Technisch · 4 min lezen

SSL -certificaat

Een SSL-certificaat beveiligt de verbinding tussen jouw website en de bezoeker. Het zorgt voor het slotje in de adresbalk en HTTPS in de URL.

Inhoudsopgave
  1. Het slot op de deur van je website
  2. Geen SSL? Dan kan iedereen meelezen
  3. Zo scoor je dat slotje voor je website
  4. Klein slotje, groot verschil
  5. Veelgestelde vragen

Je bezoekt een website en ziet een klein slotje in de adresbalk. Een andere site toont juist de tekst "Niet veilig" in rood. Het verschil? Het SSL-certificaat. Maar wat doet zo'n certificaat precies, waarom is het niet optioneel meer en wat kost het jou als je het negeert?

Een SSL-certificaat is een digitaal beveiligingsprotocol dat de verbinding tussen jouw website en de browser van een bezoeker versleutelt. De data die heen en weer gaat, naam, wachtwoord, bankgegevens, is niet meer als gewone tekst leesbaar voor iemand die onderweg meekijkt. De S in HTTPS staat voor Secure.

Het slot op de deur van je website

Stel je voor dat je een brief stuurt per post. Zonder envelop kan elke postbode, elke overslagmedewerker en elke nieuwsgierige buur de inhoud lezen. Een SSL-certificaat is die envelop. Je stopt de brief erin, plakt hem dicht met een unieke zegel en alleen de juiste ontvanger heeft de sleutel om hem open te maken.

Technisch gezien werkt het via asymmetrische encryptie. De server heeft een publieke sleutel die iedereen mag zien en een privésleutel die geheim blijft. De browser versleutelt data met de publieke sleutel, maar alleen de server kan het ontsleutelen met de privésleutel. Zelfs als iemand het verkeer onderschept, ziet die persoon alleen een rij betekenisloze tekens.

Het certificaat doet trouwens nog iets anders: het bewijst wie je bent. Een certificaatautoriteit, een vertrouwde organisatie zoals Let's Encrypt of DigiCert, heeft gecontroleerd dat jij inderdaad de eigenaar bent van dat domein. Bezoekers kunnen er zo van op aan dat ze écht op jouw website zitten en niet op een namaakversie.

Geen SSL? Dan kan iedereen meelezen

Zonder SSL-certificaat reist informatie in leesbare tekst over het netwerk. Op een openbaar wifi-netwerk, een café, een luchthaven, een hotel, kan iemand met de juiste software dat verkeer onderscheppen. Dat noemen we een man-in-the-middle-aanval. Je bezoeker denkt dat hij veilig gegevens invoert, maar een derde leest gewoon mee.

En dit zijn de gevolgen die je al voelt zonder zo'n aanval:

  • Google rankt je lager. HTTPS is al sinds 2014 een rankingfactor voor SEO-optimalisatie . Twee sites die verder gelijk zijn: de HTTPS-variant wint het.
  • Chrome toont een rode waarschuwing. "Niet veilig" staat in grote letters naast je URL. Bezoekers haken af, zeker op een bestelformulier of contactpagina.
  • Je conversieratio daalt. Vertrouwen is de basis van elke online transactie. Een beveiligingswaarschuwing is het tegenovergestelde van vertrouwen.
  • Modern [webdesign](/diensten/webdesign) vereist HTTPS. Bepaalde browser-API's, zoals geolocatie of service workers, weigeren te werken op HTTP-verbindingen.

Heb je een webshop laten maken ? Dan is SSL absoluut niet optioneel. Creditcardgegevens, adressen, inlogdata: alles moet versleuteld reizen. Betaalproviders zoals iDEAL of Stripe weigeren sowieso te koppelen aan een site zonder geldig certificaat.

Zo scoor je dat slotje voor je website

Voor de meeste websites is een gratis certificaat via Let's Encrypt volledig toereikend. Het verlengt automatisch elke 90 dagen en vrijwel elke hosting -provider activeert het met één klik in hun beheerpaneel. Bij Cloudflare, SiteGround, Kinsta en vergelijkbare providers staat het standaard aan zodra je een domein koppelt.

Betaalde certificaten, ook wel Extended Validation (EV) certificaten, waren vroeger onderscheidend omdat ze de bedrijfsnaam groen in de adresbalk toonden. Moderne browsers tonen dat al jaren niet meer. Voor 99% van de websites is Let's Encrypt gewoon genoeg.

Het certificaat installeren is stap één. Controleer daarna ook dit:

  • Gemengde inhoud (Mixed Content): je pagina laadt via HTTPS, maar een afbeelding of script wordt nog via HTTP geladen. De browser toont dan alsnog een waarschuwing. Open de ontwikkelaarstools (F12 in Chrome) en zoek in het tabblad Console naar foutmeldingen die beginnen met "Mixed Content".
  • Alle interne links: na een overstap van HTTP naar HTTPS moeten ook jouw interne links de juiste protocol-variant gebruiken. Controleer dit met Screaming Frog of de gratis tool van Google Search Console .
  • Vervaldatum: een verlopen certificaat toont een blokkerende rode foutmelding aan alle bezoekers. Stel automatisch verlengen in, of gebruik een tool als SSL Labs (ssllabs.com/ssltest) om de status en vervaldatum te monitoren. Een A-rating is het doel.
  • Omleiding van HTTP naar HTTPS: zorg dat alle HTTP-verzoeken automatisch doorgestuurd worden naar de HTTPS-versie via een 301-redirect . Anders bestaat je site in twee versies.

Bij een website care-pakket van Laanify zit het beheer van SSL standaard inbegrepen. Je hoeft er niet aan te denken.

Klein slotje, groot verschil

Een SSL-certificaat is tegenwoordig de minimale standaard voor elke website. Het beschermt je bezoekers, het beveiligt gevoelige data, het zorgt dat Google je serieus neemt en het voorkomt dat bezoekers afhaken bij een rode waarschuwing. De kosten? Nul euro, als je Let's Encrypt gebruikt.

Wil je zeker weten dat jouw website technisch op orde is, van SSL tot snelheid en beveiliging? Bekijk dan onze website laten maken dienst of neem contact op voor een vrijblijvende check.

Veelgestelde vragen

Is een SSL-certificaat verplicht?

Juridisch gezien is het niet verplicht voor elke website. Maar in de praktijk is het onvermijdelijk. Google straft sites zonder HTTPS af in de zoekresultaten, browsers tonen een waarschuwing en betaalproviders weigeren te koppelen aan een HTTP-site. Als je bezoekers wilt en serieus genomen wilt worden, is SSL-certificaat niet optioneel.

Is een gratis SSL-certificaat voldoende?

Voor vrijwel elke website: ja. Let's Encrypt biedt gratis certificaten die technisch identiek beveiligen als betaalde varianten. Het enige verschil zit in de garantie die een betaald certificaat geeft bij misbruik, wat in de praktijk niet relevant is voor reguliere websites. Een webshop met betaalverwerking of een bedrijfsportal heeft aan Let's Encrypt meer dan genoeg.

Hoe lang is een SSL-certificaat geldig?

Let's Encrypt-certificaten zijn 90 dagen geldig en verlengen automatisch als je hosting-provider dat ondersteunt. Betaalde certificaten lopen vaak 1 of 2 jaar. Controleer altijd of automatisch verlengen actief staat, want een verlopen certificaat blokkeert direct alle bezoekers.

Heeft SSL invloed op mijn SEO?

Ja. Google heeft HTTPS in 2014 opgenomen als rankingfactor. In een concurrerende markt kan het net het verschil maken. Maar SSL alléén schiet je ranking niet omhoog: het is meer een drempeleis. Zie het als basisvoorwaarde voor verdere optimalisatie. Lees meer over hoe je SEO tips effectief inzet voor jouw bedrijf.

Mijn site heeft al HTTPS maar toont toch een waarschuwing. Wat nu?

Dit is bijna altijd Mixed Content. Je pagina zelf laadt via HTTPS, maar een afbeelding, script of iframe laadt nog via HTTP. Open Chrome DevTools (F12), ga naar het tabblad Console en zoek naar meldingen met "Mixed Content". Pas de betreffende URL's aan naar HTTPS. Screaming Frog kan ook automatisch alle HTTP-bronnen op je site opsporen.

Veelgestelde vragen

Wat is het verschil tussen HTTP en HTTPS?

HTTP is een onbeveiligd protocol: de gegevens tussen jouw browser en de website zijn leesbaar voor derden onderweg. HTTPS voegt versleuteling toe via een SSL-certificaat, zodat niemand de verbinding kan afluisteren of manipuleren. De S staat voor Secure.

Is een SSL-certificaat gratis?

Ja, voor de meeste websites wel. Let's Encrypt levert gratis SSL-certificaten die automatisch verlengen. De meeste hostingproviders en Cloudflare activeren dit standaard. Alleen voor geavanceerde certificaten (Extended Validation) betaal je, maar die zijn voor reguliere websites niet nodig.

Wat gebeurt er als mijn website geen SSL-certificaat heeft?

Google Chrome toont de melding 'Niet veilig' linksboven in de adresbalk. Veel bezoekers klikken dan weg, zeker als ze iets willen invullen of bestellen. Bovendien rankt Google HTTPS-sites hoger dan HTTP-sites. Zonder SSL verlies je dus bezoekers en zoekposities.

Hoe weet ik of mijn website een SSL-certificaat heeft?

Bezoek jouw website en kijk links van de URL in de adresbalk. Zie je een slotje? Dan is SSL actief. Zie je 'Niet veilig' of een open slotje? Dan ontbreekt SSL of is het verkeerd ingesteld. Controleer ook via ssllabs.com/ssltest voor een gedetailleerd rapport.

JL

Joey Laan

Oprichter van Laanify

Joey bouwt en onderhoudt websites en webshops voor ondernemers in heel Nederland. Vaste prijzen, korte lijnen en geen jargon.

Plan een kennismaking →

Klaar voor een website die klanten oplevert?

Vertel kort wat je nodig hebt. Je krijgt binnen 24 uur een eerlijk antwoord en een vaste prijs.