InspectWP Logo
Woordenlijst

Wat is een SSL-certificaat?

8 februari 2026 Bijgewerkt op 19 apr 2026

Een SSL-certificaat (technisch gezien een TLS-certificaat, aangezien SSL jaren geleden is vervangen door TLS) is een klein databestand dat op uw webserver staat en een versleutelde verbinding tot stand brengt tussen de server en de browsers van uw bezoekers. Wanneer een certificaat correct is geïnstalleerd, laadt uw site via HTTPS in plaats van HTTP, en tonen browsers het hangslotpictogram in de adresbalk om aan te geven dat de verbinding veilig is.

Hoe TLS/SSL-versleuteling daadwerkelijk werkt

Wanneer iemand uw URL intypt en op enter drukt, doorlopen hun browser en uw server een proces dat de TLS-handshake heet. Het gebeurt in milliseconden, maar er gebeurt nogal wat achter de schermen:

  1. Hello: de browser stuurt een "Client Hello"-bericht naar de server, met de versleutelingsmethoden die hij ondersteunt.
  2. Certificaat: de server reageert met zijn TLS-certificaat, dat de publieke sleutel van de server bevat plus informatie over de certificeringsinstantie (CA) die het heeft uitgegeven.
  3. Verificatie: de browser controleert het certificaat aan de hand van zijn ingebouwde lijst met vertrouwde CA's. Hij verifieert dat het certificaat niet is verlopen, overeenkomt met de domeinnaam en niet is ingetrokken.
  4. Sleuteluitwisseling: de browser en server komen een gedeelde sessiesleutel overeen via asymmetrische versleuteling (publieke/privésleutelparen). Deze sessiesleutel wordt gebruikt om de eigenlijke data te versleutelen.
  5. Versleutelde communicatie: vanaf dit punt wordt alle data tussen browser en server versleuteld met de sessiesleutel via symmetrische versleuteling, wat veel sneller is dan asymmetrische versleuteling.

De kern: het publieke/privésleutelpaar wordt alleen gebruikt om de verbinding veilig op te zetten. De feitelijke pagina-inhoud, formulierinzendingen en cookies worden versleuteld met een tijdelijke sessiesleutel die uniek is voor elke verbinding.

Typen SSL/TLS-certificaten

Certificaten komen in drie validatieniveaus, en de verschillen draaien om vertrouwen en verificatie, niet om versleutelingssterkte. De versleuteling zelf is even sterk voor alle typen.

  • Domain Validation (DV): de CA verifieert alleen dat u het domein beheert, doorgaans door u een DNS-record te laten instellen of te reageren op een e-mail aan het domein. Dit duurt enkele minuten en is vaak gratis (Let's Encrypt bijvoorbeeld). DV-certificaten zijn prima voor de meeste WordPress-sites, blogs en kleine zakelijke websites.
  • Organization Validation (OV): de CA verifieert het juridisch bestaan van uw organisatie. Dit omvat het controleren van bedrijfsregistratiedocumenten en duurt doorgaans enkele dagen. OV-certificaten tonen de organisatienaam in de certificaatdetails (al niet zichtbaar in de browserbalk). Ze komen vaker voor bij bedrijfswebsites en SaaS-platforms.
  • Extended Validation (EV): het strengste verificatieproces. De CA voert een grondig onderzoek uit naar de organisatie, inclusief juridische status, fysiek adres en geautoriseerde contactpersonen. EV-certificaten toonden vroeger de bedrijfsnaam in een groene balk in de browser, maar de meeste browsers hebben dit visuele onderscheid de laatste jaren verwijderd. Ze worden nog steeds gebruikt door banken, financiële instellingen en grote e-commercesites, hoewel hun praktische waarde is afgenomen.

Let's Encrypt en gratis certificaten

Let's Encrypt veranderde het SSL-landschap toen het in 2015 werd gelanceerd. Daarvoor kostten zelfs basis-DV-certificaten geld en vereisten ze handmatige installatie. Let's Encrypt biedt gratis, geautomatiseerde DV-certificaten die 90 dagen geldig zijn en automatisch kunnen worden verlengd.

Tegenwoordig ondersteunt vrijwel elke hostingprovider Let's Encrypt. Velen nemen het op als onderdeel van hun hostingpakketten en handelen installatie en verlenging automatisch af. Biedt uw host geen automatische SSL, dan kunnen tools zoals Certbot de levenscyclus van het certificaat op uw server beheren.

Er is in 2025 echt geen reden meer om een WordPress-site zonder HTTPS te draaien. Het certificaat is gratis, de installatie is geautomatiseerd, en de voordelen (beveiliging, SEO, vertrouwen van gebruikers) zijn aanzienlijk.

Wildcard-certificaten

Een standaardcertificaat dekt één enkel domein (bijv. example.com) en soms ook www.example.com. Heeft u meerdere subdomeinen (shop.example.com, blog.example.com, app.example.com), dan zou u normaal voor elk een apart certificaat nodig hebben.

Een wildcard-certificaat dekt alle subdomeinen onder één enkel domein. Het gebruikt het patroon *.example.com en beveiligt elk subdomein op dat niveau. Let's Encrypt ondersteunt wildcard-certificaten, maar zij vereisen DNS-gebaseerde validatie in plaats van de eenvoudigere HTTP-validatiemethode. De meeste managed hostingproviders handelen dit automatisch af indien nodig.

Certificaatverloop en verlenging

Elk TLS-certificaat heeft een verloopdatum. Let's Encrypt-certificaten verlopen na 90 dagen, terwijl commercieel gekochte certificaten doorgaans één jaar geldig zijn (het sinds 2020 toegestane maximum). Wanneer een certificaat verloopt, tonen browsers een waarschuwing op volledige pagina die de meeste bezoekers belet uw site te bezoeken. Dit is een ernstig probleem dat uw verkeer volledig kan stilleggen.

Automatische verlenging is essentieel. Gebruikt u Let's Encrypt via uw hostingprovider, dan gebeurt verlenging meestal op de achtergrond zonder dat u iets hoeft te doen. Beheert u uw server zelf, zorg er dan voor dat Certbot of uw ACME-client is geconfigureerd om certificaten automatisch te verlengen, en test of dit ook echt werkt. Een veelvoorkomend probleem is een cron-taak die voor verlenging is opgezet maar stilzwijgend faalt door een rechtenkwestie of een gewijzigde serverconfiguratie.

Hoe u uw SSL-certificaat controleert

Er zijn verschillende manieren om te verifiëren dat uw certificaat correct werkt:

  • Hangslot in de browser: klik op het hangslotpictogram in de adresbalk van uw browser. U ziet de uitgever van het certificaat, de verloopdatum en het domein dat het dekt.
  • SSL Labs (ssllabs.com/ssltest): de standaard onlinetool uit de sector om uw SSL-configuratie te testen. Hij controleert niet alleen het certificaat maar ook de TLS-protocolversies, cipher suites en bekende kwetsbaarheden. Streef naar een A- of A+-beoordeling.
  • Commandoregel-tools: openssl s_client -connect example.com:443 toont gedetailleerde certificaatinformatie voor technische probleemanalyse.

WordPress en HTTPS

Een certificaat op uw server installeren is slechts de helft van het werk. U moet er ook voor zorgen dat WordPress consequent HTTPS gebruikt:

  • Site-URL-instellingen: in WordPress Instellingen > Algemeen dienen zowel "WordPress-adres" als "Site-adres" https:// te gebruiken. Dit verkeerd instellen veroorzaakt redirect-loops en aanmeldproblemen.
  • SSL forceren: voeg define('FORCE_SSL_ADMIN', true); toe aan uw wp-config.php om te verzekeren dat het beheergedeelte altijd HTTPS gebruikt.
  • 301-redirects: stel server-niveau redirects in (via .htaccess op Apache of een server block op Nginx) om alle HTTP-verzoeken naar HTTPS door te sturen. Zo komen bezoekers en zoekmachines altijd op de beveiligde versie uit.
  • Mixed content: na het overschakelen naar HTTPS heeft u mogelijk afbeeldingen, scripts of stylesheets die nog via HTTP worden geladen. Browsers blokkeren of waarschuwen voor deze onveilige bronnen. Gebruik een plug-in als "Better Search Replace" om oude HTTP-URL's in uw database bij te werken, en controleer uw thema op vast ingestelde HTTP-verwijzingen.
  • HSTS-koptekst: de Strict-Transport-Security-koptekst vertelt browsers altijd HTTPS voor uw site te gebruiken, zelfs als iemand http:// in de adresbalk typt. Dit elimineert het korte moment waarop een bezoeker via HTTP zou kunnen verbinden voordat hij wordt doorgestuurd.

Waarom "SSL" eigenlijk TLS is

De term "SSL-certificaat" is blijven hangen, ook al is het SSL-protocol zelf sinds 2015 buiten gebruik gesteld. SSL 3.0 was de laatste versie, en het had bekende beveiligingskwetsbaarheden (onder andere de POODLE-aanval). De vervanger is TLS (Transport Layer Security), dat momenteel op versie 1.3 staat. Moderne browsers ondersteunen SSL helemaal niet meer; zij gebruiken alleen TLS 1.2 en TLS 1.3.

Wanneer hostingproviders, certificeringsinstanties of WordPress-plug-ins over "SSL" praten, bedoelen zij eigenlijk TLS. De termen worden in de praktijk door elkaar gebruikt, ook al zijn het technisch verschillende protocollen. Ondersteunt uw server nog TLS 1.0 of 1.1, dan dient u die ook uit te schakelen, aangezien deze eveneens als onveilig worden beschouwd.

Wat InspectWP controleert

InspectWP verifieert of uw WordPress-site een geldig TLS-certificaat heeft, controleert de verloopdatum van het certificaat en detecteert mixed-content-problemen waarbij HTTP-bronnen op HTTPS-pagina's worden geladen. Het onderzoekt ook uw beveiligingskoptekst-en, waaronder HSTS, om te bevestigen dat uw HTTPS-opzet compleet en correct geconfigureerd is.

Vorig artikel

Wat is robots.txt?

Volgend artikel

Wat zijn DNS-records?

Gerelateerde artikelen

Wat is een meta description?

Wat is mixed content?

Wat is lazy loading?

Alle artikelen bekijken

Controleer nu uw WordPress-site

InspectWP analyseert uw WordPress-site op beveiligingsproblemen, SEO-problemen, GDPR-naleving en prestaties — gratis.

Analyseer uw site gratis