Nadat je een SSL-certificaat hebt geïnstalleerd, wordt het verkeer niet altijd automatisch beveiligd (https) geladen. In sommige gevalen moeten er nog een aantal stappen ondernomen worden. Enkele gevallen kunnen zijn:

  • Eventuele mixed content op je website oplossen.
  • Forceren dat je website alles over HTTPS afhandelt.

In dit artikel geven we je een oplossing waardoor alle content beveiligd wordt geladen. Een eventuele melding van mixed content is dan verholpen en zal niet meer getoond worden.


In het kort

  1. Zorg dat het SSL certificaat correct geïnstalleerd is.
  2. Open het .htaccess bestand van je website.
    1. Of maak een nieuw bestand met deze naam.
  3. Neem de volgende tekst op bovenaan in het bestand:
    # Redirect HTTP to HTTPS
    RewriteCond %{HTTPS} off
    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
    Header always set Content-Security-Policy: upgrade-insecure-requests
  4. Sla de .htaccess nu op.


Voor een meer gedetailleerde toelichting, volg je de tekst onder de streep.


Mixed content checken
Om het SSL certificaat de juiste werking te geven dient alles wat op de website via HTTPS te lopen. Het is echter mogelijk om HTTP URL’s in een HTTPS-omgeving te gebruiken, dan is er sprake van mixed content. In je browser kun je checken welke elementen over HTTPS worden geladen. Klik bijvoorbeeld in Google Chrome op de rechtermuisknop en vervolgens op ‘Inspecteren’. Klik daarna op ‘Console’. Alle elementen die over HTTP worden geladen, zullen verschijnen.


Mixed content oplossen
Wil je zelf mixed content oplossen? Dan moet je in de database en de broncode de veroorzakers van mixed content aanpakken. Dit doe je door naar de betreffende pagina te gaan, daar zoek je vervolgens in de broncode naar de HTTP URL Pas deze aan naar HTTPS.


HTTPS forceren
Heb je alle mixed content problemen opgelost, dan kun je HTTPS forceren. Hierdoor wordt iedereen die naar de HTTP-variant van je website gaat, automatisch doorgestuurd naar de beveiligde HTTPS-variant.

TIP: Really Simple SSL zorgt er gelijk voor dat je website alle aanvragen over HTTPS afhandelt. Heb je geen WordPress-website of gebruik je liever geen plugins? Dan kun je als volgt HTTPS forceren:

  1. Log in op je hostingpakket.
    1. Weet je niet hoe je inlogt? Hoe log ik in op mijn hostingpakket?
  2. Ga naar de map ‘public_html’ of ‘private_html’.
  3. Zoek het bestand ‘.htaccess’ en klik op en bewerk deze.
  4. Plak nu onderstaande code bovenin het bestand.
  5. Sla het bestand op.
# Redirect HTTP to HTTPS
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header always set Content-Security-Policy: upgrade-insecure-requests