03.09.17
uppdaterad den 21.10.20
Jan Hornung
0 Kommentarer
WordPress HTTPS: Ett enkelt certifikat kan snabba upp din webbplats enormt

WordPress på HTTPS: Hur ett enkelt certifikat gör dina sidor snabbare i ett slag

Det finns en ihållande missuppfattning att HTTPS gör WordPress långsamt. I själva verket är det precis tvärtom: tack vare HTTP/2 är SSL-krypterade sidor ibland extremt snabba. Och tack vare kostnadsfria SSL-certifikat och integrerade installationer har det aldrig varit enklare att byta WordPress till HTTPS. Och det är bra, för HTTP-sidor kommer snart att behöva stå ut med vissa nackdelar. Vi visar dig fördelarna med bytet och hur du snabbt kan kontrollera om din host använder HTTP/2.

Idag vet alla kunder och slutanvändare skillnaden mellan krypterade och okrypterade webbplatser. Åtminstone på en subjektiv nivå: det gröna låset ger helt enkelt en bra känsla. Men lika välkänt som den positiva effekten på webbplatsbesökarnas förtroende är missuppfattningen att SSL, eller TLS (den förklara skillnaden t.ex. av våra kollegor på CHIP.de) gör WordPress långsamt.

Och ja, i teorin är det sant: om en sida levereras via HTTPS (dvs. den säkra versionen av HTTP), tar anslutningen mellan webbservern och webbläsaren lite längre tid på grund av SSL-handskakningen. Men det handlar bara om några millisekunder.

Nuförtiden är det säkert att kalla det ett rykte att HTTPS saktar ner WordPress. Faktum är att ett SSL-certifikat bara gynnar din webbplats. Och eftersom Google snart kommer att börja märka okrypterade webbplatser som "inte säkra", är det hög tid att byta din webbplats till HTTPS nu.

Jag ska visa dig idag:

  • Varför är det bästa tillfället att byta till HTTPS i WordPress nu?
  • Hur du kan växla WordPress till HTTPS
  • Varför HTTP/2 gör dina WordPress-sidor snabbare
  • Vilken prestandaökning kan du förvänta dig för en WordPress-webbplats under HTTPS
  • Ett enkelt trick med vilket du kan känna igen om din värd redan använder HTTP/2 (vilket den borde!)

Allt kretsar kring HTTPS, oavsett om det är WordPress eller inte

För tre år sedan, på sin utvecklarkonferens Google I/O utropade Google mottot "HTTPS everywhere". Kort sagt, de dåvarande Google-utvecklarna Pierre Far och Ilja Grigorik tog strid för att använda TLS (efterföljaren till SSL) och visade i sin session bland annat hur man implementerar det.

Bara några veckor senare, i augusti 2014, inkluderades HTTPS HTTPS inkluderades då som en officiell rankningssignal i Googles sökranking. Google har i flera år försökt övertyga webbplatsoperatörer om att deras webbplatser ska övergå till HTTPS genom att använda argument och fakta.

Det faktum att Google Chrome snart kommer att straffa HTTP-sidor med meddelandet "not secure" kan säkert ses som nästa stora steg i Googles "HTTPS everywhere"-offensiv. I själva verket har detta meddelande redan visats för sidor sedan Chrome version 56som t.ex. hämtar kreditkortsinformation. Med den nya version 62 av Googles webbläsare kommer denna regel dock att tillämpas på alla sidor som tillåter kundinmatning, t.ex. kontaktformulär eller sökfält.

Lösenord och kreditkort är inte de enda typerna av data som bör vara privata. Alla typer av data som användare skriver in på webbplatser bör inte vara tillgängliga för andra i nätverket, så från och med version 62 kommer Chrome att visa varningen "Inte säkert" när användare skriver in data på HTTP-webbplatser.

- Emily Schechter, Chrome Security Team

Gratis SSL: Situationen har aldrig varit så gynnsam för att byta WordPress till HTTPS

För tre år sedan, när de två Google-utvecklarna pläderade för TLS, var man fortfarande tvungen att köpa SSL-certifikat och installera dem själv. Detta har nu förändrats dramatiskt, och till det bättre.

2016 började Let's Encrypt-initiativet utfärda gratis SSL-certifikat. Tack vare sponsorer som Chrome, men också Facebook och företag från WordPress-universum, kan kalifornierna nu erbjuda nästan 40 miljoner aktiva gratis SSL-certifikat.

WordPress HTTPS Tillväxtsiffror för Let's Encrypt. Sedan oktober 2016 har antalet aktiva certifikat nästan åttafaldigats.
Som du kan se har tillväxten för Let's Encrypt tagit fart ordentligt sedan oktober 2016. Sedan dess har antalet aktiva certifikat nästan åttafaldigats.

Denna utveckling har haft en enorm inverkan på värdlandskapet: gratis SSL-certifikat är nu standard och tack vare integrationen av installationer med ett klick är installationen nu möjlig för alla användare.

HTTPS brukade vara en riktig plåga för WordPress

Innan massdistributionen av gratis SSL-certifikat för drygt två år sedan var det en riktig pina att byta WordPress till HTTPS. Särskilt för ägare av små webbplatser som bara behövde domänvaliderade certifikat.

Info: Dessa typer av SSL-certifikat är tillgängliga

  • DV-certifikat: DV står för Domain Validated. Ett DV-certifikat används därför för att kontrollera om domänen och webbutrymmet "hör ihop". Om allt är som det ska kan du vara säker på att när du öppnar domänen hamnar du faktiskt på motsvarande webbutrymme och inte på en phishing-webbplats. Inställningsprocessen är fortfarande ganska enkel här: domänadministratören bekräftar att de har lämpliga rättigheter över en domän och kan sedan kryptera sin webbplats i enlighet med detta.
  • OV-certifikat: OV står för Organisation Validated. Förutom domänvalidering garanterar denna typ av certifikat att den sida du besöker verkligen tillhör det företag vars webbplats du försöker komma åt.
  • EV-certifikat: De så kallade Extended Validated Certificates går ett steg längre: Här kontrollerar certifieringsorganet intensivt företagets dokument. Bland annat ingår företagets juridiska form i certifikatet.

Även att konfigurera ett enkelt DV-certifikat brukade vara en riktig smärta för WordPress-webbplatser och kanske inte ens genomförbart för icke-tekniker. Detta beror på att processen bestod av minst fyra steg:

  1. köpa ett certifikat: Här var man tvungen att sätta sig in i leverantörslandskapet och aktivt jämföra priser och villkor även för enkla DV-certifikat. Detta har också lett till att vissa leverantörer har uppfunnit mycket kreativa funktioner, såsom försäkringar, för att differentiera sina produkter. När det gäller utökade certifikat finns det också ett valideringssteg, dvs. att bevisa att domänägaren också är företagets ägare. Beroende på certifikat kan denna process ta dagar eller veckor.
  2. Konfigurera certifikatet: Nästa steg var att lagra certifikatinformationen på webbservern. Beroende på leverantör var detta mer eller mindre tidskrävande. Under tiden har dock alla hostingleverantörer faktiskt skapat ett mer eller mindre bra arbetsflöde som guidar dig som användare genom installationsprocessen.
  3. Förbereda WordPress för HTTPS: När själva certifikatet hade konfigurerats måste webbplatsen förberedas för övergången från HTTP till HTTPS. För att göra detta måste varje databaspost och varje resurs på webbplatsen konverteras till HTTPS och resultatet kontrolleras för blandade innehållsfel.
  4. Konfigurera Google: Efter konverteringen av webbplatsen behövde enheterna i Google Analytics och i Google Search Console (tidigare Google Webmaster Tools) justeras.

Den av Let's Encrypt initierade utvecklingen mot kostnadsfria DV-certifikat har förenklat denna process avsevärt. Många hosters erbjuder nu också en förenklad installation där, i bästa fall, ett certifikat aktiveras och konfigureras med ett enda klick och webbplatsen automatiskt växlas till HTTPS. Oavsett om det är ett WordPress-projekt eller inte.

TIPS: Behöver du konfigurera SSL utan en installation med ett klick?

Om du har otur erbjuder din värd ännu inte en förenklad installation. Då måste du själv göra WordPress-inställningarna för HTTPS:

Ingen HTTP/2 utan Google

Jag har redan nämnt det: som en del av sin "HTTPS everywhere"-kampanj har Google alltid varit intresserad av att se till att så många webbplatser som möjligt körs med ett SSL-certifikat. För övrigt är detta förmodligen också anledningen till att Chrome är en officiell sponsor av Let's Encrypt. Men sökmotorjätten var också mycket involverad i utvecklingen av HTTP/2.

Eftersom föregångarprotokollet, SPDYursprungligen utvecklades av Google som ett experiment för att utforska tekniska möjligheter att förbättra det nästan antika HTTP/1. Det var 2009. 2015 införlivades resultaten från det experimentella SPDY-projektet i det standardiserade HTTP/2-protokollet.

Varför HTTP/2 gör dina WordPress-sidor snabbare

HTTP/2 har utrustats med en mängd nya funktioner som möjliggör mycket snabbare dataöverföring:

  • Multiplexing: Med denna funktion kan flera olika dataströmmar laddas via en anslutning mellan webbservern och klienten (dvs. webbläsaren för besökarna på din webbplats). Med HTTP/1 måste en separat anslutning öppnas för varje dataström. Och att öppna dessa anslutningar tar tid.
  • Komprimering av sidhuvud: Varje HTTP-begäran som en klient gör till en webbserver innehåller metainformation så att sidan kan byggas korrekt. Denna metainformation har blivit större och större med åren. HTTP/2 komprimerar denna information och sparar därmed datavolym.
  • Server-push: Ibland även kallad cache push. Principen bakom denna funktion är mycket enkel: de allra flesta förfrågningar till en sida är mycket likartade. Om din webbserver känner igen det typiska anropsmönstret, t.ex. för din hemsida, skickar servern all information den behöver till webbläsaren för att bygga sidan utan att bli tillfrågad. Det innebär att webbläsaren behöver göra mycket färre HTTP-förfrågningar till servern. Detta gör att sidan laddas snabbare.

Allt detta låter ju bra i teorin. Men vad betyder det i praktiken? Testsidan HTTPS vs. HTTP visar på ett imponerande sätt hur stor skillnaden är mellan de två protokollgenerationerna.

I en jämförelse mellan HTTPS och HTTP kan HTTPS i vissa fall vara mycket snabbare.
I ett av våra tester visade HTTP/1 vs. HTTP/2-testet skillnader i laddningstider som var som natt och dag. HTTP-versionen av testet var 914 procent långsammare än HTTP/2-versionen. Detta är goda tecken för att byta dina WordPress-webbplatser till HTTPS.

Naturligtvis är det särskilt intressant att se hur dessa nya funktioner påverkar laddningstiden för dina sidor i den verkliga världen. Du kan enkelt ta reda på om din webbplats körs på en HTTP/2-kompatibel server genom att fråga din värd (eller genom att använda detta enkla trick). Förutsatt, naturligtvis, att WordPress körs under HTTPS.

Testet: HTTPS gör WordPress 45 procent snabbare i ett test

Men nu till det väsentliga: Vilken prestandaökning kan du realistiskt förvänta dig av att byta en WordPress-webbplats till HTTPS? Eftersom de 914 procent som just uppmättes inte kommer att synas på en färdig webbplats. Därför testade vi hela grejen med vår hemsida. Med andra ord testade vi raidboxes.de en gång med och en gång utan HTTPS.

WordPress HTTPS utan SSL behöver Raidboxes mer än 5 sekunder att ladda
WordPress HTTPS med SSL behöver bara Raidboxes knappt 3 sekunder att ladda
Vi genomförde det faktiska testet med Webpagetest. Vi mätte laddningstiden för en klon av raidboxes.de via tyska testservrar. Totalt utfördes sju på varandra följande tester för både HTTPS- och HTTP-versionerna och resultaten beräknades i genomsnitt. Det är viktigt att notera att webbplatsen har en mycket dålig prestandapoäng. Detta beror på att vissa resurser endast fungerar under den korrekta domänen på webbplatsen. Därför är det bara laddningstiden som är avgörande för jämförelsen.

Testet visar att en kopia av vår hemsida är 45 procent snabbare på en gång med HTTPS. Vårt detaljerade test med sju på varandra följande tester av tyska servrar visar liknande resultat.

Life hack för webbansvariga: Så ser du snabbt om din host använder HTTP/2

Och eftersom HTTPS ger dina WordPress-projekt denna praktiska prestandaökning, är det ännu viktigare att du vet om din värd använder HTTP/2. Du kan naturligtvis fråga supporten, men det finns också en metod som gör att du snabbt kan se om din webbplats, eller någon annan webbplats som du testar, drar nytta av HTTP/2.

Allt du behöver är en sak: ett vattenfallsdiagram över din webbplats. Du kan skapa detta genom att mäta laddningstiden med verktygen Test av webbsidor, Pingdom eller GTmetrix. Ange helt enkelt den URL som ska testas och kör testet. För detta trick spelar det ingen roll varifrån och med vilka specifikationer testet utförs.

I det färdiga vattenfallsdiagrammet behöver du nu bara vara uppmärksam på om enskilda förfrågningar laddas samtidigt eller bara kronologiskt. Om de laddas samtidigt använder din sida HTTP/2.

WordPress HTTPS vs WordPress HTTP
Som du kan se laddas de enskilda förfrågningarna i den vänstra versionen (HTTP) kronologiskt, dvs. efter varandra. I den högra versionen (WordPress med HTTPS) laddas alla förfrågningar samtidigt.

Om du har aktiverat HTTPS på dina WordPress-projekt och förfrågningarna inte laddas parallellt bör du snarast kontakta din värd 😉.

Slutsats: HTTPS som en möjlighet för dina WordPress-projekt

Google började nyligen skicka de första varningsmejlen till operatörer av HTTP-webbplatser. Från och med version 62 kommer webbläsaren Chrome att märka sidor som tillåter användarinmatning som "inte säkra".

WordPress HTTPS-exempel för en HTTP-sida i den nya Chrome-versionen 62
Så här skulle adressfältet hos våra kollegor på t3n se ut om Chrome visade meddelandet "Inte säkert" på alla HTTP-sidor.

I princip innebär detta att varje HTTP-sida med ett kontaktformulär eller en kommentarfunktion är märkt av Google. Lyckligtvis har det aldrig varit enklare att byta din WordPress-webbplats till HTTPS: SSL-certifikat är för det mesta gratis och ett-klick-installationer sparar en hel del arbete när du ställer in dem, så att även mindre tekniskt kunniga webbansvariga kan göra övergången. Och vårt test visar: Även med en mindre optimerad webbplats kan WordPress dra stor nytta av HTTPS och laddas helt enkelt mycket snabbare.

Helst bör detta bara ta ett klick. Så om du fortfarande driver webbplatser under HTTP, kan vi bara starkt rekommendera dig att byta.

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Jan Hornung

Del av Raidboxes sedan början och supportchef. På bar- och ordläger föredrar han att prata om sidhastighet och webbplatsens prestanda. Det bästa sättet att imponera på honom är med en espresso – eller bayerska kringlor.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.