Joomla Forceer SSL is de ingebouwde optie om een beveiligde verbinding op jouw Joomla-website af te dwingen.
SSL (tegenwoordig technisch TLS genoemd) is een beveiligingsprotocol dat gegevens versleutelt die worden verstuurd tussen de browser van de bezoeker en jouw webserver. Hierdoor verandert het adres van `http://` naar `https://` en verschijnt er een slotje in de browserbalk.

Waarom is SSL noodzakelijk?

Vroeger was SSL vooral nodig voor webshops. Tegenwoordig is het voor elke website verplicht, om drie redenen:

1. Beveiliging: Het beschermt wachtwoorden en formuliergegevens tegen onderschepping.
2. Vertrouwen: Browsers zoals Google Chrome markeren websites zonder SSL als "Niet veilig", wat bezoekers afschrikt.
3. SEO (Google Ranking): Google gebruikt HTTPS als een rankingsfactor. Websites zonder SSL scoren lager in de zoekresultaten.

Welk SSL Certificaat moet je kiezen?

Er zijn verschillende soorten certificaten. De versleuteling (encryptie) is bij allemaal even veilig, maar de manier van validatie verschilt:

1. Let’s Encrypt (Gratis & Standaard)
   Dit is tegenwoordig de meest gekozen optie. Let’s Encrypt is een initiatief van grote partijen (o.a. Google en Cisco) om het web veiliger te maken. Het is gratis, veilig en wordt door de meeste hostingpartijen automatisch verlengd. Voor 95% van de websites is dit de beste keuze
2. Domein Validatie (Standaard Betaald)
   Vergelijkbaar met Let's Encrypt, maar vaak met een financiële garantie (verzekering) vanuit de uitgever.
   Let op: Vroeger dekte dit vaak maar één variant (www of niet-www). Tegenwoordig dekken de meeste standaard certificaten zowel `website.nl` als `www.website.nl`.
3. Wildcard Certificaat
   Nodig als je veel subdomeinen gebruikt. Hiermee beveilig je `*.website.nl`. Dus: `www.website.nl`, `shop.website.nl`, `mail.website.nl`, etc., allemaal met één certificaat.
4. Uitgebreide Validatie (EV) - Zakelijk
   Hierbij worden jouw bedrijfsgegevens streng gecontroleerd door de uitgevende instantie.
   Belangrijke update: Vroeger kreeg je bij een EV-certificaat een groene adresbalk met de bedrijfsnaam.
   Moderne browsers (Chrome, Firefox, Safari) tonen deze groene balk niet meer. De bedrijfsgegevens zijn alleen nog zichtbaar als je op het slotje klikt. Het visuele voordeel is dus verdwenen, maar voor grote organisaties kan het interne validatieproces nog steeds van waarde zijn.

Voordat je begint: De vereisten

Om SSL in te schakelen in Joomla, moet de basis goed staan bij je hosting:

*Het SSL Certificaat moet geïnstalleerd zijn: Dit doe je meestal via het controlepaneel van je hosting (zoals DirectAdmin, cPanel of Plesk). Vaak kan dit met één klik via de optie "Let's Encrypt".
* Géén Dedicated IP meer nodig: Het originele artikel vermeldde dat je een uniek IP-adres nodig hebt. Dankzij SNI (Server Name Indication) is dit al jaren niet meer nodig. Je kunt gewoon je huidige gedeelde IP-adres gebruiken.

SSL inschakelen in Joomla (Stappenplan)

Is het certificaat actief op de server? Test dit eerst door naar `https://jouw-domein.nl` te surfen. Zie je de site (ook al ziet de opmaak er misschien raar uit)? Dan kun je het in Joomla activeren.

1. Log in op de Administrator (backend) van je Joomla site.
2. Ga naar Systeem >> Algemene instellingen (Global Configuration).
3. Je bevindt je nu op het tabblad Site. Klik op het tabblad Server.
4. Zoek de optie Forceer SSL (Force HTTPS). Je hebt drie keuzes:
   Geen: SSL staat uit (niet aanbevolen).
   Alleen administrator: Alleen de backend is beveiligd.
   Gehele website: Zowel de bezoeker als de beheerder gebruiken altijd HTTPS.

5. Kies voor Gehele website.
6. Klik op Opslaan.

> Waarschuwing: Als je SSL forceert terwijl het certificaat op de server nog niet werkt, sluit je jezelf buiten. Kun je niet meer inloggen? Open dan via FTP het bestand `configuration.php` en verander de regel `public $force_ssl = '2';` naar `public $force_ssl = '0';`.

Probleemoplossing: Het slotje is niet groen/dicht?

Heb je SSL aangezet, maar geeft de browser aan "Niet volledig beveiligd" of zie je geen slotje? Dan heb je last van Mixed Content.

Dit betekent dat de pagina via HTTPS wordt geladen, maar dat er afbeeldingen, scripts of stylesheets in de code staan die nog via HTTP worden ingeladen (bijv. <img src="http://website.nl/plaatje.jpg">).

Oplossing:

Gebruik een extensie zoals DB Replacer of Better Search Replace om in je database alle verwijzingen van http:// te wijzigen naar https://

Controleer instellingen van specifieke componenten of templates; soms staan logo's of links daar "hardcoded" met http.

Vergeet niet:
Pas ook externe diensten aan. Denk aan Google Analytics, Google Search Console en betaalproviders (zoals Mollie of PayPal); geef daar door dat je website nu op `https` draait.