Vaak is het handig of zelfs noodzakelijk om ervoor te zorgen dat de bezoekers van je website toegang hebben tot je website met behulp van een versleutelde SSL verbinding (HTTPS). HTTPS beschermd namelijk de data van je bezoekers en zorgt ervoor dat je bij de juiste website terecht komt.

Doorsturen naar HTTPS

Om er voor te zorgen dat bezoekers van je website standaard gebruik maken van een versleutelde SSL verbinding, kun je er voor kiezen om een stukje code te plaatsen in het .htaccess bestand van je website. Dit zorgt er in de praktijk voor dat al het verkeer van "http://www.voorbeeld.nl" wordt doorverwezen naar "https://voorbeeld.nl". 

Om bezoekers door te sturen van HTTP naar HTTPS dien je het volgende stappen uit te voeren:

  1. Log in op het cPanel
  2. Ga naar de 'File Manager'
  3. Klik op de map 'public_html'; 
  4. Klik op 'Edit' bij het .htaccess-bestand of maak een .htacces-bestand aan als deze er niet is. (Zie je het .htacces-bestand niet terug? Ga dan naar 'Settings'/'instellingen' en klik op 'Show Hidden Files (dotfiles)')
  5. Voeg de volgende regels, zoals hieronder weergegeven, exact zo toe bovenaan in het .htaccess-bestand:

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

  6. Sla de wijzingen op door te klikken op save

Zodra je dit hebt aangepast, wordt al het verkeer dat richting je website komt vanzelf over een beveiligde HTTPS-verbinding gestuurd.

 

Forceren over HSTS

HSTS is vooral handig omdat als je een HSTS header meestuurt een browser die HSTS ondersteund voortaan alleen nog maar via https met je site communiceert. Dus ook wanneer een bezoeker je website bezoekt over HTTP. Hoe lang dit gedrag wordt afgedwongen is instelbaar. Je kunt HSTS forceren via een .htacces-bestand:

  1. Log in op het cPanel
  2. Ga naar de 'File Manager'
  3. Klik op de map 'public_html'; 
  4. Klik op 'Edit' bij het .htaccess-bestand of maak een .htacces-bestand aan als deze er niet is. (Zie je het .htacces-bestand niet terug? Ga dan naar 'Settings'/'instellingen' en klik op 'Show Hidden Files (dotfiles)')
  5. Voeg de volgende regels, zoals hieronder weergegeven, exact zo toe bovenaan in het .htaccess-bestand:

    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
  • Wanneer je HSTS ook wilt forceren op subdomeinen, dan gebruik je de volgende code:

    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Een risico van HSTS is dat wanneer bijvoorbeeld je SSL-certificaat is verlopen je website niet is te bereiken. De browser slaat namelijk de meegestuurde HSTS-header op. Hierdoor vereist de browser een correcte configuratie van de website. Wanneer deze er niet is, is je website niet zichtbaar.
Omdat de webhostingpakketten van Domeinbalie.nl gebruik maken van AutoSSL, zul je bij ons niet tegen dit probleem aanlopen. 
 

Hoe zorg ik ervoor dat mijn WordPress over HTTPS loopt?

Maak je gebruik van WordPress? Dan is het ook mogelijk om al je verkeer over HTTPS te laten lopen met behulp van een plug-in. In dit hulpartikel wordt uitgelegd hoe dat werkt.