Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties
Submitter: 12345dan

Google zou plannen hebben om websites die gebruikmaken van encryptie hoger in de zoekresultaten te plaatsen. Mogelijk wil het internetbedrijf hiermee websitebouwers stimuleren om hun websites beter te beveiligen.

Dat zegt The Wall Street Journal op basis van bronnen bij Google. Volgens de Amerikaanse zakenkrant gaat het vooralsnog om ideeën die spelen bij Google, waardoor het nog niet zeker is of ze daadwerkelijk worden uitgevoerd.

Mochten de plannen de eindstreep halen, dan krijgen websites die gebruikmaken van encryptie een hogere positie in de zoekresultaten van de internetgigant. Het kan volgens The Wall Street Journal overigens wel enige tijd duren voordat de wijziging, als die wordt toegepast, in de zoekresultaten zichtbaar wordt.

Waarschijnlijk wil Google met het 'belonen' van websites met encryptie ervoor zorgen dat websitemakers worden gestimuleerd om beveiliging in te bouwen. Daardoor zou het bijvoorbeeld voor inlichtingendiensten moeilijker worden om informatie af te tappen en voor hackers om informatie te stelen. Google wilde zelf geen informatie geven over de eventuele plannen.

Moderatie-faq Wijzig weergave

Reacties (79)

Goede zaak. Hier wordt het internet veiliger van, vooral als dit zorgt dat 'SEO-experts' plotseling allemaal SSL willen :)

Nu WinXP weg is hebben *alle* webbrowsers toegang tot SNI, 'Server Name Indication', dus is het oude "Je kan maar 1 https-domein per IP-adres hebben!"-argument onzin. Het bovenin plaatsen van beveiligde sites zie ik dus niet als onredelijk: wat voor argument kan je bedenken voor het niet gebruiken van https?

[Reactie gewijzigd door TvdW op 14 april 2014 19:23]

Helemaal geen goede zaak, een leuke normale info website komt zo onderaan te staat terwijl dit niet zou moeten. Een zoekmachine moet zijn resultaten niet filteren, maar gewoon goede zoekresultaten geven en onbevooroordeeld.
Als er twee websites zijn die vrijwel dezelfde informatie geven zou Google de beveligde versie boven de onbeveiligde versie moeten zetten. Het is uiteraard niet acceptabel als er onzin boven goede resultaten komt te staan simpelweg omdat er een SSL-certificaat is. Ik neem aan dat Google dit laat meewegen op een manier dat de kwaliteit van de resultaten niet (veel) achteruit gaat.
Het WSJ artikel is wat speculatief. Hier een artikel dat, naar mijn idee, een wat genuanceerder beeld geeft:

http://www.seroundtable.com/google-ssl-ranking-18256.html

Bottomline; als het aan Matt Cutts zou liggen dan wordt het ondersteunen van TLS meegewogen bij het beoordelen van zoekresultaten. Matt is echter niet de enige die dit bepaalt en om die reden is het erg onwaarschijnlijk dat dit op korte (of middellange) termijn gaat gebeuren.

Mij lijkt het ook erg onwaarschijnlijk, het zou vooral het belonen van wenselijk gedrag zijn door Google en niet het verbeteren van de zoekresultaten. Behoorlijk politiek/gekleurd dus, lijkt me gevaarlijk terrein.
Dat niet alleen, het toevoegen van encryptie voor het hoger komen te staan in zoekresultaten zorgt niet altijd voor daadwerkelijk betere beveiliging. Het zal ook niet testen hoe goed de encryptie is. Als je hem gaat encrypten met een sleutel die alleen nullen bevat (bijvoorbeeld) stelt je encryptie niet veel voor.

offtopic:
Slecht voorbeeld misschien, maar ik denk dat de kern wel duidelijk is

[Reactie gewijzigd door Martinspire op 14 april 2014 22:50]

Dat zou zijn in het geval dat de encryptiemethode bestaat uit een xor van de data met de sleutel. Gelukkig werken de algoritmes die gekozen kunnen worden voor TLS wel wat slimmer dan dat.
Ok ok, maar dan nog kun je best beveiliging toevoegen om beveiliging toe te voegen, niet om het daadwerkelijk veiliger te maken.
Wat er nu gebeurd is dat een hoop zoekresultaten worden gefilterd worden op een eigenschap, het enge is: nu deze "Goede"eigenschap, straks misschien een andere eigenschap.

Daarnaast geef jij een aanname:
"k neem aan dat Google dit laat meewegen op een manier dat de kwaliteit van de resultaten niet (veel) achteruit gaat. "

Aannames zijn gevaarlijk en zeker met dit soort dingen.
Google legt hier uit hoe ze zelf werken. Zoals er ook al staat 200 verschillende factoren (oftewel eigenschappen).

Zelf vermoed ik sites met versleuteling wél een voorsprong krijgen. Waarom? Omdat websites met SSL "beter" te vertrouwen zijn. Misschien niet altijd, maar praktisch gezien voor zoekresultaten wel. Misschien kijken ze zelfs naar wie het certificaat heeft gesigned.
het enge
gevaarlijk
Op de een of andere manier komen dit soort woorden altijd uit een of andere onderbuik als het onderwerp google is.

Terug naar de werkelijkheid:
We hebben het hier over zoekresultaten uit een zoekmachine.
Dat is niet voor niets, zoekresultaten worden nu bewust gemanipuleerd, daar is een mooi amerikaans gezegde over:

- If they did it once, chances are that they would do it again or did it before.
Als twee websites vrijwel dezelfde informatie geven dan komt dat omdat ze die informatie van dezelfde bron hebben. En dan zou die bron hoger moeten worden geplaatst in de zoekresultaten.
Dan moet die bron wel online beschikbaar zijn. En toegankelijk zijn voor het publiek/google.
klopt als ik een zoekopdracht in vul dan wil ik aan de hand van de relevantie mijn zoekresultaten krijgen. misschien kan google wel een optie maken ergens zodat je hierop kan filteren. maar standaard dus niet.
Gewone websites staan voor zover ik weet al jaren ergens vanaf de honderdste pagina.. Zouden ze de term zoekmachine niet eens moeten voorbehouden voor sites die zich goed met hun kerntaak bezighouden vraag ik me af.. google is niets meer als een sponsored links verzameling geworden.

[Reactie gewijzigd door Sergelwd op 14 april 2014 21:36]

Een argument is dat het geld kost om een certificaat te regelen. Ik heb een domein met meerdere subdomeinen die ik voor privé en familiedoeleinden gebruik, goedkoopste wildcard SSL kost 80 euro per jaar! Best fors voor een leukigheidje. Heb nu SSL op het hoofddomein draaien ;)
Maar... voor privedoeleinden maakt het toch niet uit hoe hoog je staat in de zoekresultaten? :)
Nee natuurlijk niet ;). Maar meer kijkend naar de algemene trend: alles SSL. Er moet gewoon een CA komen die trusted is door 99% van de browsers en die zijn werk als vereniging gratis uitvoert! Vergoeding op een andere manier zoals advertenties op de site of provisie bij andere certificaten? Gat in de markt...
Wat jij zoekt is DANE. Dit komt er zeker aan, maar het duurt nog even voor dit overal ondersteund is (heeft DNSSEC nodig).
Wat heeft dat ermee te maken? Het gaat erom hoe relevant de informatie is die op zijn website staat voor de vinder. Dat je deze vraag stelt geeft al aan dat je de functie van een zoekmachine niet goed begrijpt volgens mij.
Maar SSL pagina's worden toch niet gecrawled? Wat is dan het nut?
en waarom zou een searchbot een SSL-pagina niet bezoeken?
Het is niet alsof het achter login staat of zo
Moet zo een "leukigheid" ook hoog in de resultaten van Google komen?
Hoe precies is dit een goede zaak? Ik heb een aantal websites waar helemaal geen data op verstuurd vanuit gebruikers bijvoorbeeld, en daar is dan ook helemaal geen SSL voor nodig. Laatste keer dat ik keek was het aanschaffen van een SSL-certificaat bijvoorbeeld niet gratis. Waarom zou ik dan dat aan gaan schaffen?
Ik heb een aantal websites waar helemaal geen data op verstuurd vanuit gebruikers bijvoorbeeld
SSL werkt beide kanten op, niet alleen de data die de gebruiker naar jouw verstuurd (en dat doen ze wel degelijk, al was het alleen maar de request voor de pagina) maar ook de data die de gebruiker ontvangt wordt versleuteld, waardoor er niet zomaar met hem of haar "meegelezen" kan worden. Het kan voor jouw gebruiker ook prettig zijn dat niet iedereen weet wat er precies gelezen wordt op internet.
als ze je webadres weten en je hebt maar 1 of twee onderwerpen heeft versleuteling geen zin om dat geheim te houden.
Dan moet je echt al met Tor of VPN's gaan werken
Speelt performance ook niet mee? Zeker op drukke sites kan SSL voor flink wat belasting zorgen.
voor spdy (en waarschijnlijk http 2.0) is ssl dan weer wel een vereiste.
Ik denk als iemand websites maakt voor het plezier dat die het niet echt zal zien zitten om veel geld uit te geven aan ssl sertificaten. Tenzij google er gratis zal weggeven.
Ik vind het opzich een goede zaak dat ssl voorop zou staan in google alleen vind ik jammer dat hobbyisten hierop afgestraft zullen worden.

[Reactie gewijzigd door swimmer4 op 14 april 2014 23:17]

als ik wat wil weten over ict of zo zoek ik net zo lang tot ik die site vind trefwoorden zoeken dan kom je er altijd
Dat worden ze nu ook al, want hobbyisten betalen niet om bovenaan te komen. Ook doen betaalde websites aan allerlei zooi om zo hoog mogelijk te komen (linken naar andere pages die hoog in de zoekresultaten komen enzo). Je kan dat als hobbyist zelf ook doen, maar over het algemeen hou je je daarbij niet mee bezig.
Heeft het voor site's die geen user input verwerken uberhaubt wel zin?
Ja. Het gaat ook om mogelijke profilering van de gebruiker door overheden - niet alleen om hackers die inloggegevens kunnen stelen.
En jij wil zeggen dat een HTTP(s) request niet gelogd kan worden?
Lijkt me dat nog steeds mogelijk is wat voor URL's worden opgevraagd...
Nee, enkel het domein niet de pagina's. De GET zelf wordt ook versleuteld.

Hoogstens omdat sommige pagin'a effectief naar andere servers geleid worden kan men zo wat afleiden. Denk aan vodafone.nl vs my.vodafone.nl, of www.kpn.nl vs webmail.kpn.nl etc.
Kort gezegd: Nee.
Ikzelf zou een certificaat aanschaffen als je een inlogsysteem en/of klantensysteem hebt en met betalingen in de weer gaat.
Wel leuk, maar niet elke site heeft baat aan een SSL-versleuteling. Denk eens aan een visite-kaartje website van een bedrijf, die zich wil uitstralen. Daar heb je geen SSL voor nodig....
Nu hebben die sites er dus wel baat bij.
Extra uitgaven aan een onnodig certificaat? Het is onnodig omdat het van origine niet bedoeld is om hoger op in de SERP van Google te komen.
Hoezo extra uitgeven? Je kunt tegenwoordig gewoon gratis SSL-certificaten aanvragen op StartSSL. Die worden door de meeste browsers gewoon vertrouwd.

En al is de informatie die jij toont wellicht niet privacygevoelig, het voorkomt bijvoorbeeld wel dat een ISP kan opslaan dat ze op jouw URL zijn geweest (dit moeten ze nu nog allemaal verplicht opslaan).
De certificaten van Start SSL bieden wel minimale ondersteuning.
Sterker nog, het maakt websites potentieel trager aangezien er geen caching en compressie uitgevoerd kan worden op ISP level of op browser niveau (denk aan ingebouwde compressie van Windows Phone's Data Sense).
Op browser niveau (gzip) werkt prima met SSL hoor.
ISP level caching valt inderdaad weg.
Je verwart het optionele HTTP-compressie (wat nog onder je browser gebeurd), met het browser-caching en compressie via proxies zoals Safari en Internet Explorer bijvoorbeeld doen.

Vandaar dat ik DataSense ook express melde als voorbeeld. Maar aangezien Windows Phone niet zo populair is, had ik kunnen weten dat de meeste lezers niet weten wat die feature doet :)

Aanvullend, HTTPS-compressie is een bekend theoretisch veiligheidslek, dus of je dat uberhaupt wilt is tweede vraag.
Staat zowieso wel professioneel.
Dat wel, maar biedt geen meerwaarde aan dergelijke sites.
Daarom hoop ik dat ze toch op een manier een goede afweging gaan maken welke sites nou iets hogerop gaan komen in plaats van alleen maar te kijken naar een (geldig) SSL-certificaat.
ligt al helemaal waarvoor de site bedoeld is en wat de gebruiker gaat doen op de website. Als ik bijv naar de website van mijn lokale autogarage ga om te kijken voor de openingstijden of wat statische informatie informatie opvraag zal het mij worst wezen of deze site gebruikt maakt van ssl nu zijn er zo nog meer voorbeelden te noemen van bedrijven waarbij de website geen ssl nodig heeft
Lijkt me een goede zaak. En wat kost nou een SSL certificaat, zeker als je het vergelijkt met het uurloon van een 'SEO-expert'? :P

Hopelijk gaan budget hosting bedrijven de mogelijkheid bieden om makkelijk een SSL cert te gebruiken, want hier heb je volgens mij meestal een VPS voor nodig.
Daarmee ontneem je wel de kans van succes voor kleine startende webwinkels of ander niet internet projecten.

Niet iedere starter heeft de kennis en het geld voor Eem SEO expert of certificaten
Een webwinkel is sowieso verplicht klantgegevens te beveiligen met SSL.
Juist een webwinkel moet je niet zonder SSL willen gebruiken. Ik neem eigenlijk zonder meer aan dat zich in webwinkelpakketten specialiserende hosters al lang voordelige certificaten standaard meeleveren. Bovendien is het ook vrij simpel om een certificaat te bestellen, dat doen wij ook wel voor klanten.
Bij mijn budgethoster (PCExtreme) heb ik een certificaatje gehaald voor een tientje per jaar, werkt met de shared hosting.

Prima zaak verder. Het wordt gewoon één van de vele factoren die Google laat meetellen. Net zoals ze al kijken of iets op VPS/dedicated draait, wat de snelheid is etc. Allemaal zaken die een indicatie kunnen geven dat een sitebouwer serieus bezig is.
Je zegt het al: kunnen geven. Het zegt dus eigenlijk bijna niets als het om de content gaat. Bij bijvoorbeeld webshops ligt het anders. Daar mogen ze shops zonder SSL gelijk naar pagina 99999 verplaatsen.
Waar ik me eigenlijk meer zorgen om maak wat betreft Google en zoekmachines in het algemeen: kijkt iemand ooit naar de resultaten vanaf de 2e pagina?
Ik bekijk alle pagina's waar relevante resultaten op staan zolang ik het gewenste resultaat niet heb gevonden. Echter geeft 90% van de zoekopdrachten op pagina 1 al gewenste resultaat, dus daar blijft het vaak bij.
Nee, bijna niemand. Maar snap alleen niet waarom je je daar zorgen over maakt. Dat betekend toch juist dat zoekmachines heel goed weten naar welke informatie er wordt gevraagd?
De macht van een zoekgigant
Als ik zie waar die Heartbleed bug toe in staat is. Lijkt me dat het Internet toch gebouwd is op schijnveiligheid. Vind het erg vreemd dat die bug nu pas aan het licht is gekomen.
Denk dat dit ook niet goed zal wezen voor de schaarse IPv4 adressen :p
Onzin. SNI is overal ondersteund tegenwoordig, dus heb je geen IP-adres per domein meer nodig. https://en.wikipedia.org/wiki/Server_Name_Indication#Support
Nou ja, overal.

IIS alleen vanaf versie 8.0. (7 en 7.5 worden nog erg veel gebruikt ) je moet als je IIS gebruikt dus updaten naar Windows Server 2012
Android vanaf 3.x (2.x zie ik vrij veel in mijn statistieken)
IE vanaf Vista (XP met IE 8 wordt nog erg veel gebruikt)

Dus SNI is niet overal zomaar in te zetten helaas.
De enige partij die hier baat bij heeft zijn de CA-bedrijven. Die verdienen bagger veel geld voor een kunstje waar ze niet eens goed in zijn om het veilig te houden. Het grootste deel van het volk snapt niet waarom het veiliger is om via https te browsen - ze letten er in 99% van de gevallen niet eens op en bij een foutmelding klikken ze de fout gewoon weg.
Klinkt op papier leuk maar is gewoon stomzinnig als het effect zou hebben op search ranking.. het zou om de kwaliteit van de content van de website moeten gaan. Niet om een SSL certificaatje..
Vrij logisch aangezien de meeste websites dit zo langzamerhand wel krijgen/hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True