Defaults.Exposed › Rapporten
De A-elite: wat de best beveiligde domeinen van het internet anders doen (2026)
Gepubliceerd 2026-06-28
Cijfers per 2026-06-28 · methodiek v7. Geaggregeerde censusdata — het cijfer van een individueel bedrijf wordt nooit gepubliceerd. Zie hoe wij beoordelen.
Een domein beveiligen tot een A-cijfer plaatst u in de top van een fractie van één procent van het hele internet. Van de 260 miljoen beoordeelde domeinen haalt slechts 1.202.444 (0,46%) een B of beter, en maar 0,02% — ruwweg 1 op de 4.600 — verdient een A of A+. Het opmerkelijke is niet dat deze domeinen zeldzaam zijn. Het is dat wat ze anders doen vrijwel volledig gratis, standaard en in een middag realiseerbaar is.
Dit is het draaiboek van de A-elite.
Hoe exclusief is een A-cijfer eigenlijk?
| Niveau | Domeinen | Aandeel | Zeldzaamheid |
|---|---|---|---|
| A of A+ | 6.740 + 49.762 | 0,02% | ~1 op de 4.600 |
| B of beter | 1.202.444 | 0,46% | ~1 op de 220 |
| C of beter | — | — | ~1 op de 27 |
Ter vergelijking: een B halen plaatst u voor meer dan 99 van elke 100 domeinen op het internet. Dit zijn niet de budgetten van beveiligingsteams van grote ondernemingen aan het werk — het zijn dezelfde DNS-instellingen die beschikbaar zijn voor iedereen met een domein. De elite heeft ze simpelweg ingeschakeld.
Wat de best beveiligde domeinen van het internet gemeenschappelijk hebben
Een A-domein heeft niet één slimme maatregel genomen. Het heeft elke veelvoorkomende kwetsbaarheid gedicht. Over de 34 controles die we beoordelen, krijgen de topdomeinen consequent dezelfde basismaatregelen goed:
1. Hun e-mail kan niet worden vervalst
Het grootste verschil tussen een A en een F is afgedwongen e-mailauthenticatie:
- SPF gepubliceerd en correct — aangevend welke servers mail mogen versturen voor het domein. (SPF herstellen →)
- DKIM dat uitgaande mail ondertekent zodat er niet mee geknoeid kan worden. (DKIM herstellen →)
- DMARC op handhaving ingesteld (
p=quarantineofp=reject) — niet het tandelozep=none. Dit is wat daadwerkelijk voorkomt dat een vervalste e-mail de inbox bereikt. (DMARC herstellen →)
Een domein dat alle drie publiceert, op handhavingsniveau, heeft de deur gesloten voor de meest voorkomende aanval op het internet: iemand die e-mail verstuurt alsof die van u afkomstig is.
2. Hun website is correct versleuteld — niet alleen ‘heeft https’
Topdomeinen serveren niet alleen HTTPS; ze doen dat correct:
- Een geldig, actueel certificaat dat overeenkomt met de hostnaam. (Certificaat →)
- HSTS zodat browsers niet terug kunnen vallen op onveilig HTTP. (HSTS herstellen →)
- Alleen moderne TLS, met verouderde protocolversies uitgeschakeld. (TLS →)
3. Hun DNS is beveiligd
De elite vergrendelt de laag onder de website:
- DNSSEC ingeschakeld, zodat DNS-antwoorden niet stilletjes kunnen worden vervalst. (DNSSEC herstellen →)
- CAA-records die beperken welke certificaatautoriteiten certificaten mogen uitgeven voor het domein. (CAA herstellen →)
4. Ze sturen de juiste beveiligingsheaders
De afwerking die een B van een A+ onderscheidt:
- Content-Security-Policy, X-Frame-Options (anti-clickjacking), X-Content-Type-Options en een verstandige Referrer-Policy.
- Ze lekken hun softwarestack niet via uitgebreide
Server- ofX-Powered-By-headers.
Het patroon: veilige domeinen stapelen kleine winsten
Geen enkele instelling levert een A op. De elite wint door een dozijn individueel kleine, individueel gratis configuratiestappen op te stapelen totdat er geen open deuren meer zijn. Dat is werkelijk goed nieuws voor iedereen, want het betekent dat de weg naar een A geen dure aankoop is — het is een checklist.
Hoe u zich bij de A-elite kunt aansluiten
- Stel vast waar u staat. Voer een gratis controle uit en krijg uw cijfer plus een uitsplitsing per controle van wat u doorstaat en wat niet.
- Begin met e-mail. SPF, DKIM, dan DMARC op handhavingsniveau — dit heeft de grootste impact en stopt spoofing.
- Bevestig TLS + HSTS, voeg dan DNSSEC en CAA toe.
- Voeg de beveiligingsheaders toe als afronding.
- Hercontroleer. De meeste wijzigingen zijn binnen minuten tot uren actief.
Veelgestelde vragen
Wat maakt een domein veilig?
Afgedwongen e-mailauthenticatie (SPF + DKIM + DMARC op p=quarantine of p=reject), een geldig modern TLS-certificaat met HSTS, DNS-beveiliging (DNSSEC en CAA) en een complete set HTTP-beveiligingsheaders. A-domeinen krijgen dit alles tegelijk goed.
Hoeveel domeinen hebben een A-cijfer? Per 2026-06-28 verdient slechts 0,02% van de 260 miljoen beoordeelde domeinen een A of A+ — ongeveer 1 op de 4.600.
Is het behalen van een A duur? Nee. Vrijwel elke vereiste is een gratis configuratiewijziging in uw DNS- of webserverinstellingen. De drempel is bewustzijn, niet kosten.
Hoe lang duurt het om een domein te beveiligen? De kernoplossingen zijn doorgaans in een middag te maken; de meeste werken binnen minuten tot enkele uren door.
Bekijk hoe dicht uw domein bij een A zit
U bent misschien één instelling verwijderd van de top 0,46% — of meerdere. Controleer privé en gratis, en krijg de exacte lijst van wat u moet herstellen.
Controleer uw domein → · Hoe wij beoordelen → · Uitsluitend geaggregeerde data; individuele cijfers zijn alleen zichtbaar voor geverifieerde eigenaren. Data opgeslagen en verwerkt in de EU.