Bijna elke website draait inmiddels op HTTPS, en het slotje in de adresbalk is voor de meeste bezoekers een vanzelfsprekendheid geworden. Toch krijgen we regelmatig vragen over wat daar precies achter zit: wat doet een SSL-certificaat, waarom is het nodig, en wat moet je er zelf voor regelen?

In dit artikel leggen we uit wat een SSL-certificaat is, waarom HTTPS belangrijk is voor je website en welke problemen je in de praktijk kunt tegenkomen. We houden het begrijpelijk, zonder de techniek helemaal weg te laten.

Wat is een SSL-certificaat?

Een SSL-certificaat is een klein bestand dat aan je domein wordt gekoppeld en twee dingen mogelijk maakt: het versleutelt het verkeer tussen de bezoeker en je website, en het bevestigt dat het verkeer ook echt naar jouw domein gaat. De verbinding die daardoor ontstaat heet HTTPS, het slotje in de browser.

De term SSL is historisch blijven hangen. Het onderliggende protocol heet tegenwoordig TLS (Transport Layer Security). In de praktijk worden de begrippen door elkaar gebruikt; als iemand het over een SSL-certificaat heeft, bedoelt men vrijwel altijd TLS.

Waarom HTTPS belangrijk is voor je website

HTTPS is om meerdere redenen het uitgangspunt geworden voor iedere website, ook voor een eenvoudige bedrijfssite.

  • Beveiliging. Zonder versleuteling is verkeer tussen bezoeker en server mee te lezen. Voor inlogvelden, contactformulieren en betalingen is dat onacceptabel.
  • Vertrouwen. Browsers markeren sites zonder HTTPS als “niet veilig”. Voor een bezoeker is dat een rechtstreeks signaal om weg te klikken.
  • Vindbaarheid. Zoekmachines geven al jaren de voorkeur aan beveiligde verbindingen. HTTPS is geen garantie voor een hoge positie, maar het ontbreken ervan werkt wel tegen je.
  • Functionaliteit. Veel moderne browserfuncties werken alleen onder HTTPS.

Kortom: een veilige verbinding is geen extra, het is de basis. Een website zonder geldig certificaat valt in negatieve zin op.

Hoe een beveiligde verbinding werkt

Je hoeft de techniek niet tot in detail te kennen, maar de hoofdlijn helpt om problemen later te begrijpen. Wanneer een bezoeker je site opent, presenteert de server het certificaat. De browser controleert of dat certificaat geldig is, bij het juiste domein hoort en is uitgegeven door een vertrouwde instantie.

Klopt dat allemaal, dan wordt een versleutelde verbinding opgezet en zie je het slotje. Klopt er iets niet, bijvoorbeeld een verlopen certificaat of een verkeerde domeinnaam, dan toont de browser een waarschuwing. Die waarschuwing is bewust streng, omdat bezoekers anders niet zouden weten of een verbinding te vertrouwen is.

Soorten SSL-certificaten

Certificaten verschillen vooral in de mate van validatie, niet in de sterkte van de versleuteling. Die is bij alle types gelijk.

  • Domeinvalidatie (DV). Bevestigt alleen dat je controle hebt over het domein. Snel en geschikt voor de meeste websites.
  • Organisatievalidatie (OV). Controleert ook de organisatie achter het domein. Relevant voor partijen die extra zekerheid willen tonen.
  • Extended validation (EV). De uitgebreidste controle, vooral gebruikt door grotere organisaties.
  • Wildcard. Dekt een domein plus alle subdomeinen, handig als je met meerdere subdomeinen werkt.

Voor een standaard website, webshop of WordPress-site is een DV-certificaat in vrijwel alle gevallen voldoende. De extra validatietypes lossen een vertrouwensvraag op, geen technische.

Gratis certificaten en Let’s Encrypt

SSL hoeft niets te kosten. Let’s Encrypt is een non-profit certificaatautoriteit die gratis DV-certificaten uitgeeft. Die certificaten zijn technisch volwaardig: dezelfde versleuteling, hetzelfde slotje. Het verschil met betaalde certificaten zit in de validatie en in zaken als garantieregelingen, niet in de beveiliging zelf.

Let’s Encrypt-certificaten hebben een korte looptijd en worden automatisch vernieuwd. Dat klinkt als extra werk, maar in een goede hostingomgeving merk je daar niets van; de vernieuwing gebeurt op de achtergrond.

SSL instellen bij Lionserve

Bij ons regel je SSL via DirectAdmin. Voor de meeste websites is dat een kwestie van het certificaat aanzetten voor je domein; de aanvraag en vernieuwing via Let’s Encrypt verlopen daarna automatisch. Je hoeft geen sleutels te kopiëren of handmatig bestanden te uploaden.

Wel is het belangrijk dat je DNS-records correct naar de server wijzen voordat je een certificaat aanvraagt. Een certificaat kan namelijk pas worden uitgegeven als is vast te stellen dat het domein bij jouw hosting hoort.

Veelvoorkomende SSL-problemen

De meeste SSL-problemen zijn goed te verklaren en op te lossen. Een paar die we in de praktijk vaak zien:

  • Verlopen certificaat. Als automatische vernieuwing om een of andere reden faalt, krijg je een waarschuwing in de browser. In een goed ingerichte omgeving is dit zeldzaam.
  • Gemengde inhoud (mixed content). Je site draait op HTTPS, maar laadt nog losse onderdelen, zoals afbeeldingen of scripts, via HTTP. Het slotje verdwijnt dan. Dit komt veel voor bij WordPress na een overstap naar HTTPS.
  • Verkeerde domeinnaam. Een certificaat voor example.nl dekt niet automatisch www.example.nl als dat niet is meegenomen. Browsers melden dat direct.
  • DNS nog niet doorgevoerd. Een aanvraag vlak na een wijziging kan mislukken omdat de DNS nog niet overal is bijgewerkt.

Draai je WordPress en zie je geen slotje na het inschakelen van HTTPS, dan is gemengde inhoud meestal de oorzaak. In onze WordPress-checklist staan instellingen die hierbij helpen.

Waar moet je op letten?

SSL is bij de meeste hosting standaard onderdeel, maar een paar punten zijn het nakijken waard:

  • Automatische vernieuwing. Controleer of certificaten vanzelf worden verlengd, zodat je er niet zelf aan hoeft te denken.
  • Dekking van www en subdomeinen. Zorg dat zowel met als zonder www wordt gedekt, en eventueel je subdomeinen.
  • Geforceerde HTTPS. Stel in dat bezoekers altijd naar de beveiligde versie worden geleid, ook als ze de HTTP-variant intypen.
  • Geen extra kosten voor de basis. Een standaard DV-certificaat hoort bij goede hosting inbegrepen te zijn, niet als losse post.

SSL hangt samen met de rest van je domeinbeheer. Goede mailafhandeling en correcte DNS horen er net zo goed bij; zie bijvoorbeeld onze uitleg over het aanmaken van een e-mailaccount.

Conclusie

Een SSL-certificaat versleutelt het verkeer naar je website en bevestigt dat bezoekers op het juiste domein zitten. HTTPS is daarmee de basis voor beveiliging, vertrouwen en vindbaarheid. Voor de meeste websites volstaat een gratis DV-certificaat van Let’s Encrypt, dat technisch niets onderdoet voor een betaald alternatief.

Bij ons is SSL standaard onderdeel van het pakket en verloopt het aanvragen en vernieuwen automatisch via DirectAdmin. Wil je weten hoe dat in onze hosting is geregeld, bekijk dan onze webhostingpakketten.