Defaults.Exposed › Rapporten
Verlopen, zelfondertekend, ongeldig: het certificaatfoutenrapport (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over de 197 miljoen domeinen die een TLS-certificaat presenteren. “Ongeldig” = het certificaat doorstaat de validatie niet (verlopen, zelfondertekend, verkeerde hostnaam of niet-vertrouwde keten). Zie hoe we beoordelen.
Een certificaat hebben is niet hetzelfde als een geldig certificaat hebben: 8,57% van de certificaten op het web doorstaat de validatie niet. Van de 197 miljoen domeinen die een TLS-certificaat presenteren, hebben er 16.920.535 eentje dat browsers niet vertrouwen — en elk daarvan toont bezoekers een paginavullende beveiligingswaarschuwing in plaats van de site. In het tijdperk van gratis, automatisch verlengende certificaten is een kapot certificaat bijna altijd een herstelbare vergissing, geen kostenprobleem.
Wat er werkelijk mis is met deze certificaten
Een certificaat doorstaat de validatie niet om een handvol redenen — verlopen, zelfondertekend, uitgegeven voor een andere hostnaam, of afkomstig uit een niet-vertrouwde keten. De duidelijkst identificeerbare categorie in de census is zelfondertekend:
| Probleem | Domeinen |
|---|---|
| Certificaat aanwezig maar ongeldig (welke reden dan ook) | 16.920.535 (8,57%) |
| — waarvan zelfondertekend | 3.378.080 (20,0% van de ongeldige) |
Een zelfondertekend certificaat is er een dat het domein aan zichzelf heeft uitgegeven — het versleutelt verkeer maar bewijst niets, dus browsers wijzen het af. Het komt vaak voor bij apparaten, interne tools en staging-omgevingen die per ongeluk aan het openbare internet werden blootgesteld. De overige ongeldige certificaten zijn meestal verlopen of hebben een niet-overeenkomende hostnaam.
Waarom een kapot certificaat erger is dan geen HTTPS
Een site zonder HTTPS krijgt een rustig label “Niet veilig”. Een site met een kapot certificaat krijgt een paginavullende rode interstitial — “Je verbinding is niet privé” — waar de meeste bezoekers niet langs zullen klikken. Het is het hardste vertrouwenssignaal dat een browser toont, en het verschijnt voordat je content laadt. Voor een bedrijf is dat een dichte deur op het moment van het eerste contact.
Het is ook te vermijden: nu gratis CA’s en geautomatiseerde verlenging de grote meerderheid van de certificaten uitgeven, kost een geldig certificaat niets en verlengt het zichzelf. De 8,57% met kapotte certificaten zijn vrijwel allemaal configuratiegaten, geen budgetkwesties.
Hoe je een certificaatfout oplost
- Verlopen? Automatiseer de verlenging (ACME / Let’s Encrypt) zodat het nooit meer verloopt. Certificaatfouten oplossen.
- Zelfondertekend? Vervang het door een gratis door een CA uitgegeven certificaat — zelfondertekende certificaten zullen in browsers altijd een waarschuwing geven.
- Verkeerde hostnaam? Geef het opnieuw uit met precies de namen die je bedient (inclusief
www). - Controleer of de keten compleet en vertrouwd is, en bevestig dit vervolgens met een hercontrole.
Veelgestelde vragen
Waarom wordt een certificaat ongeldig? Meestal is het verlopen, zelfondertekend, uitgegeven voor een andere hostnaam, of afkomstig uit een niet-vertrouwde keten. Per 2026-06-29 doorstaat 8,57% van de certificaten de validatie niet om een van deze redenen.
Wat is een zelfondertekend certificaat? Eentje dat de server aan zichzelf heeft uitgegeven in plaats van het van een vertrouwde CA te halen. Het versleutelt maar bewijst geen identiteit, dus browsers wijzen het af. 3.378.080 domeinen presenteren er een.
Is een kapot certificaat erger dan geen HTTPS? Ja — een kapot certificaat triggert een paginavullende browserwaarschuwing die de site blokkeert, terwijl gewone HTTP een milder inline-label “Niet veilig” krijgt.
Hoeveel kost het oplossen? Niets. Geldige certificaten zijn gratis (Let’s Encrypt en anderen) en verlengen automatisch. Het is een configuratieoplossing.
Controleer of je certificaat geldig is
Een certificaat dat browsers afwijzen, kost je nu bezoekers. Controleer dat van jou gratis en privé.
Controleer je domein → · Certificaatfouten oplossen → · Wie geeft de certificaten van het web uit? → · Waarom zegt mijn site “Niet veilig”? → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.