Søgemaskineoptimering (SEO) hjælp & gode råd

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Sun, 10 Aug 2014 16:06:53 GMT

Frands:
Jeg kan desværre ikke se dit link, tror du glemte selve linket

Linket virker fint her, ellers får du det her: http://scn.sap.com/community/netweaver/blog/2013/06/23/whos-afraid-of-ssl

Frands:
Det gør den faktisk ikke. SPDY kan ikke køre over regulær TCP, der skal være TLS.

Det kan den vist godt, der er bare ingen der gør det i praksis. Min lidt kludrede pointe var egentlig bare, at "sælge" HTTPS med argumentet om, at man bare kan optimere sig ud af hastighedstabet ikke rigtig holder, for man kan jo også optimere fint uden HTTPS.

Frands:
En sammenligning fra en der sælger et givent produkt, hvor der inddrages konkurrenter - det vil jo altid være biased, fordi jeg selvfølgelig har en interesse i at mit produkt altid skal fremstå bedst. Det er kun naturligt, men hvis sådan en sammenligning skal være rigtig god, så skal den være udført af en uvildig third party som ingen interesse har i at noget, skal se bedre ud end andet.

Enig, det er nok bedst. Det kan være jeg på et tidspunkt sætter sådan en sammenligning op med stort detaljeniveau.

Svar: Er HTTPS det nye inden for SEO?

Frands — Sun, 10 Aug 2014 10:24:56 GMT

Tue Skaarup:

Jeg tror vi skal passe på med at negligere den øgede CPU belastning pga. HTTPS. Jeg ved godt at CA'er m.fl. nedtoner betydningen, men det er vigtigt at gøre sig klart, at SSL rent faktisk giver en mærbar forøgelse af CPU load. Så er folk forberedt på det og kan deale med det.

Jeg kan desværre ikke se dit link, tror du glemte selve linket, men naturligvis skal vi ikke glemme hele verden omkring os. Jeg har selv SSL enabled flere forskellige store sites uden at opleve en mærkbar ændring i behov for compute. Det bliver meget hurtigt teknisk, men både hard- og sofware vendors arbejder sammen om at forbedre encryption performance hele tiden. Bl.a. har Intel arbejdet sammen med OpenSSL og det kastede rigtig gode resultater af sig.

Sidst, så tag et kig på denne video som belyser en masse interessante ting:

Bottom line er, at jeg er ikke bange for performance, medmindre at man naturligvis ikke tænker sig om. Det er klart, at for mange små sites så er det temmelig tungt materiale at sætte sig ind i.

Tue Skaarup:
At SPDY protocollen (som jeg i øvrigt synes er en fed teknologi) giver hurtigere - sideloadtider end HTTP, er helt fint. Men det gør den altså også uden SSL. At anbefale, som det fremgår af bl.a. Googles argumentation, et skift til HTTPS og samtidig skift til SPDY, for at fikse hastighedsproblemet med HTTPS, gør det ligesom ikke nemmere at være websiteejer.

Det gør den faktisk ikke. SPDY kan ikke køre over regulær TCP, der skal være TLS.

Tue Skaarup:

Var det ikke noget for dig at sætte op på dit website? Du kan også til sammenligning inddrage certifikatudbydere og certifikattyper, som du ikke forhandler, hvis du gør det på en sober og tillidsvækkende måde.

Både ja og nej. En sammenligning fra en der sælger et givent produkt, hvor der inddrages konkurrenter - det vil jo altid være biased, fordi jeg selvfølgelig har en interesse i at mit produkt altid skal fremstå bedst. Det er kun naturligt, men hvis sådan en sammenligning skal være rigtig god, så skal den være udført af en uvildig third party som ingen interesse har i at noget, skal se bedre ud end andet.

Tue Skaarup:

I den forbindelse kom jeg til at tænke på, at der nok er mange der kommer til at få brug for ekspertice og detaljeret rådgivning ifm. valg, implementering og kvalitetscheck af certifikater.

Du tilbyder allerede hjælp til implementering på en række platforme, men tænk hvis du kunne tilbyde detaljeret rådgivning, hastighedscheck, hastighedsoptimering, valideringscheck, sikkerhedsaudit mv. Evt. også i samarbejde med hostingfirmaer, som ofte ikke har de fornødne kompetancer.

Jeg giver gerne råd, vejledning og hjælp til implementering. Problemet er jo desværre ofte at folk vil gerne have den lille hængelås, men så heller ikke mere. Ting tager tid - og tid koster penge. Min tid gør ihvertfald, men den er bestemt til salg og jeg har også haft opgaver hvor virksomheder har valgt bruge energi på at få implementeret en rigtig god strategi for krypteret kommunikation til deres kunder.

Uden at afsløre for meget, så kommer der snart noget interessant materiale på BilligSSL.dk, hvor jeg løbende vil tilføre nyt :)

Tue Skaarup:
Så det skal nok være en regulær A/B-test, hvor de 2 varianter køres samtidig, selvom det er noget mere bøvlet at sætte op. Derudover ville jeg, udover almindelige konverteringsmålinger, nok også få sat målepunkter op for brugertilfredshed/engagement og følge dem i A/B-testen.

Kunden er en stor online butik, som allerede er 100-meter mestre i disse discipliner, så jeg er slet ikke i tvivl om at at de har flere målepunkter end jeg kan komme i tanker om. Testen vil blive udført som en splittest :)

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Sat, 09 Aug 2014 23:41:51 GMT

Denne her er også ret interessant:

Frands:
Med hensyn til EV (Extended Validation), så er CA'ernes udmelding jo at det giver brugerne mere tryghed. Vi er i øjeblikket i dialog med en af vores kunder som driver en stor dansk webshop, hvor vi vil køre en test case med HTTPS via et EV cert på hele deres shop og se resultaterne - rigtig spændende case, som naturligvis giver os muligheden for at vejlede bedre.

Meget fint initiativ at få testet virkningen af de farvestrålende EV certifikater.

Jeg har tidligere været konfronteret med spørgsmålet om, hvad den grønne browserbar inkl. firmanavn mon betyder for tilliden og konverteringsraterne. Enden på det dengang, blev et ræsonnement om at tillid/konverteringsrater nok i hvert fald ikke blev dårligere med EV, og vi endte med at vælge EV på et ikke særlig oplyst grundlag.

Faktisk kan det måske vise sig at EV forringer konverteringsraterne, som nogen har oplevet.

Når I nu tester virkningen af den grønne browserbar, så tror jeg I skal være forberedt på at forskellene vil være små. F.eks. vil en test, der den første uge kører med EV certifikat og den næste uge med standard certifikat, nok blive druknet i de mange andre parametre, der når at ændre sig i perioden.

Så det skal nok være en regulær A/B-test, hvor de 2 varianter køres samtidig, selvom det er noget mere bøvlet at sætte op. Derudover ville jeg, udover almindelige konverteringsmålinger, nok også få sat målepunkter op for brugertilfredshed/engagement og følge dem i A/B-testen.

Er spændt på at høre om resultatet.

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Sat, 09 Aug 2014 22:27:56 GMT

Hej Frands

Dejligt at få besøg af en SSL leverandør, og tak for dit meget dybdegående og kompetente indlæg.

Lad mig starte med dine inputs/korrektioner:

Frands:
Det giver lidt overhead, men med moderne CPU'er så er det faktisk minimalt hvad det betyder. Tilgengæld, så ér SPDY faktisk virkelig godt lavet og nedsætter væsentligt både svartider og kravet til serverpower - hvilket essentielt set igen leder til bedre performance.

SPDY begynder også så småt at have bred implementering og jeg har ikke personligt lavet benchmarks men det er noget jeg ganske snart regner med at skal kigge på, så jeg igen har min egen konkrete viden at gå med.

Jeg tror vi skal passe på med at negligere den øgede CPU belastning pga. HTTPS. Jeg ved godt at CA'er m.fl. nedtoner betydningen, men det er vigtigt at gøre sig klart, at SSL rent faktisk giver en mærbar forøgelse af CPU load. Så er folk forberedt på det og kan deale med det.

I den forbindelse skal vi huske på, at de fleste applikationer kører langsommere, jo mere CPU'en er belastet. En applikation der kører på en 50% belastet core, vil oftest afvikles hurtigere end på en 55% belastet core.

At SPDY protocollen (som jeg i øvrigt synes er en fed teknologi) giver hurtigere - sideloadtider end HTTP, er helt fint. Men det gør den altså også uden SSL. At anbefale, som det fremgår af bl.a. Googles argumentation, et skift til HTTPS og samtidig skift til SPDY, for at fikse hastighedsproblemet med HTTPS, gør det ligesom ikke nemmere at være websiteejer.

Frands:
Vær obs. på at 2048 bit er nøglestørrelsen og ikke styrken på krypteringen der etableres. Den vil typisk være 128 eller 256 bit.

Du har ret, my bad, de 2048 bit er key-length. Jeg tog den med fordi Google specifikt nævner de 2048 bit key-length, så det er værd at være opmærksom på, hvis man skal skifte til HTTPS.

Frands:
Man kan ikke få wildcard EV certifikater. CA/Browser Forum vedtog at hvert eneste navn der udstedes EV til skal være valideret med den temmelig rigide EV validation process. De er temmelig seriøse omkring EV.

Ja, det er rigtigt. EV kan ikke fås til wildcard subdomæner, jeg forvekslede det med multi-domæner.

Frands:
Sandheden er, at hvis forbindelsen er ukrypteret så vil man i princippet in-transit kunne skille pakkerne ad og injecte data i dem.

Ja, og det er bl.a. de argumenter, der fremhæves for at skifte til HTTPS. De fleste vil ikke være berørt eller de vil være ligeglade, men jeg er enig i, at det er et grundlæggende problem at det kan lade sig gøre så nemt. Der er noget principielt rigtigt i "HTTPS Everywhere".

Frands:
Men dét vil også være rigtig fint til dem.

Hvad jeg forsøgte at argumentere for er, at DV certifikater uden virksomhedsvalidering måske ikke giver Google det SEO-spam signal, de måske også er ude efter med HTTPS initiativet. Det er ren spekulation, men man kan forestille sig at standard validerede certifikater og EV certifikater på et tidspunkt får en højere stjerne hos Google end DV certifikater. Ikke som direkte rankingfaktor, men indirekte som et spamsignal.

Frands:
Nu ved jeg godt at jeg måske taler lidt imod min egen forretning - men ønsker man blot krypteringen og slippe for grimme warnings, ja så er DANE et rigtig fint svar

DANE og i det hele taget DNSSEC er nyt område for mig, som jeg nok skal have sat mig ind i. Spændende vinkel med komboen af DANE og standard/EV certifikat.

Omkring certifikater i almindelighed, savner jeg en detaljeret sammenligning af de vigtigste certifikatudbydere og deres certifikattyper. Lidt i stil med DigiCerts opstilling, bare endnu mere detaljeret.

Var det ikke noget for dig at sætte op på dit website? Du kan også til sammenligning inddrage certifikatudbydere og certifikattyper, som du ikke forhandler, hvis du gør det på en sober og tillidsvækkende måde.

I den forbindelse kom jeg til at tænke på, at der nok er mange der kommer til at få brug for ekspertice og detaljeret rådgivning ifm. valg, implementering og kvalitetscheck af certifikater.

Du tilbyder allerede hjælp til implementering på en række platforme, men tænk hvis du kunne tilbyde detaljeret rådgivning, hastighedscheck, hastighedsoptimering, valideringscheck, sikkerhedsaudit mv. Evt. også i samarbejde med hostingfirmaer, som ofte ikke har de fornødne kompetancer.

Mht. optimering af sideloadhastighed på HTTPS, har Ilya Grigorik fra Google skrevet - lidt om det. Han har også skrevet bogen "High Performance Browser Networking" med et kapitel om TLS og optimering af TLS.

Svar: Er HTTPS det nye inden for SEO?

erjegher — Sat, 09 Aug 2014 11:35:46 GMT

Læs blog indlægget om det her http://www.demib.dk/https-secure-pages-rankings/ .

Svar: Er HTTPS det nye inden for SEO?

Frands — Sat, 09 Aug 2014 10:00:20 GMT

Advarsel; mit indlæg bliver formentlig lidt langt :) Der er 2 ting i det for mig; jeg interesserer mig enormt meget for emnet og så sælger jeg SSL certifikater - men nummer 2 kun fordi nummer 1 er til stede.

Min personlige holdning er, at alle forbindelser via internettet burde være krypterede, fordi det fjerner muligheden for diverse myndigheder og andet via ISP'erne kan sidde og lytte med. Essentielt set, så vil et krypteret internet betyde at ISP'erne kun leverer det de skal; nemlig båndbredde. Nå, men nok om politik.

Tue svarer rigtig fint på spørgsmålene, men jeg har et par enkelte tilføjelser til noget af det:

Netlabs:

over 70% af vores trafik, kommer fra mobile enheder, derfor skal jeg altså op i et dyre certifikat, eksempelvis geotrust quickssl premium.
Men er det så korrekt forstået at jeg skal have to DV certifikater, hvis jeg bruger to forskellige sider. (mitdomæne.dk og m.mitdomæne.dk)

Det kan ikke svare sig at købe et EV (Extended validation), da dette bliver langt dyrer...

Det kommer an på hvor gamle de enheder er. RapidSSL er en stor CA og ér present i alle moderne browsere - også på mobile enheder. Du skal faktisk helt tilbage til Android 2 før RapidSSL CA'en ikke er der. I 2010 blev RapidSSL CA'en udskiftet med en ny hvor der var 2 forbedringer; 2048 bit key og introduktionen af intermediate certificate. Long story short; mere sikkerhed.

Så hvis du har brugere på en bred vifte af mobiltelefoner som også indebærer nogle af de aller første smartphones, så vil jeg anbefale et GeoTrust eller Symantec certifikat. GeoTrust er klart det mest overkommelige prismæssigt. Hvis dine brugere kommer fra nogenlunde moderne enheder, så bør RapidSSL gøre det fint.

Med hensyn til EV (Extended Validation), så er CA'ernes udmelding jo at det giver brugerne mere tryghed. Vi er i øjeblikket i dialog med en af vores kunder som driver en stor dansk webshop, hvor vi vil køre en test case med HTTPS via et EV cert på hele deres shop og se resultaterne - rigtig spændende case, som naturligvis giver os muligheden for at vejlede bedre.

Tue Skaarup:
HTTPS betyder, alt andet lige, mere processeringsarbejde for webservere og for browserklienterne til kryptering/dekryptering. Samtidig er der flere roundtrips i HTTPS end i HTTP. Fakta, som Google gjorde meget ud af at imødegå på deres
">præsentation på Google I/O 2014 for et par måneder siden. De fik det nærmest fremstillet som en hastighedsgevinst at overgå til HTTPS, og det er det altså ikke.

Det giver lidt overhead, men med moderne CPU'er så er det faktisk minimalt hvad det betyder. Tilgengæld, så ér SPDY faktisk virkelig godt lavet og nedsætter væsentligt både svartider og kravet til serverpower - hvilket essentielt set igen leder til bedre performance.

SPDY begynder også så småt at have bred implementering og jeg har ikke personligt lavet benchmarks men det er noget jeg ganske snart regner med at skal kigge på, så jeg igen har min egen konkrete viden at gå med.

Tue Skaarup:
Ja, GeoTrust er vist en af de større CA'er. Tag også et kig på DigiCert, de har et godt ry for kvalitet og service. Check også at certifikatet er med 2048-bit kryptering.

Vær obs. på at 2048 bit er nøglestørrelsen og ikke styrken på krypteringen der etableres. Den vil typisk være 128 eller 256 bit.

Tue Skaarup:
Det er én mulighed, at købe 2 standard certifikater til de 2 subdomæner. En anden mulighed er at købe et wildcard subdomænecertifikat, der favner samtlige subdomæner du måtte få brug for. 2 standard certifikater er dog nok billigere end et wildcard certifikat, så hvad der kan betale sig, afhænger af om du regner med at tage flere subdomæner i brug senere.

Vær obs. på at hvis man køber 2 certifikater skal man enten have 2 IP adresser eller benytte sig af SNI (Server Name Indication). SNI er ved at være supporteret over det hele, dog ikke på Windows XP. Ellers så firefox 2+, opera 8+, IE 7+ (på vista eller nyere), Chrome eller Safari 3+

Tue Skaarup:
EV certifikater er blot en anden finere og dyrere type certifikater, og kan ligesom almindelige certifikater fås til enkelt domæne og wildcard subdomæner. Så du må ikke forveksle EV certifikater med multi-domæne certifikater eller wildcard certificater.

Man kan ikke få wildcard EV certifikater. CA/Browser Forum vedtog at hvert eneste navn der udstedes EV til skal være valideret med den temmelig rigide EV validation process. De er temmelig seriøse omkring EV.

Tue Skaarup:
Det er svært at finde betydelige sikkerhedsforbedringer ved HTTPS på websites uden logins/formularer, men der er noget charmerende enkelt som alle kan forstå ved "HTTPS everywhere". Jeg tror i det hele taget, at vi skal vænne os til et krypteret Internet, det ligger ligesom i tiden og ånden.

Både og - vi har mange eksempler på at internettet er en af de måder hvor myndigheder (*host* NSA og co. *host*) kan indhente rigtig meget information om os alle sammen. Sandheden er, at hvis forbindelsen er ukrypteret så vil man i princippet in-transit kunne skille pakkerne ad og injecte data i dem. Det er myndighederne, men essentielt set så skal man jo stole på samtlige ISP'er der router forbindelsen for at man kan være sikker på at det indhold der blev sendt fra serveren er det samme som brugeren får.

Bevares, det er sat lidt på en spids - men det er faktisk virkeligheden.

Tue Skaarup:
Det er f.eks. nok tvivlsomt at de 7 trilliarder splogs derude vil gøre sig ulejligheden med at køre HTTPS. Og hvis de gør det, så er det nok mere de såkaldte "domæne validerings certifikater" de vil bruge, hvor virksomheden bag websitet ikke valideres af CA, kun domænet.

Men dét vil også være rigtig fint til dem. Desværre går udbredelsen af DANE meget langsomt, men det ville jo faktisk også være fint i rigtig mange tilfælde. Nu ved jeg godt at jeg måske taler lidt imod min egen forretning - men ønsker man blot krypteringen og slippe for grimme warnings, ja så er DANE et rigtig fint svar. Ønsker man både valideringen, forsikringen, den grønne adressebar osv. ja så er DANE kombineret med et traditionelt signeret certifikat jo den forkromede løsning.

Uanset hvad, så er hele måden det fungerer på i dag med fixede lister i browserne en lille smule broken, fordi en CA kan gå rogue og så er vi jo lige vidt. Med DANE så kan man sikre at det er den rigtige server man har fat i i den anden ende.

Sikke en smøre, men jeg håber da at noget af det kan bruges :)

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Sat, 09 Aug 2014 06:49:32 GMT

Mikkel deMib Svendsen:
Der er åbenlyst nogle misforståelser her i forhold til Google's håndtering af secure sider

Hvilke misforståelser mener du?

Mikkel deMib Svendsen:
2) HTTPS vil fremadrettet (dog stadig på real life forsøgsbasis efter min bedste overbevisning) indgå som en ud af mange hundrede ranking faktorer.

Mikkel deMib Svendsen:
Det vil kun berøre en meget lille del af alle søgninger. Google siger selv under 1%.

Ja, betydningen af HTTPS er, ifølge Google, lille. Rimeligvis. Senere kan indflydelsen fra HTTPS stige, igen ifølge Google. På sigt vil jeg som sagt tro, at betydningen af HTTPS som direkte rankingfaktor vil være på samme niveau som betydningen af sideloadhastighed. Altså lille, men målbar, og for nogle værd at tage med.

Min vurdering er, at når Google på denne måde klart siger at HTTPS vil gavne SEO - uanset hvor småt det er - så vil det få den konsekvens, at rigtig mange vil skifte til HTTPS. Google siger at det er et plus for SEO og det vil, i modsætning til mange andre rankingfaktorer, blive opfattet af folk som et enkelt overskueligt checkpunkt på deres SEO-liste.

Det bliver interessant at følge udviklingen i %-delen af websites på HTTPS fra nu af. Udbredelsen af HTTPS er gennem de sidste 4 år steget fra 2% til nu 9%, og jeg tror vi vil se en betydelig stigning i den kommende tid.

Mikkel deMib Svendsen:
Så alt i alt - tag det helt roligt. Jeg ser ingen gode grunde til i panik at gå ud og ændre non-secure sites til secure, blot på grund af denne ændring hos Google

Det er svært at finde betydelige sikkerhedsforbedringer ved HTTPS på websites uden logins/formularer, men der er noget charmerende enkelt som alle kan forstå ved "HTTPS everywhere". Jeg tror i det hele taget, at vi skal vænne os til et krypteret Internet, det ligger ligesom i tiden og ånden.

På den baggrund er det fint at tage snakken om HTTPS, certifikater, SSL udbydere og de udfordringer mange kommer til at stå med. Klart at der ikke er grund til at skifte til HTTPS i panik nu, men vi kan godt begynde at forberede os på et krypteret Internet. Nye - seriøse - websites vil jeg f.eks. anbefale bliver sat op til HTTPS. Det samme gælder websites, hvor man alligevel overvejer at skifte domæne.

Jeg funderer stadig over Googles virkelige baggrund for dette initiativ med HTTPS.

Måske mener de, at det på sigt hjælper deres SEO spam-afdeling, fordi de måske kan få flere signaler om hvem der er spammere. Det er f.eks. nok tvivlsomt at de 7 trilliarder splogs derude vil gøre sig ulejligheden med at køre HTTPS. Og hvis de gør det, så er det nok mere de såkaldte "domæne validerings certifikater" de vil bruge, hvor virksomheden bag websitet ikke valideres af CA, kun domænet.

Måske prøver Google bare at få endnu flere over på deres SPDY protokol, for at mindske hastighedstabet ved HTTPS.

Eller måske er der en lille smule "do good" tilbage i Google.

Svar: Er HTTPS det nye inden for SEO?

Mikkel deMib Svendsen — Fri, 08 Aug 2014 23:23:03 GMT

Der er åbenlyst nogle misforståelser her i forhold til Google's håndtering af secure sider - desværre forstærket af pressens generelle misfortolkninger. Så lad mig prøve at rette lidt op på det :-)

1) Der har længe været tale om at Google ville lade HTTPS indgå som et ranking element. De har åbent sagt, at de mener hele Nettet burde være secure - og måske burde have været lavet sådan fra starten af. Fair nok.

2) HTTPS vil fremadrettet (dog stadig på real life forsøgsbasis efter min bedste overbevisning) indgå som en ud af mange hundrede ranking faktorer.

3) Det vil kun berøre en meget lille del af alle søgninger. Google siger selv under 1%. Logisk nok, for hvor det måske kan være relevant indenfor shopping eller brancher med overførsel af følsomme informationer giver det ingen mening for f.eks. en blog.

4) Der er yderst tvivlsomt, om HTTPS nogensinde vil få en særlig stor vægtning i det samlede sæt af hundredevis af parametre, der samlet set afgøre, hvordan et website ranker i Google. Og med en meget lille samlet vægtning i en meget lille del af de samlede søgninger er det altså en bagatel, relativt set. Af væsentligt vigtigere og langt mere betydningsfulde (nyere) parametre kan nævnes den meget store gruppe af ”engagement data”, bedre fortolkning af indholdskvalitet, linkdata og sociale signaler.

Så alt i alt - tag det helt roligt. Jeg ser ingen gode grunde til i panik at gå ud og ændre non-secure sites til secure, blot på grund af denne ændring hos Google, med mindre der er andre mere åbenlyse fordele for det enkelte site.

Svar: Er HTTPS det nye inden for SEO?

erjegher — Fri, 08 Aug 2014 23:01:07 GMT

Hvad skulle vi gøre uden Google? De skaber helt nye brancher på baggrund af måde de vælger at seo skal være på:) Det med at skulle bruge https vil skabe en masse ekstra omsætning for en masse hostingselskaber over hele verden og dermed flere jobs. Fordelen er også, at sikkerheden bliver bedre, da data vil være krypterret.

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Fri, 08 Aug 2014 22:34:47 GMT

Netlabs:
@Tue - tak for et meget uddybende svar...

Velbekomme. Det må jo være fordi SSL certifikater er omtrent lige så interessant som softwarelicenshåndtering :-)

Netlabs:
Jeg havde egentligt besluttet mig for blot at købe "RapidSSL". Det er relativt billigt, men finder så frem til at de længe har haft kompabilitetsproblemer, med mobile enheder.

Ja, kompabilitet - som du kalder det - er en af de betydelige forskelle imellem de forskellige CA'er (Certificate Authority, certifikatudstedere). De store og dyrere CA'er kendes typisk af *alle* browsere, mens man med de mindre og billigere CA'er risikerer, at browseren ikke har CA'en i sin liste (kompabilitetsproblemer).

Netlabs:
over 70% af vores trafik, kommer fra mobile enheder, derfor skal jeg altså op i et dyre certifikat, eksempelvis geotrust quickssl premium.

Ja, GeoTrust er vist en af de større CA'er. Tag også et kig på DigiCert, de har et godt ry for kvalitet og service. Check også at certifikatet er med 2048-bit kryptering.

Netlabs:
Men er det så korrekt forstået at jeg skal have to DV certifikater, hvis jeg bruger to forskellige sider. (mitdomæne.dk og m.mitdomæne.dk)

Det er én mulighed, at købe 2 standard certifikater til de 2 subdomæner. En anden mulighed er at købe et wildcard subdomænecertifikat, der favner samtlige subdomæner du måtte få brug for. 2 standard certifikater er dog nok billigere end et wildcard certifikat, så hvad der kan betale sig, afhænger af om du regner med at tage flere subdomæner i brug senere.

EV certifikater er blot en anden finere og dyrere type certifikater, og kan ligesom almindelige certifikater fås til enkelt domæne og wildcard subdomæner. Så du må ikke forveksle EV certifikater med multi-domæne certifikater eller wildcard certificater.

Netlabs:
Dog er jeg klar over man ikke skal forvente det helt store, men før eller siden bliver det vel mere reglen end undtagelsen, at websider er forsynet med et SSL certifikat.

Enig, jeg tror ret hurtigt vi vil se at en stor %-del skifter til HTTPS, og det varer ikke længe før det bliver normen. Helt oplagt selvfølgelig for nye websites, hvor det er meget nemmere at åbne på HTTPS, end for eksisterende websites, der skal bøvle med at skifte fra HTTP.

Svar: Er HTTPS det nye inden for SEO?

Netlabs — Fri, 08 Aug 2014 22:06:22 GMT

Du kan købe et her.

Så får du certifikatet tilsendt på mail (som jeg læser det).

Dette skal du ligger på din server - her skal man nok ind og finde en guide, med mindre man er en haj til server konfigurering/udvikling

Svar: Er HTTPS det nye inden for SEO?

Netlabs — Fri, 08 Aug 2014 22:04:48 GMT

@Tue - tak for et meget uddybende svar... Jeg havde egentligt besluttet mig for blot at købe "RapidSSL". Det er relativt billigt, men finder så frem til at de længe har haft kompabilitetsproblemer, med mobile enheder.

over 70% af vores trafik, kommer fra mobile enheder, derfor skal jeg altså op i et dyre certifikat, eksempelvis geotrust quickssl premium.
Men er det så korrekt forstået at jeg skal have to DV certifikater, hvis jeg bruger to forskellige sider. (mitdomæne.dk og m.mitdomæne.dk)

Det kan ikke svare sig at købe et EV (Extended validation), da dette bliver langt dyrer...

@Erjegher - ja det kunne være rigtig fint at se om det gjorde en forskel. Jeg tror dog som Tue, heller ikke er forskellen er stor. Men hvis man er placeret som 3-5 i søgeresultaterne og det giver 1 plads eller 2, kan det jo gøre underværker.

Dog er jeg klar over man ikke skal forvente det helt store, men før eller siden bliver det vel mere reglen end undtagelsen, at websider er forsynet med et SSL certifikat.

Svar: Er HTTPS det nye inden for SEO?

erjegher — Fri, 08 Aug 2014 21:58:08 GMT

Køber man et ssl certifikat til sin side, ville det så betyder man får https automatisk eller er kræver det et udvidet ssl certifikat? Undskyld jeg spørger dumt.

Svar: Er HTTPS det nye inden for SEO?

erjegher — Fri, 08 Aug 2014 21:45:06 GMT

Det kunne være sjovt at teste om man kan se forskel i sin ranking. Tror jeg vil forbedre en test og forsøge med det og se hvad der sker.

Svar: Er HTTPS det nye inden for SEO?

Tue Skaarup — Fri, 08 Aug 2014 21:41:54 GMT

Google siger specifikt, at de nu vægter HTTPS en lille smule højere end HTTP i deres algoritmer. De siger samtidig, at HTTPS senere nok vil komme til at veje endnu mere i algoritmerne.

Det er en usædvanlig klar udmelding og man kan spørge sig selv om hvad Googles baggrund er for dette initiativ. Vi skal nok ikke regne med, at de gør det af uselviske grunde. Øget sikkerhed siger de, men når vi taler websider uden login eller formularer o.lign. (som burde være beskyttet i forvejen med HTTPS), så er det småt med sikkerhedsforbedringerne.

HTTPS betyder, alt andet lige, mere processeringsarbejde for webservere og for browserklienterne til kryptering/dekryptering. Samtidig er der flere roundtrips i HTTPS end i HTTP. Fakta, som Google gjorde meget ud af at imødegå på deres ">præsentation på Google I/O 2014 for et par måneder siden. De fik det nærmest fremstillet som en hastighedsgevinst at overgå til HTTPS, og det er det altså ikke.

Der er mange certifikatudbydere, der nu får travlt og gang i forretningen. Der er også mange websiteejere, der har fået sig en ny opgave. For nogle vil det være ret enkelt, for andre et større projekt at få skiftet til HTTPS. For de fleste vil det - som du skriver - give bøvl, øget kompleksitet og merudgifter.

Mit bud er, at vi ikke skal forvente at skiftet til HTTPS vil give nogen mærkbar forskel i ranking af websider lige nu, men at det dog giver en lille fordel. På sigt nok samme betydning som hurtige sideloadtider sammenlignet med langsomme, men uden graduering.

Netlabs:
Et eksempel... Hvis jeg tilføjer https til www.mitdomæne.dk med et DV SSL certifikat (Domain validation), fungerer det så også på www.mitdomæne.dk/om-os

Ja, SSL certifikater virker på domæne/subdomæneniveau inkl. de undersider der måtte være på dem.

Netlabs:
Hertil kommer spørgsmålet, om hvis jeg bruger et mobil template www.m.mitdomæne.dk - skal jeg så købe et EV SSL certifikat, 2 DV certifikater, eller kan jeg nøjes med eksempelvis Geotrust quickssl premium?

SSL certifikater kan typisk købes til enkelt domæne, flere domæner (med øvre begrænsning i antal) og som subdomæne wildcard. Til hver af disse tilbyder nogle udbydere EV (Extended Validation) certifikater. De er dyrere og har den der tillidsvækkende (?) grønne baggrundsfarve i browserens adressefelt.