Case: Een miljoenenpubliek migreren naar HTTPS: zo doe je dat

Cases
Door Heini van Bergen op

De roep om een veiliger internet klinkt steeds luider. Google heeft daar afgelopen jaar nog een schepje bovenop gedaan door beveiligde websites een (licht) voordeel te geven in haar rankings. De vraag is dus niet of je moet overstappen naar HTTPS, maar eerder wanneer. Maar hoe doe je dat als je een high-traffic site hebt en ook nog voor een groot deel afhankelijk bent van je posities in Google?

We hebben met onze site AndroidPlanet.nl in samenwerking met hostingpartner Savvii deze migratie naar HTTPS ondergaan en geven je in dit artikel een overzicht van onze geleerde lessen.

Waar te starten?

Hoe groter je website is, hoe meer maatwerk er meestal in is verwerkt. Dit zorgt ervoor dat een overstap naar HTTPS meestal geen eenvoudige aanpassing in het CMS of een zoek-en-vervang-opdracht is.

Met AndroidPlanet.nl hebben we te maken met meer dan een miljoen bezoekers per maand, custom WordPress-weblog, volledig geïntegreerd met een Angular JS-prijsvergelijker en meerdere lagen (Varnish) caching. Geen standaard opzet dus.

De voorbereiding is bij zo’n complexe migratie essentieel. Zorg ervoor dat je de volgende stappen sowieso doorloopt:

  1. Start op tijd met de voorbereiding
    Bij een migratie van deze omvang kom je bijna altijd verrassingen tegen. Start daarom op tijd met de voorbereidingen, zodat je nog voldoende tijd hebt om goed te testen. Wij zijn ruim 4 weken van tevoren begonnen met de voorbereidingen. 
  2. Laat alle betrokken partijen (developers, marketing, redactie, hosting) hun input leveren
    In de loop de jaren is er waarschijnlijk veel aan je website gebouwd, waardoor niet iedereen meer het totale overzicht heeft van alle verwijzingen, koppelingen et cetera. Bij iedere afdeling zit een stukje kennis die samen het totaalplaatje vormt. Denk hierbij aan externe advertenties die nog via HTTP lopen, RSS-feeds, geautomatiseerde mailings, “harde” links in de content van je site, sitemaps, verwijzingen of zelfs authenticatie vanaf sites van derden. Al deze zaken zullen omgezet moeten worden. 
  3. Wees duidelijkheid over verwachtingen en data
    Laat geen onduidelijkheid bestaan over het moment van de migratie en wanneer je verwacht dat iedereen zijn gedeelte in orde heeft; je bent nou eenmaal van elkaar afhankelijk. 
  4. Maak een checklist
    De aanpassingen die gedaan moeten worden voor een HTTPS-migratie zijn relatief makkelijk en goed vooraf te testen. De complexiteit zit vooral in het feit dat er veel kleine punten gecheckt moeten worden. Ook zijn er specifieke instellingen die alleen voor jouw site kunnen gelden. Stel dus een volledige checklist voor jouw migratie op. Het is een goede start om te beginnen met een algemene checklist zoals Moz die bijvoorbeeld heeft gemaakt. Vul deze lijst aan met punten die voor jouw situatie gelden. Je zult niet de eerste zijn waarbij AdWords-advertenties nog een tijdje naar een http url linken of het robots.txt bestand naar de oude XML sitemaps verwijst. 
  5. Richt een testomgeving in
    Het is essentieel om vooraf goed te kunnen testen voordat je de overstap maakt. Je haalt hiermee veel onverwachte issues naar boven en het geeft je bovendien een wat betere nachtrust als je de hele site al eens werkend in een HTTPS-omgeving hebt gezien. Probeer te werken met een (zo goed als) exacte kopie van je live-website. Wij hadden voor AndroidPlanet.nl al een testomgeving draaien en hebben deze eenvoudig beveiligd gemaakt met een gratis SSL-certificaat van Letsencrypt. Een goede hoster kan je hier vaak bij helpen. Zo heeft Savvii op onze testomgeving het certificaat geïnstalleerd, URL’s in de code en database vervangen en de juiste headers ingesteld. Onze zustersite OnlySim.nl draait op de productie-omgeving al volledig via Letsencrypt. 
  6. Gebruik testtools
    Hoewel je ook absoluut zelf door de testomgeving moet klikken, kunnen geautomatiseerde testtools je veel werk uit handen nemen. Bovendien maken zij geen fouten. Eén van de allerbeste tools op dit gebied is Screaming Frog. Dit is een programmaatje dat op je computer draait en net als een zoekmachinerobot de hele website doorzoekt. Eventuele verkeerde verwijzingen of 404-pagina’s komen hiermee direct naar boven. Houd er wel rekening mee dat het bij een grote site even kan duren voordat alles is doorzocht. Om de server niet te zwaar te belasten, duurde dit bij ons meer dan 12 uur. Ook de Chrome Inspector (In Chrome via “Weergave” → “Ontwikkelaar” → “Ontwikkelaarstools”) kan heel waardevol zijn om overgebleven HTTP-verwijzingen snel te ontdekken. Na de migratie geven de Google Search Console en Google Analytics je ook direct informatie over eventuele fouten die zijn blijven zitten.

    Wil je echt zeker zijn dat alles goed gaat, dan moet je de Log File Analyzer van de makers van Screaming Frog gebruiken. Deze tool biedt heel makkelijk inzicht in alle bewegingen op je site op basis van de server log files. Foutpagina’s of veranderend gedrag van de Google spider vallen dan direct op. 
  7. Bij twijfel: raadpleeg een expert!
    Bij de overgang naar HTTPS krijg je waarschijnlijk te maken met termen die je nog nooit eerder hebt gehoord. Als je hierover twijfelt, aarzel dan niet en raadpleeg een expert. De meeste SEO-experts hebben al vaker zo’n migratie begeleid en weten precies wat voor jouw situatie relevant is en kunnen je behoeden voor valkuilen. Ondanks dat we binnen BigSpark veel kennis over online marketing hebben, hebben we voor de zekerheid onze SEO-expert naar de migratie laten kijken. Bij vragen kun je ook terecht bij je hostingpartner. 
  8. Plan voldoende resources in tijdens de migratie
    Na een goede voorbereiding is de uiteindelijke migratie vaak binnen korte tijd geregeld. Houdt er wel rekening mee dat je voor verrassingen kunt komen te staan en dat je dus mensen paraat hebt die direct kunnen ingrijpen. Ook wij hebben na de migratie toch nog een paar kleine punten moeten rechttrekken. Zo stonden er bijvoorbeeld nog advertenties live die naar een HTTP url verwezen, hiermee was de site dus nog niet beveiligd.

Ga voor kwaliteit!

Als je zover bent om de stap naar HTTPS te zetten, dan moet je dat ook meteen goed doen. Dat was althans onze insteek. Uiteraard moeten alle interne links en verwijzingen naar HTTPS, maar in de server instellingen kan het verschil tussen een F of A+-rating worden gemaakt. Deze rating is er vooral op gericht om te bepalen hoe moeilijk het voor een ongenode gast is om om de SSL-beveiliging te omzeilen en het verkeer tussen de gebruiker en de website te onderscheppen.

Daarnaast wilden we er qua snelheid niet op achteruit gaan. Snelheid is naast veiligheid namelijk een tweede punt waar Google veel nadruk op legt.

Onze developers en hostingpartner Savvii hebben ons hierin geadviseerd. Als je niet bekend bent met termen als HSTS headers, OCSP-stapling en encryption ciphers raad ik je aan dit door je hostingpartner in te laten stellen en aan te geven dat je voor een A+rating wilt gaan. Als je geïnteresseerd bent in onze instellingen, dan kun je die hier via SSLtesting bekijken. Ook voor je eigen site kun je via Qualys SSLtesting achterhalen hoe goed het met jouw HTTPS-configuratie is gesteld.

Wil je toch graag zelf je server instellen of ben je gewoon nieuwsgierig naar de beste setup, dan heeft Mozilla een handige tool waarmee je op basis van best practices zelf je server instellingen kunt genereren.

SSL_Server_Test__www_androidplanet_nl__Powered_by_Qualys_SSL_Labs_

Wat ging er fout?

Gelukkig niet zo veel. De harde verwijzingen die niet goed stonden hadden we vooraf kunnen constateren, maar waren op productie gelukkig snel opgelost. Het grootste probleem lag echter nog buiten onze macht. Eén van onze affiliate partners bleek namelijk geen trackback-functionaliteit voor HTTPS te ondersteunen, daardoor was onze salesdata niet meer compleet. Om dit probleem te omzeilen, hebben we nog een aparte proxy moeten bouwen om de trackback ook te laten werken via HTTP. Dit hebben we snel kunnen oplossen, maar hierdoor hebben we wel belangrijke sales data gemist.

Tot slot

Wees niet bang om de stap naar HTTPS te maken. Gebruikers zullen meer en meer verwachten dat sites goed beveiligd zijn. De migratie naar HTTPS is dan niet langer nice to have, maar een must. Met een goede voorbereiding en uitgebreid testen hoeft het geen problemen op te leveren. Over de resultaten in Google kunnen we op dit moment nog weinig zeggen. Ruim twee weken na de migratie (5 april, week 14) zijn de meeste url’s (>95%) al wel door Google vervangen met de HTTPS-variant, maar in de posities in Google is nog weinig veranderd.

Dashboard___SEO_Rank_Monitor (1)

Dit artikel verscheen eerder op Marketingfacts.