We Develop Communication
sslhttpswebhostingsecuritybeginners

SSL certificaten en HTTPS: alles wat je moet weten

Leer wat SSL certificaten en HTTPS zijn, hoe ze werken en waarom ze cruciaal zijn voor veiligheid, SEO en vertrouwen van bezoekers.

18 mei 20268 min leestijdDoor We Develop Communication

Je zag het laatst misschien zelf nog: een site zonder slotje, met de melding "Niet veilig" in de adresbalk. Voor je bezoekers is dat meteen een rode vlag. SSL certificaten en HTTPS zijn daarom geen luxe meer, maar de basis van elke serieuze website. Ze zorgen dat gegevens versleuteld worden, dat bezoekers weten dat ze bij jou zitten, en dat Google je site niet achteraan in de rij zet.

In dit artikel leggen we uit wat SSL en HTTPS precies zijn, hoe ze onder de motorkap werken, welke soorten certificaten er bestaan en hoe je ze praktisch inregelt bij je hostingprovider.

Wat is SSL en wat is HTTPS?

SSL staat voor Secure Sockets Layer. De opvolger heet TLS (Transport Layer Security), maar in de volksmond praten we nog steeds over "SSL". Het is het protocol dat verkeer tussen de browser van je bezoeker en jouw webserver versleutelt.

HTTPS is het resultaat: HTTP over TLS. Zonder geldig certificaat geen HTTPS, zonder HTTPS geen slotje in de browser.

De twee begrippen horen onlosmakelijk bij elkaar, maar betekenen niet hetzelfde:

  • SSL/TLS = het protocol en de versleuteling
  • HTTPS = het resultaat dat je in de URL ziet
  • Certificaat = het bestand dat de identiteit van je site bewijst

Waarom HTTPS vandaag de dag verplicht voelt

Tien jaar geleden was HTTPS vooral iets voor webshops en banken. Nu is het de standaard. Daar zijn drie goede redenen voor.

1. Veiligheid voor je bezoekers

Zonder versleuteling kan iedereen op hetzelfde wifi-netwerk (denk: café, trein, hotel) meekijken met wat er tussen browser en server gaat. Formuliergegevens, inloggegevens, cookies, alles ligt open. Met TLS is dat praktisch onmogelijk.

2. Vertrouwen en conversies

Moderne browsers tonen een prominente waarschuwing bij HTTP-sites. Bezoekers die "Niet veilig" zien, klikken weg. Dat kost je directe conversies, zeker in e-commerce. Een slotje is een minimumvereiste om überhaupt serieus genomen te worden.

3. SEO en moderne features

Google bevestigde al in 2014 dat HTTPS een rankingfactor is. Nieuwere protocollen zoals HTTP/2 en HTTP/3 werken bovendien alleen over TLS. Geen HTTPS betekent dat je technisch achterop raakt, met directe gevolgen voor je laadtijd en SEO.

Hoe werkt een SSL-verbinding onder de motorkap?

Als je een HTTPS-site bezoekt, gebeurt er in een fractie van een seconde een zogeheten TLS handshake. Versimpeld ziet dat er zo uit:

  1. Client Hello, je browser meldt zich bij de server en stuurt mee welke versleutelingsmethodes hij ondersteunt.
  2. Server Hello + certificaat, de server kiest een methode en stuurt zijn SSL-certificaat mee.
  3. Verificatie, de browser controleert of het certificaat geldig is, door de juiste Certificate Authority (CA) is uitgegeven, niet is ingetrokken en nog niet is verlopen.
  4. Sleuteluitwisseling, browser en server wisselen sleutels uit om symmetrische versleuteling op te zetten.
  5. Versleutelde sessie, al het verdere verkeer loopt versleuteld.

Deze handshake voegt een klein beetje latency toe, maar moderne optimalisaties zoals TLS 1.3 en session resumption maken het verwaarloosbaar.

Welke soorten SSL-certificaten bestaan er?

Niet elk certificaat is hetzelfde. Het verschil zit niet in de sterkte van de versleuteling, die is overal vergelijkbaar, maar in hoe streng de CA je identiteit controleert.

Domain Validated (DV)

De goedkoopste en snelste variant. De CA controleert alleen of jij de eigenaar van het domein bent, meestal via een DNS-record of e-mail. Let's Encrypt is de bekendste gratis aanbieder. Prima voor blogs, portfolio's en de meeste bedrijfssites.

Organization Validated (OV)

Naast het domein controleert de CA ook of jouw organisatie daadwerkelijk bestaat (KvK-inschrijving, adres). Duurt een paar dagen en kost geld, maar geeft extra legitimiteit in het certificaatdetail.

Extended Validation (EV)

De strengste vorm. De CA voert een uitgebreide juridische en operationele check uit. Vroeger kreeg je hiervoor de groene balk in browsers, die is inmiddels verdwenen, wat de meerwaarde van EV in de praktijk flink heeft verminderd.

Wildcard en multi-domain

  • Wildcard (*.jouwdomein.nl) dekt alle subdomeinen in één certificaat.
  • SAN / Multi-domain dekt meerdere losse domeinen in één certificaat.

Handig als je veel subdomeinen of meerdere sites op dezelfde server draait.

Hoe krijg je een SSL-certificaat op je site?

In de praktijk zijn er drie hoofdroutes, afhankelijk van je hostingkeuze.

Via je hostingprovider (makkelijkste route)

De meeste providers, zeker managed hosters, bieden Let's Encrypt gratis en volledig geautomatiseerd aan. Eén vinkje in cPanel, Plesk of DirectAdmin en je bent klaar. Vernieuwing gebeurt automatisch om de 60–90 dagen.

Zelf installeren op een VPS

Heb je een eigen VPS? Dan regel je het zelf, meestal met Certbot of acme.sh. Een commando als:

sudo certbot --nginx -d jouwdomein.nl -d www.jouwdomein.nl

regelt aanvraag, installatie én de cronjob voor automatische verlenging. Wel zelf even checken of poort 80 en 443 open staan in je firewall.

Commercieel certificaat via een CA

Bij een OV- of EV-certificaat genereer je een CSR (Certificate Signing Request) op je server, dien je die in bij een CA zoals DigiCert of Sectigo, en installeer je het terugontvangen certificaat samen met de intermediate chain.

Veelvoorkomende valkuilen bij HTTPS

Een certificaat installeren is stap één. Deze fouten zien we regelmatig terugkomen.

Mixed content

Je pagina laadt via HTTPS, maar haalt een afbeelding, script of stylesheet nog via HTTP op. Browsers blokkeren dat (deels) en het slotje verdwijnt. Oplossing: zoek je codebase door op http:// en vervang door https:// of protocol-relatieve URLs.

Verlopen certificaten

Een vergeten verlenging geeft direct een enge browserwaarschuwing en vaak een dip in verkeer. Zorg voor automatische vernieuwing én monitoring (bijvoorbeeld met een uptime-check die ook de vervaldatum in de gaten houdt).

Geen redirect van HTTP naar HTTPS

Als http://jouwdomein.nl en https://jouwdomein.nl beide blijven werken, krijg je duplicate content-issues. Zet een permanente 301-redirect op serverniveau en voeg bij voorkeur HSTS toe.

Verkeerde certificaatketen

Een certificaat werkt alleen als de intermediate CA's ook correct geïnstalleerd zijn. Tools zoals SSL Labs' Server Test laten direct zien of je ketting klopt.

SSL en je bredere hosting-stack

HTTPS staat niet op zichzelf. Als je serieus werkt aan performance en veiligheid, komt het samen met andere onderdelen.

  • Een reverse proxy zoals NGINX of Traefik kan TLS-terminatie centraal regelen, zodat je backend-services intern op HTTP draaien.
  • Goede hosting security basics zorgen dat je firewall, updates en SSL samen een kloppend geheel vormen.
  • Moderne cipher suites en TLS 1.3 reduceren handshake-overhead; dat scheelt milliseconden bij elke verbinding.

HSTS: één stap verder dan HTTPS

Wil je dat browsers nóóit meer per ongeluk over HTTP verbinden? Dan gebruik je HSTS (HTTP Strict Transport Security). Je stuurt een header mee:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Vanaf dat moment onthouden browsers dat jouw domein alleen via HTTPS werkt, zelfs als iemand http:// intypt. Wel oppassen: zet HSTS pas aan als je zeker weet dat alle (sub)domeinen HTTPS draaien, anders sluit je jezelf buiten.

Kost HTTPS performance?

Een veelgehoorde mythe is dat HTTPS je site trager maakt. In de praktijk is het omgekeerd:

  • HTTP/2 en HTTP/3 vereisen TLS en zijn véél sneller dan HTTP/1.1.
  • Moderne CPU's hebben hardware-acceleratie voor AES.
  • TLS 1.3 heeft een kortere handshake dan eerdere versies.

De performance-impact is op moderne hosting met NVMe-storage en fatsoenlijke CPU's nagenoeg nul. En je krijgt er een hoop veiligheid en betere SEO voor terug.

Veelgestelde vragen

Wat is een SSL certificaat precies?

Een SSL certificaat is een digitaal bestand dat de identiteit van je website bevestigt en verkeer tussen browser en server versleutelt. Hierdoor kunnen derden meelezen of knoeien met data onmogelijk maken.

Is SSL hetzelfde als HTTPS?

Niet helemaal. SSL (tegenwoordig TLS) is het protocol dat de versleuteling regelt. HTTPS is HTTP dat via dat versleutelde kanaal loopt. Geen SSL-certificaat betekent dus ook geen HTTPS.

Heb ik een betaald SSL certificaat nodig?

Voor de meeste websites is een gratis Let's Encrypt certificaat prima. Webshops of grote bedrijven kiezen soms voor OV of EV certificaten vanwege extra validatie en garanties, maar technisch versleutelen ze even sterk.

Hoe vaak moet ik mijn SSL certificaat vernieuwen?

Let's Encrypt certificaten zijn 90 dagen geldig en verlengen automatisch via je hostingprovider. Commerciële certificaten lopen meestal 1 jaar. Zonder tijdige vernieuwing krijgen bezoekers een waarschuwing.

Beïnvloedt HTTPS mijn SEO?

Ja. Google gebruikt HTTPS als een (lichte) rankingfactor en browsers markeren HTTP-sites als "niet veilig". Dat schaadt vertrouwen, conversies en indirect ook je positie in de zoekresultaten.

Conclusie

SSL certificaten en HTTPS zijn geen afvinkje meer, maar het fundament waarop je website draait. Ze beschermen je bezoekers, wekken vertrouwen, en zijn een harde voorwaarde voor moderne protocollen en goede SEO.

Gelukkig is het regelen ervan makkelijker dan ooit: een fatsoenlijke hostingprovider biedt Let's Encrypt standaard, automatisch verlengend en zonder gedoe. Zorg alleen dat je redirects, mixed content en certificaatketen goed staan, dan heb je er jaren geen omkijken meer naar.

Veelgestelde vragen

Klaar om digitaal te groeien?

Wij helpen Nederlandse bedrijven met webtechnologie en SEO-strategieën die écht werken. Neem vrijblijvend contact op.

Neem contact op

Gerelateerde artikelen

vps-hostingwebhosting

Introductie tot VPS hosting: alles wat je moet weten

Je website draait al een tijdje, het bezoek groeit, maar de pagina's laden steeds trager. De kans is groot dat je tegen de grenzen van shared hosting aanloopt.…

6 mei 2026·9 min leestijd
webhostingsecurity

Hosting security basics: firewalls en updates uitgelegd

Je website is 24/7 online, en dat betekent helaas ook dat hij 24/7 doelwit is. Hosting security is daarom geen luxe, maar een harde voorwaarde om veilig,…

9 mei 2026·8 min leestijd
dnswebhosting

DNS uitgelegd voor developers: zo werkt het onder de motorkap

Je tikt wedecom.net in je browser en binnen milliseconden laadt de site. Tussen dat moment en het eerste pakketje dat jouw computer verlaat, gebeurt er iets…

16 mei 2026·9 min leestijd
Terug naar alle artikelen