JA
Je website heeft HTTPS nodig.

"Maar mijn website heeft geen contactformulier en verzamelt geen gegevens van gebruikers."

Verandert niks. HTTPS beveiligd meer dan alleen contactformulieren! HTTPS houd de URL, headers en inhoud van alle overgedragen paginas vertrouwelijk.

"Er is toch niks gevoeligs op mijn website."

Je website is een aansprakelijkheid! Alleen omdat je website ergens veilig gehost word, betekent niet dat het niet door internetkabels en routers (beheerd door wie weet hoeveel bedrijven en staatsbedrijven) heen gaat. Wil je echt dat een derde partij JavaScript kan injecteren in jou website? Of dat een derde jou advertenties vervangt met hun eigen, zodat jij geen inkomsten krijgt? Dit gebeurt bij luchtvaartmaatschappijen (heel vaak en weer), in China, zelfs internetaanbieders doen het (heel vaak). HTTPS verkomt dit allemaal. Het garandeert integriteit en de kundigheid om aanpassingen te detecteren. Als we alleen vetrouwelijke informatie versleutelen, word de transmissie van alles daar om heen automatisch een doelwit. Hou vertrouwelijke informatie veilig door alles te versleutelen.

"De site is HTTP maar alle contactformulieren worden verzonden via HTTPS."

Dit is even slecht als helemaal geen HTTPS gebruiken! Alles wat een aanvaller hoeft te doen is een linkje of de actie van een contactformulier aan te passen naar een URL van zijn/haar eigen server. Er is geen manier dit te detecteren omdat het over het net gebeurt via eenvoudige HTTP. Versleuten de HELE site en stuur HTTP door naar HTTPS.

"Ik kan me geen certificaat veroorloven."

Ze zijn gratis.

"HTTPS is lastig om te installeren en te onderhouden."

Het werkt zonder configuratie als Caddy je webserver is. Ja, het verniewen van certificaten inbegrepen. Geen omkijken naar nodig. Voor andere webservers kan HTTPS geautomatiseerd worden door een Let's Encrypt client naar uw keuze te gebruiken.

"We hashen de wachtwoorden."

Mooi. Vertel me nu alsjeblieft wel dat ze verstuurd worden via HTTPS. ... dat doe je toch?

— HOE CONFIGUREER IK HTTPS —

De makkelijkste manier is via Let's Encrypt en de Caddy web server, die automagisch HTTPS configureerd voor al je websites. Je kan ook een makkelijke, op zich zelf staande Let's Encrypt client gebruiken genaamd lego, wat op elk platform draait.

Als je liever integratie hebt met bestaande web servers, werkt de client afkomstig van de EFF genaamd Certbot ook heel goed.

Er zijn genoeg andere manieren om HTTPS op je website te krijgen zonder veel gedoe. Das Surma heeft een tutorial voor veel web servers en CDNs zoals Cloudflare kunnen je website beschikbaar maken over HTTPS voor minimale kosten, of zelfs helemaal gratis.