Defaults.Exposed › Oplossingen › Gezondheid van het TLS-certificaat

Hoe je Gezondheid van het TLS-certificaat oplost

Uw SSL/TLS-certificaat is het digitale identiteitsbewijs dat aantoont dat een bezoeker echt met uw website praat — en niet met een bedrieger — en het laat het hangslot in de browser branden. Deze controle kijkt of dat certificaat geldig en vertrouwd is, niet bijna verloopt, en is gebouwd met sterke, moderne cryptografie.

De kern voor je bedrijf: Een kapot of verlopen certificaat vervangt uw website door een schermvullende rode waarschuwing «Uw verbinding is niet privé» in elke browser. De meeste bezoekers vertrekken meteen en komen niet terug — online verkoop stopt, aanmeldingen stoppen, en de verbinding die privé hoorde te zijn kan stilletjes worden onderschept.

Wat dit je kan kosten

Uw certificaat verloopt stilletjes in een weekend; tegen maandag stuit elke bezoeker op een schermvullende beveiligingswaarschuwing, uw afreken- en contactformulieren zijn dood, en u verliest verkoop voor elk uur dat het kost om het op te merken en te vernieuwen.
Een klant die over café- of hotelwifi betaalt, krijgt een waarschuwing dat uw certificaat niet bij uw domein past — ze gaan ervan uit dat uw site nep of gehackt is, breken de aankoop af, en vertellen anderen dat het «er dubieus uitzag».
De IT-afdeling van een grotere klant doet een beveiligingsscan voor het contract, ziet een zelfondertekend of niet-vertrouwd certificaat, en markeert u als risico — de deal stokt over iets dat niets kost om op te lossen.
Uw certificaat gebruikt een verouderde ondertekenmethode of een zwakke sleutel; moderne browsers beginnen er waarschuwingen op te tonen, en een beveiligingsaudit rekent u af op cryptografie die al jaren van de aanbevolen lijst is.
U neemt kaartbetalingen aan en uw betaalprovider audit u opnieuw; een zwakke sleutel of een verlopen certificaat breekt de betaalbeveiligingsregels en uw online afrekenpagina wordt bevroren tot het is gecorrigeerd.

Waarom het ertoe doet. Het certificaat is het meest zichtbare stukje beveiliging van uw website — als het gezond is, is het onzichtbaar, en als het breekt, haalt het uw hele site neer met een beangstigende waarschuwing die klanten regelrecht naar concurrenten drijft. Certificaatverloop is de nummer-één oorzaak van onverwachte websitestoringen, en het is volledig te voorkomen. Een geldig certificaat krijgen is gratis, en het gezond houden is grotendeels een kwestie van het zichzelf automatisch laten vernieuwen.

Wat dit is, in gewone taal

Wanneer iemand uw website bezoekt, moeten er twee dingen gebeuren voordat ze zich veilig voelen om een wachtwoord of kaartnummer in te typen. Ten eerste moet de verbinding versleuteld zijn zodat vreemden hem niet kunnen lezen. Ten tweede — en dit is het deel dat mensen vergeten — moet de browser van de bezoeker er zeker van zijn dat het echt uw website aan de andere kant is, en niet een bedrieger die een overtuigende nep heeft opgezet. Het ding dat beide klussen doet, is uw TLS-certificaat (vaak een «SSL-certificaat» genoemd).

Zie het als een fraudebestendig identiteitsbewijs voor uw domein. Een erkende autoriteit geeft het uit, het is voorzien van uw domeinnaam en een vervaldatum, en het draagt de cryptografische sleutel die de verbinding versleutelt. Wanneer alles klopt, toont de browser het hangslot en laadt uw site normaal. Wanneer er iets mis is met het identiteitsbewijs, doet de browser het tegenovergestelde van uw bezoeker geruststellen — het werpt een schermvullende waarschuwing op die in feite zegt «deze site is mogelijk niet veilig».

Deze controle kijkt naar de gezondheid van dat identiteitsbewijs over vier dingen die het elk afzonderlijk breken:

Is het geldig en vertrouwd? — uitgegeven door een erkende autoriteit, passend bij uw exacte domein, niet zelfondertekend, en niet verlopen.
Verloopt het binnenkort? — want een certificaat dat verloopt haalt uw hele site neer.
Is het ondertekend met een sterke methode? — oude ondertekenalgoritmen kunnen worden vervalst.
Is de sleutel sterk genoeg? — een zwakke sleutel kan in principe worden gebroken.

Het goede nieuws vooraf: een gezond certificaat krijgen is gratis, en het gezond houden gaat vooral over het zichzelf automatisch laten vernieuwen zodat geen mens het hoeft te onthouden.

Wat dit u kan kosten

De weekendstoring. Een certificaat bereikt stilletjes zijn vervaldatum laat op een vrijdag. De vernieuwing die had moeten draaien deed dat niet (een server verhuisde, een script brak, niemand merkte het). Tegen zaterdagochtend ziet elke bezoeker — en elke Google-crawler — een schermvullende rode waarschuwing in plaats van uw homepage. Uw winkel is dicht en u weet het niet eens. De technische oplossing kost minuten; het verloren weekend aan verkoop en de klanten die besloten dat u «failliet was gegaan» komen niet terug.
De afgebroken afrekening. Een klant koopt vanaf hun telefoon op hotelwifi. Uw certificaat past niet helemaal bij het domein dat ze typten (zeg dat het shop.uwbedrijf.com dekt maar niet het kale uwbedrijf.com dat ze gebruikten). De browser waarschuwt dat de site uw site «mogelijk nabootst». Voor een niet-technische koper leest dat als oplichting — ze sluiten het tabblad, en u weet nooit dat de verkoop bestond.
Het gestokte contract. De beveiligingsafdeling van een grotere prospect doet een routinescan voor het tekenen. Die komt terug met een zelfondertekend of niet-vertrouwd certificaat op een van uw subdomeinen. Zelfs als al het andere in orde is, verandert die ene rode vlag een snelle goedkeuring in heen-en-weer dat de deal vertraagt — over een probleem dat niets kost om op te lossen.
De waarschuwing in slow motion. Uw certificaat is technisch geldig maar ondertekend met SHA-1, een oude methode die browsers uitfaseren. Eén browserupdate later beginnen een deel van uw bezoekers waarschuwingen te zien die u op uw eigen up-to-date machine niet kunt reproduceren. Supporttickets druppelen binnen dat de site «kapot lijkt» en u komt er niet uit waarom.
De compliance-fail. U neemt kaartbetalingen aan. Tijdens een heraudit markeren de controles van uw provider een zwakke sleutel of een verlopen certificaat. Kaartbeveiligingsregels vereisen sterke, actuele versleuteling — dus uw online betalingen worden opgeschort tot u opnieuw uitgeeft, wat omzet bevriest op het slechtst denkbare moment.

Wat het eigenlijk is (de vier delen)

Een certificaat kan op vier verschillende manieren ongezond zijn, en deze pagina behandelt ze allemaal. Elk is onder de motorkap een aparte controle, maar voor u zijn ze allemaal «is mijn certificaat oké?»

1. Geldig en vertrouwd

Dit is de grote — en het enige deel van certificaatgezondheid dat een kritieke, zwaarst wegende controle is. Een certificaat is alleen «geldig en vertrouwd» wanneer al deze waar zijn:

Het is uitgegeven door een erkende certificaatautoriteit die browsers al vertrouwen (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, enzovoort).
Het past bij het exacte domein dat de bezoeker gebruikt — inclusief subdomeinen. Een certificaat voor www.uwbedrijf.com dat niet ook uwbedrijf.com dekt, waarschuwt op het kale domein.
Het is niet zelfondertekend — d.w.z. niet een dat u aan uzelf uitgaf, dat versleutelt maar niets bewijst over wie u bent.
Het zit momenteel binnen zijn datumvenster — niet verlopen, en niet (vreemd genoeg, maar het gebeurt) gedateerd om in de toekomst te beginnen.
De vertrouwensketen is intact — de autoriteit die het ondertekende is zelf vertrouwd, helemaal naar boven.

Faalt ook maar één hiervan, dan tonen browsers de gevreesde pagina «Uw verbinding is niet privé», en faalt deze controle hard. Goed ziet eruit als: een certificaat van een erkende autoriteit, dat elk domein en subdomein dekt dat u daadwerkelijk gebruikt, ruim binnen zijn datums.

2. Niet bijna verlopen

Elk certificaat heeft een harde einddatum. Gratis duren doorgaans 90 dagen; betaalde vaak een jaar. Voorbij de datum verdampt vertrouwen meteen — er is geen respijtperiode. Deze controle meet hoeveel dagen er over zijn en hoe dat samenhangt met wie het uitgaf:

Is het al verlopen, of verloopt het binnen 7 dagen, dan wordt dat als kritiek behandeld — een teken dat vernieuwing is mislukt.
Verloopt het binnen 30 dagen en wordt het niet automatisch beheerd, dan is dat een waarschuwing om nu te vernieuwen.
Is het van een automatisch vernieuwende provider (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL en dergelijke) met minstens een week over, dan slaagt het — want het wordt verwacht zichzelf te vernieuwen voor de deadline.
Ruime marge (90+ dagen, of automatisch beheerd) is een schone pass.

Goed ziet eruit als: een automatisch beheerd certificaat dat zichzelf vernieuwt zonder dat iemand het aanraakt. De enige meest betrouwbare manier om nooit een verloopstoring te hebben, is een machine — geen persoon — verantwoordelijk te maken voor vernieuwing.

3. Sterk handtekeningalgoritme

Elk certificaat wordt «ondertekend» met een cryptografisch algoritme waarmee browsers manipulatie kunnen detecteren. Oude algoritmen — MD5 en SHA-1 — zijn vervalsbaar gebleken, wat betekent dat een aanvaller in principe een frauduleus certificaat kan maken dat er legitiem als het uwe uitziet. Deze controle slaagt wanneer het certificaat een sterke, moderne handtekening gebruikt: SHA-256 of sterker (SHA-384, SHA-512), moderne ECDSA, of Ed25519/Ed448. MD5 en SHA-1 falen. Goed ziet eruit als: SHA-256 of beter — wat de standaard is op elk gratis en modern certificaat, dus dit is zelden een probleem op iets dat de laatste jaren is uitgegeven.

4. Sterke sleutel

Het certificaat draagt een cryptografische sleutel die het eigenlijke versleutelen doet. Is die sleutel te kort, dan kan moderne rekenkracht — met genoeg middelen — hem breken, waardoor een aanvaller uw site kan nabootsen of verkeer kan ontsleutelen. De geaccepteerde minima zijn 2048-bit RSA of 256-bit elliptische curve (EC). Deze controle slaagt op die maten of hoger en faalt eronder. Goed ziet eruit als: 2048-bit (of 4096-bit) RSA, of een 256-bit EC-sleutel zoals P-256 — wederom de standaard op moderne gratis certificaten.

Een opmerking over de laatste drie: geldig-en-vertrouwd is de kritieke die de waarschuwingspagina aanstuurt. Handtekening- en sleutelsterkte gaan over toekomstbestendigheid en audits — een recent gratis certificaat slaagt er bijna altijd automatisch voor, maar het zijn de dingen die een beveiligingsbeoordeling zal controleren, dus ze zijn het waard goed te krijgen.

Hoe los je het op (gratis, ~15 minuten)

Geef dit onderdeel aan wie uw website of hosting beheert — de oplossing is gratis. Een geldig, sterk, automatisch vernieuwend certificaat kost niets via Let’s Encrypt of elke moderne host. Wij rekenen alleen kosten om te bewaken dat het in de loop van de tijd gezond blijft, niet om het op te lossen. Hebt u geen IT-persoon, dan brengen de platformnotities hieronder de meeste eigenaren er wel.

Stap 1 — Verkrijg (of vervang) het certificaat door een gratis, vertrouwd exemplaar. Deze ene stap lost geldigheid, handtekening en sleutelsterkte in één keer op, omdat moderne gratis certificaten standaard SHA-256 en sterke sleutels gebruiken.

Cloudflare: in SSL/TLS → Overview, zet de modus op Full (Strict). Cloudflare geeft een vertrouwd edge-certificaat uit en vernieuwt het automatisch; zorg dat uw origin-server ook een geldig certificaat heeft zodat «Strict» werkt.
Google Workspace / Microsoft 365-hosting of elke cPanel-host: zoek naar SSL/TLS Status en draai AutoSSL. Het voorziet en vernieuwt automatisch gratis certificaten.
Sitebouwers (Squarespace, Wix, Shopify, moderne WordPress-hosts): SSL staat meestal standaard aan — bevestig dat het is ingeschakeld in uw domein-/beveiligingsinstellingen, en dat het zowel uwbedrijf.com als www.uwbedrijf.com dekt.
Uw eigen Linux-server (Nginx/Apache): installeer Let’s Encrypt met Certbot — sudo certbot --nginx -d uwbedrijf.com -d www.uwbedrijf.com (of --apache). Voor een moderne EC-sleutel, voeg --key-type ecdsa toe. Som elke hostnaam die u serveert op met -d zodat het certificaat ze allemaal dekt.

Stap 2 — Maak vernieuwing automatisch zodat het nooit meer verloopt. Dit is de stap die het weekendstoring-scenario voorkomt.

Op een Let’s Encrypt-server, bevestig dat de vernieuwingstimer actief is en test die: sudo certbot renew --dry-run. Certbot installeert normaal een automatische timer; zo niet, voeg een dagelijkse cronjob toe: 0 3 * * * certbot renew --quiet.
Op Cloudflare, cPanel AutoSSL en managed/sitebouwerhosts wordt vernieuwing voor u geregeld — er valt niets in te plannen.

Stap 3 — Zorg dat het de juiste namen dekt. De meest voorkomende «geldig maar waarschuwing»-oorzaak is een naam-mismatch. Het certificaat moet elke hostnaam dekken die klanten daadwerkelijk gebruiken — het kale domein, www, en alle subdomeinen zoals shop. of app.. Neem bij het genereren van een certificaat elk ervan mee (een wildcard zoals *.uwbedrijf.com dekt alle subdomeinen in één keer).

Stap 4 — Als alleen handtekening- of sleutelsterkte is gemarkeerd, geef gewoon opnieuw uit. U hoeft niets te kopen: genereer een vers certificaat (Stap 1) en het nieuwe gebruikt automatisch SHA-256 en een sterke sleutel. Op uw eigen server kunt u een moderne sleutel expliciet vastpinnen — bijv. openssl ecparam -genkey -name prime256v1 -out server.key voor EC, of openssl genrsa -out server.key 4096 voor RSA — en dan opnieuw uitgeven.

Stap 5 — Verifieer, controleer dan hier opnieuw. Bevestig de datums, uitgever en sleutel met een snel commando — echo | openssl s_client -servername uwbedrijf.com -connect uwbedrijf.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — en draai dan deze controle opnieuw.

Veelgemaakte fouten

«We hebben ooit SSL geïnstalleerd» als klaar behandelen. Certificaten verlopen op een klok. Zonder automatische vernieuwing is de vraag niet of het verloopt maar wanneer — meestal op het minst gelegen moment.
www dekken maar niet het kale domein (of andersom). Beide moeten op het certificaat staan, of een van beide werpt een naam-mismatchwaarschuwing op. Dezelfde val vangt nieuwe subdomeinen die later worden toegevoegd.
Een zelfondertekend certificaat laten staan op een «test»-subdomein dat eigenlijk openbaar is. Het versleutelt, dus het voelt veilig — maar browsers (en beveiligingsscanners) behandelen het als niet-vertrouwd, en het is een klassieke auditrode vlag.
Aannemen dat betaald veiliger betekent. Een gratis Let’s Encrypt-certificaat is precies zo vertrouwd en versleuteld als een duur exemplaar. Meer betalen maakt geen sterker hangslot.
Het certificaat vernieuwen maar vergeten de server te herladen. Een nieuw certificaat dat op schijf staat doet niets tot de webserver wordt herladen om het op te pikken — een verrassend veelvoorkomende oorzaak van «ik heb het vernieuwd maar het toont nog steeds verlopen».
Automatische vernieuwing die stilletjes mislukte. Een vernieuwingsklus kan breken (een verplaatst bestand, een DNS-wijziging, een geblokkeerde poort) en stilletjes blijven «slagen». De vervaldatum bewaken — niet alleen de vernieuwingsklus — is wat dit daadwerkelijk opvangt voordat het toeslaat.

Veelgestelde vragen

Ik ben niet technisch — is dit iets wat ik zelf kan regelen?

U hoeft de cryptografie niet te begrijpen. Een geldig certificaat is gratis (via Let's Encrypt en de meeste moderne hosts), en op managed hosting is het meestal automatisch. Geef het onderdeel «Hoe los je het op» hieronder aan wie uw website of hosting beheert — voor de overgrote meerderheid van bedrijven is het een snelle, gratis klus, geen aankoop.

Mijn site toont een hangslot — betekent dat niet dat mijn certificaat in orde is?

Het hangslot betekent alleen dat er op dit moment een beveiligde verbinding bestaat. Het vertelt u niet dat het certificaat bijna verloopt, dat het op een sterke sleutel is gebouwd, of dat het morgen nog door browsers wordt vertrouwd. Deze controle kijkt voorbij het hangslot naar de vier dingen die het daadwerkelijk laten branden: is het certificaat geldig en vertrouwd, verloopt het binnenkort, is het ondertekend met een sterk algoritme, en is de sleutel sterk genoeg.

Moet ik betalen voor een SSL-certificaat?

Nee. Gratis certificaten van Let's Encrypt (en ingebouwd in Cloudflare, cPanel AutoSSL en de meeste moderne hosting) worden door elke browser vertrouwd en zijn precies zo veilig als betaalde. Betaalde certificaten kopen vooral supportcontracten, garanties of extended-validation-badges — geen daarvan beïnvloedt of uw site versleuteld of vertrouwd is. Wij rekenen nooit kosten om dit op te lossen; we rekenen alleen kosten om te bewaken dat het gezond blijft.

Hoe kan een certificaat «verlopen» — en waarom haalt dat mijn site neer?

Elk certificaat heeft een vaste einddatum (vaak 90 dagen voor gratis). Voorbij die datum weigeren browsers het te vertrouwen en tonen een schermvullende waarschuwing in plaats van uw site. Het is geen geleidelijke achteruitgang — het werkt perfect tot de deadline, en breekt dan volledig. Daarom is automatische vernieuwing zo belangrijk: het haalt de mens weg die het anders zou vergeten.

Wat is een «zelfondertekend» certificaat en waarom faalt het?

Een zelfondertekend certificaat is er een dat u aan uzelf hebt uitgegeven in plaats van het van een erkende autoriteit te krijgen. Het versleutelt de verbinding, maar niets staat ervoor in dat u het echt bent — dus browsers behandelen het als niet-vertrouwd en waarschuwen bezoekers, precies zoals ze zouden doen voor het nepcertificaat van een aanvaller. Voor een openbare website wilt u altijd er een van een vertrouwde autoriteit, en dat is gratis.

Wat betekenen «zwakke sleutel» en «zwak handtekeningalgoritme» eigenlijk voor mijn bedrijf?

Beide zijn manieren waarop een certificaat vandaag technisch geldig maar cryptografisch broos kan zijn. Een zwakke sleutel (onder 2048-bit RSA of 256-bit EC) kan in principe worden gekraakt, waardoor een aanvaller uw site kan nabootsen. Een zwakke handtekening (SHA-1 of MD5) kan worden vervalst om een overtuigend nepcertificaat te maken. Moderne gratis certificaten gebruiken standaard sterke sleutels en handtekeningen, dus de oplossing is bijna altijd gewoon opnieuw uitgeven — kosteloos.