveiligde versie van HTTP), duurt de verbinding tussen de webserver en de browser iets langer vanwege de SSL-handdruk. We hebben het hier echter maar over een paar milliseconden.

Tegenwoordig kun je het gerust een gerucht noemen dat HTTPS WordPress vertraagt. In feite is een SSL-certificaat alleen maar goed voor je site. En omdat Google binnenkort onversleutelde sites gaat bestempelen als "niet veilig", is het hoog tijd om je site nu over te zetten op HTTPS.

Ik zal het je vandaag laten zien:

  • Waarom het nu de beste tijd is om WordPress over te schakelen op HTTPS
  • Hoe je WordPress kunt overschakelen op HTTPS
  • Waarom HTTP/2 je WordPress sites sneller maakt
  • Welke prestatieboost je kunt verwachten voor een WordPress site onder HTTPS
  • Een eenvoudig trucje waarmee je kunt herkennen of je host al HTTP/2 gebruikt (wat zou moeten!)

Alles draait om HTTPS, of het nu WordPress is of niet

Drie jaar geleden, tijdens de ontwikkelaarsconferentie Google I/O conferentie verkondigde Google het motto "HTTPS everywhere". Kortom, de toenmalige Google ontwikkelaars, Pierre Far en Ilja Grigorik, namen het op voor het gebruik van TLS (de opvolger van SSL) en lieten in hun sessie manieren om het onder andere te implementeren.

Slechts een paar weken later, in augustus 2014, werd HTTPS HTTPS werd toen opgenomen als een officieel rankingsignaal in de zoekresultaten van Google. Google probeert al jaren websitebeheerders over te halen om hun websites over te zetten op HTTPS door argumenten te gebruiken en feiten te creëren.

Het feit dat Google Chrome binnenkort HTTP-pagina's gaat bestraffen met de melding "niet veilig" is zeker de volgende grote stap in Google's "HTTPS overal" offensief. In feite wordt deze melding al al weergegeven voor pagina's sinds Chrome versie 56die bijvoorbeeld creditcardgegevens ophalen. Met de nieuwe versie 62 van de Google browser zal deze regel echter worden toegepast op alle pagina's die invoer van klanten toestaan, zoals contactformulieren of zoekvelden.

Wachtwoorden en creditcards zijn niet de enige soorten gegevens die privé zouden moeten zijn. Elk type gegevens dat gebruikers intypen op websites mag niet toegankelijk zijn voor anderen op het netwerk, dus vanaf versie 62 toont Chrome de waarschuwing "Niet veilig" wanneer gebruikers gegevens intypen op HTTP-sites.

- Emily Schechter, Chrome Beveiligingsteam

Gratis SSL: De situatie is nog nooit zo gunstig geweest voor het overschakelen van WordPress naar HTTPS

Drie jaar geleden, toen de twee ontwikkelaars van Google hun pleidooi hielden voor TLS, moest je nog SSL-certificaten kopen en ze zelf installeren. Dit is nu drastisch veranderd, en ten goede.

In 2016 begon het Let's Encrypt-initiatief met het uitgeven van gratis SSL-certificaten. Dankzij sponsors zoals - niet verrassend - Chrome, maar ook Facebook en bedrijven uit het WordPress universum, kunnen de Californiërs nu bijna 40 miljoen actieve gratis SSL-certificaten verstrekken.

WordPress HTTPS Let's Encrypt groeicijfers. Sinds oktober 2016 is het aantal actieve certificaten bijna verachtvoudigd.
Zoals je kunt zien, is de groei van Let's Encrypt sterk aangetrokken sinds oktober 2016. Sindsdien is het aantal actieve certificaten bijna verachtvoudigd.

Deze ontwikkeling heeft een enorme impact gehad op het hostinglandschap: gratis SSL-certificaten zijn nu standaard en dankzij de integratie van one-click installaties is de installatie nu voor elke gebruiker mogelijk.

HTTPS was vroeger echt lastig voor WordPress

Voordat twee jaar geleden massaal gratis SSL-certificaten werden verspreid, was het erg lastig om WordPress om te schakelen naar HTTPS. Vooral voor eigenaren van kleine sites die alleen domein gevalideerde certificaten nodig hadden.

Info: Deze soorten SSL-certificaten zijn beschikbaar

  • DV-certificaten: DV staat voor Domain Validated. Een DV-certificaat wordt dus gebruikt om te controleren of het domein en de webruimte "bij elkaar horen". Als alles in orde is, kun je er zeker van zijn dat als je het domein benadert, je ook echt op de bijbehorende webruimte terechtkomt en niet op een phishingsite. Het instelproces is hier nog steeds vrij eenvoudig: de domeinbeheerder bevestigt dat hij de juiste rechten heeft over een domein en kan vervolgens zijn site dienovereenkomstig versleutelen.
  • OV certificaten: OV staat voor Organisatie Gevalideerd. Naast domeinvalidatie garandeert dit type certificaat dat de pagina die je bezoekt echt toebehoort aan het bedrijf waarvan je de website probeert te bezoeken.
  • EV-certificaten: De zogenaamde Extended Validated Certificates gaan nog een stap verder: hierbij controleert de certificeringsinstantie de bedrijfsdocumenten intensief. Onder andere de rechtsvorm van het bedrijf wordt opgenomen in het certificaat.

Zelfs het instellen van een eenvoudig DV-certificaat was vroeger al een hele klus voor WordPress-sites en misschien niet eens haalbaar voor niet-technici. Dit komt omdat het proces uit minstens vier stappen bestond:

  1. een certificaat kopen: Hier moest je je verdiepen in het aanbiederslandschap en actief prijzen en voorwaarden vergelijken, zelfs voor eenvoudige DV-certificaten. Dit heeft er ook toe geleid dat sommige aanbieders zeer creatieve kenmerken hebben bedacht, zoals verzekeringen, om hun producten te onderscheiden. In het geval van uitgebreide certificaten is er ook nog de validatiestap, d.w.z. bewijzen dat de domeineigenaar ook de bedrijfseigenaar is. Afhankelijk van het certificaat kan dit proces dagen of weken duren.
  2. Het certificaat instellen: De volgende stap was het opslaan van de certificaatinformatie op de webserver. Afhankelijk van de provider was dit meer of minder tijdrovend. Inmiddels hebben echter alle hostingproviders een min of meer goede workflow gecreëerd die je als gebruiker door het instellingsproces leidt.
  3. WordPress voorbereiden op HTTPS: Nadat het certificaat zelf was ingesteld, moest de site worden voorbereid op de overgang van HTTP naar HTTPS. Om dit te doen, moest elke database-invoer en elke bron op de site worden omgezet naar HTTPS en het resultaat vervolgens worden gecontroleerd op gemengde inhoudsfouten.
  4. Google configureren: Na het omzetten van de site moesten de entiteiten in Google Analytics en in de Google Search Console (voorheen Google Webmaster Tools) worden aangepast.

De ontwikkeling die Let's Encrypt in gang heeft gezet naar gratis DV-certificaten heeft dit proces enorm vereenvoudigd. Veel hosters bieden nu ook een vereenvoudigde installatie aan waarbij, in het beste geval, een certificaat met één klik wordt geactiveerd en ingesteld en de site automatisch wordt overgeschakeld op HTTPS. Ongeacht of het een WordPress project is of niet.

TIP: SSL instellen zonder een één-klik installatie?

Als je pech hebt, biedt je host nog geen vereenvoudigde installatie. Dan zul je de WordPress instellingen voor HTTPS zelf moeten maken:

  • Onze collega Jonas Tietgen, alias WP Ninjas, legt uit hoe het werkt.
  • Soortgelijke instructies van René Dasbeck, ook bekend als netzgänger
  • En onze collega Finn Hillebrandt van blogmojo heeft het onderwerp ook behandeld

Geen HTTP/2 zonder Google

Ik heb het al gezegd: als onderdeel van zijn "HTTPS everywhere" campagne heeft Google er altijd belang bij gehad dat zoveel mogelijk sites met een SSL-certificaat werken. Overigens is dit waarschijnlijk ook de reden waarom Chrome een officiële sponsor is van Let's Encrypt. De zoekmachinegigant was echter ook aanzienlijk betrokken bij de ontwikkeling van HTTP/2.

Omdat het vorige protocol, SPDYwerd in eerste instantie ontwikkeld door Google als experiment om technische mogelijkheden te onderzoeken waarmee het bijna antieke HTTP/1 kon worden verbeterd. Dat was in 2009. In 2015 werden de bevindingen van het experimentele SPDY-project opgenomen in het gestandaardiseerd HTTP/2 protocol.

Waarom HTTP/2 je WordPress sites sneller maakt

HTTP/2 is uitgerust met een schat aan nieuwe functies die een veel snellere gegevensoverdracht mogelijk maken:

  • Multiplexing: Met deze functie kunnen verschillende gegevensstromen worden geladen via een verbinding tussen de webserver en de client (d.w.z. de browser van de bezoekers van je site). Met HTTP/1 moet voor elke gegevensstroom een aparte verbinding worden geopend. En het openen van deze verbindingen kost tijd.
  • Headercompressie: Elk HTTP-verzoek van een client aan een webserver bevat meta-informatie zodat de pagina correct kan worden opgebouwd. Deze meta-informatie is in de loop der jaren steeds groter geworden. HTTP/2 comprimeert deze informatie en bespaart zo gegevensvolume.
  • Server push: Soms ook cache push genoemd. Het principe achter deze functie is heel eenvoudig: de meeste aanvragen voor een pagina lijken erg op elkaar. Als je webserver het typische aanvraagpatroon herkent, bijvoorbeeld voor je homepage, dan stuurt de server ongevraagd alle benodigde informatie naar de browser om de pagina op te bouwen. Dit betekent dat de browser veel minder HTTP-verzoeken aan de server hoeft te doen. Hierdoor laadt de pagina sneller.

Dat klinkt allemaal heel mooi in theorie. Maar wat betekent het in de praktijk? De testpagina HTTPS vs. HTTP laat indrukwekkend zien hoe groot het verschil is tussen de twee protocolgeneraties.

In een vergelijking tussen HTTPS en HTTP kan HTTPS in sommige gevallen veel sneller zijn.
In een van onze tests liet de HTTP/1 vs. HTTP/2 test verschillen in laadtijden zien die als dag en nacht waren. De HTTP-versie van de test was 914 procent langzamer dan de HTTP/2-versie. Dit zijn goede signalen om je WordPress sites over te zetten op HTTPS.

Het is natuurlijk vooral interessant om te zien hoe deze nieuwe functies de laadtijd van je pagina's in de echte wereld beïnvloeden. Je kunt er eenvoudig achter komen of je site draait op een server die geschikt is voor HTTP/2 door het aan je host te vragen (of door deze eenvoudige truc te gebruiken). Mits WordPress natuurlijk onder HTTPS draait.

De vuurproef: HTTPS maakt WordPress 45 procent sneller in een test

Maar nu de puntjes op de i: Welke prestatieverhoging kun je realistisch gezien verwachten van het overschakelen van een WordPress site naar HTTPS? Want de zojuist gemeten 914 procent zal niet zichtbaar zijn op een voltooide site. Daarom hebben we het geheel getest met onze homepage. Met andere woorden, we hebben raidboxes.de één keer met en één keer zonder HTTPS getest.

WordPress HTTPS zonder SSL heeft Raidboxes meer dan 5 seconden nodig om te laden
WordPress HTTPS met SSL heeft Raidboxes net iets minder dan 3 seconden nodig om te laden
We hebben de eigenlijke test uitgevoerd met Webpagetest. De laadtijd van een kloon van raidboxes.de werd gemeten via Duitse testservers. Er werden in totaal zeven opeenvolgende tests uitgevoerd voor zowel de HTTPS- als de HTTP-versie en de resultaten werden gemiddeld. Het is belangrijk op te merken dat de site een zeer slechte prestatiescore heeft. Dit komt doordat bepaalde bronnen alleen werken onder het juiste domein van de site. Daarom is alleen de laadtijd doorslaggevend voor de vergelijking.

De test laat zien dat een kopie van onze homepage in één keer 45 procent sneller is met HTTPS. Onze gedetailleerde test met zeven opeenvolgende tests van Duitse servers laat vergelijkbare resultaten zien.

Life hack voor webmasters: Hoe je in één oogopslag kunt zien of je host HTTP/2 gebruikt

En omdat HTTPS je WordPress projecten deze handige prestatieboost geeft, is het nog belangrijker dat je weet of je host HTTP/2 gebruikt. Je kunt het natuurlijk gewoon aan support vragen, maar er is ook een methode waarmee je in één oogopslag kunt herkennen of jouw site, of een andere site die je aan het testen bent, profiteert van HTTP/2.

Je hebt maar één ding nodig: een watervalgrafiek van je site. Je kunt deze maken door de laadtijd te meten met de tools Webpagetest, Pingdom of GTmetrix. Voer gewoon de URL in die je wilt testen en voer de test uit. Voor deze truc maakt het niet uit waarvandaan en met welke specificaties de test wordt uitgevoerd.

In het voltooide watervaldiagram hoef je er nu alleen nog maar op te letten of individuele verzoeken tegelijkertijd of alleen chronologisch worden geladen. Als ze gelijktijdig worden geladen, gebruikt je pagina HTTP/2.

WordPress HTTPS vs WordPress HTTP
Zoals je kunt zien, worden de afzonderlijke verzoeken in de linker versie (HTTP) chronologisch geladen, dat wil zeggen na elkaar. In de rechter versie (WordPress met HTTPS) worden alle verzoeken tegelijkertijd geladen.

Als je HTTPS hebt geactiveerd op je WordPress projecten en de verzoeken worden niet parallel geladen, moet je dringend contact opnemen met je host 😉.

Conclusie: HTTPS als kans voor je WordPress projecten

Google is onlangs begonnen met het versturen van de eerste waarschuwingsmails naar beheerders van HTTP-sites. Vanaf versie 62 zal de Chrome browser pagina's die gebruikersinvoer toestaan als "niet veilig" bestempelen.

WordPress HTTPS voorbeeld voor een HTTP pagina in de nieuwe Chrome versie 62
Zo zou de adresbalk van onze collega's bij t3n er bijvoorbeeld uitzien als Chrome op alle HTTP-pagina's de melding "Niet veilig" zou weergeven.

In principe betekent dit dat elke HTTP-pagina met een contactformulier of commentaarfunctie door Google wordt gebrandmerkt. Gelukkig is het nog nooit zo eenvoudig geweest om je WordPress site om te schakelen naar HTTPS: SSL-certificaten zijn meestal gratis en installaties met één klik besparen een hoop werk bij het instellen, waardoor zelfs minder technisch onderlegde webmasters de overstap kunnen maken. En onze test toont aan: zelfs met een minder geoptimaliseerde site kan WordPress veel voordeel halen uit HTTPS en laadt het gewoon veel sneller.

In het ideale geval zou dit slechts één klik vergen. Dus als je nog steeds sites onder HTTP beheert, kunnen we je alleen maar aanraden om over te stappen.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Jan Hornung

Onderdeel van Raidboxes sinds het prille begin en Head of Support. Op WordCamps houdt hij ervan om te praten over pagespeed en website performance. De beste manier om hem om te kopen is met een espresso – of Beierse Brezel.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.