Een SSL-certificaat is essentieel voor het upgraden van een website van het HTTP-protocol naar het HTTPS-protocol.

SSL-certificaten zijn een essentieel onderdeel van de migratie van websites van het HTTP-protocol naar het HTTPS-protocol. Het gaat om een digitaal certificaat dat een versleutelde verbinding tussen de browser en de server opzet, waardoor de veiligheid en geheimhouding van de overgedragen gegevens wordt gewaarborgd. In een tijd waarin netwerksicherheid steeds meer aandacht krijgt, zijn SSL-certificaten een must-have voor het bouwen van websites, vooral voor websites waarbij gebruikers inloggen of online transacties plaatsvinden. Ze beschermen niet alleen gevoelige informatie, maar vergroten ook het vertrouwen van gebruikers en hebben positieve gevolgen voor de zoekmachineoptimalisatie (SEO). Het is dus van belang dat website-eigenaren en ontwikkelaars begrijpen hoe SSL-certificaten werken, welke soorten er zijn, en hoe je ze moet kiezen en implementeren.

Hoe een SSL-certificaat werkt

De kern van het SSL/TLS-protocol is het gebruik van een combinatie van asymmetrische en symmetrische versleuteling om een veilige communicatieverbinding op te bouwen. Dit proces wordt voornamelijk gerealiseerd door de zogeheten “SSL-handshake”.

Het combineren van asymmetrische en symmetrische versleuteling

Het SSL/TLS-protocol combineert op intelligente wijze de voordelen van twee verschillende versleutelingsmethoden. Asymmetrische versleuteling, meestal gebaseerd op algoritmen als RSA of ECC, wordt gebruikt in de eerste fase van de handshaking voor authenticatie en het overdragen van de sessie-sleutel. Het kenmerk van asymmetrische versleuteling is dat er twee verschillende sleutels worden gebruikt voor versleutelen en ontsleutelen: een openbare sleutel en een privé-sleutel. De openbare sleutel kan worden gedeeld met anderen en wordt gebruikt voor het versleutelen van berichten, terwijl de privé-sleutel alleen door de server wordt bewaard en wordt gebruikt voor het ontsleutelen van de berichten.

Aanbevolen leesmateriaal Ultimatumgids voor SSL-certificaten: Typen, werking en beste praktijken voor het implementeren。

Symmetrische versleuteling, zoals de AES-algoritme, wordt gebruikt om de daadwerkelijk overgedragen gegevens op het applicatieniveau te versleutelen nadat de handshaking is afgerond. Het kenmerk van symmetrische versleuteling is dat dezelfde sleutel wordt gebruikt voor zowel het versleutelen als het ontsleutelen van de gegevens. De verwerkingstijd is snel, waardoor deze methode zeer geschikt is voor het versleutelen van grote hoeveelheden data. Een van de belangrijkste doelen van de SSL-handshaking is om een symmetrische sessiesleutel af te spreken tussen de client en de server, een sleutel die alleen door beide partijen bekend is.

Bluehost SSL Certificaat

BlueHost SSL Certificaten bieden 1-2 jaar verlengingsopties, ondersteuning voor RSA of ECC algoritmen, sleutellengtes tot 4.096 bits en tot $1,75 miljoen aan bescherming.

Vanaf $7,49 USD per maand

Toegang tot Bluehost SSL Certificaten →

hosting.com SSL-certificaat

Betaalbare DV, OV, EV SSL-certificaten, tot 256-bits encryptie, 5 ~ 1 miljoen USD beschermingsbedrag, 24/7 ondersteuning

Vanaf $2,5 USD per maand

Bezoek hosting.com SSL Certificaten →

Het volledige SSL/TLS-handshake-proces

Als een gebruiker een HTTPS-websiteadres intoet in de adresbalk van zijn browser, startt het SSL/TLS-handshake-proces. Eerst stuurt de client een “Client Hello”-bericht naar de server, waarin de ondersteunde SSL/TLS-versies, een lijst met beschikbare encryptiesets en een willekeurig getal worden opgenomen.

De server beantwoordt met een bericht “Server Hello”, waarin de door beide partijen ondersteunde versie van het protocol en het gebruikte versleutelingspakket worden gekozen. Vervolgens stuurt de server zijn eigen willekeurige getal en een digitale certificaat. Dit certificaat bevat de publieke sleutel van de server, evenals een digitale handtekening die is afgegeven door een betrouwbare certificaatuitgevende instantie (CA).

Nadat de client het certificaat heeft ontvangen, wordt de geldigheid ervan gecontroleerd. Hiervoor wordt het lokale CA-rootcertificaat of het in het besturingssysteem ingebouwde CA-rootcertificaat gebruikt om de handtekening van het servercertificaat te verifiëren. Als de verificatie is geslaagd, vertrouwt de client de identiteit van de server.

Vervolgens genereert de client een “pre-masterkey”, die wordt versleuteld met de publieke sleutel uit het servercertificaat en naar de server wordt gestuurd. De server ontsleutelt deze met zijn eigen privé sleutel, waardoor de pre-masterkey wordt verkrijgt. Hierdoor beschikken zowel de client als de server over twee willekeurige cijfers (de willekeurige cijfers van de client en de server) en de pre-masterkey. Beiden berekenen vervolgens met dezelfde algoritme de uiteindelijke symmetrische sessiesleutel.

Aanbevolen leesmateriaal SSL证书是什么：从入门到精通，确保网站数据传输安全。

Tijdens het handenschudden sturen beide partijen elkaar een “Finished”-bericht dat is versleuteld met de nieuw genereerde sessie-sleutel, om de juistheid van de sleutel te verifiëren. Daarna worden alle gegevens op applicatieniveau versleuteld met deze symmetrische sessie-sleutel verstuurd.

De belangrijkste typen SSL-certificaten en hoe je deze selecteert

Afhankelijk van het niveau van verificatie en de toepassingsomstandigheden worden SSL-certificaten in principe in drie categorieën ingedeeld. Het kiezen van het juiste type certificaat is een belangrijk stap om een balans tussen veiligheid en kosten te bewaren.

De belangrijkste verschillen tussen DV-, OV- en EV-certificaten zijn als volgt:

Een Domain Validation (DV)-certificaat is de meest basistische type van certificaat. De certificatieautoriteit (CA) controleert alleen of de aanvraaggever de controle over de domeinnaam heeft, meestal door de e-mailadressen van de domeinbeheerder te verifiëren of door bepaalde DNS-recorden in te stellen. De verificatie van dit type certificaat is snel en kost minder geld, waardoor het vooral wordt gebruikt voor persoonlijke websites, blogs of testomgevingen. Het biedt echter alleen basisbeveiliging (versleuteling). In de adresbalk van de browser wordt een sleutelicoon en een HTTPS-voorvoegsel weergegeven.

UltaHost SSL-certificaat

DV-, EV- en OV-certificaten. Ondersteuning voor een maximale dekking van 1.750.000 Amerikaanse dollars. Ondersteuning voor een onbeperkt aantal subdomeinen. Ondersteuning voor iOS- en Android-apps. Aanbieding: 20% voor $15,95 Amerikaanse dollars per maand. Garantie op terugbetaling binnen 30 dagen.

Bezoek UltaHost.

OV-certificaten (Organizational Validation) vereisen een strengere verificatie. Naast de controle van de domeinnaam-eigendom, onderzoekt de CA (Certificate Authority) ook de echtheid en legitiemheid van de organisatie die het certificaat aanvraagt, bijvoorbeeld door de informatie van de organisatie te controleren in het handelsregister. Op OV-certificaten staat de naam van de aanvragende organisatie vermeld, en gebruikers kunnen deze informatie zien door op het sloticoontje in hun browser te klikken. OV-certificaten zijn geschikt voor de websites van bedrijven en algemene commerciële websites, en bieden meer vertrouwen.

EV (Extended Validation) certificaten worden onder de strengste controles geplaatst. De certificatieautoriteiten (CA's) moeten een uitgebreide onderzoek naar de organisatie uitvoeren en zich houden aan wereldwijd gestelde standaarden. Op websites waar EV-certificaten zijn geïnstalleerd, verandert de adresbalk in sommige browsers naar groen en wordt de naam van het bedrijf direct weergegeven. Dit vormt het hoogste niveau van betrouwbaarheid voor websites die een hoge veiligheidsniveau vereisen, zoals in de financiële en e-commerce-branche.

Eén domeinnaam, meerdere domeinnamen en wildcardcertificaten.

Naast het bevestigingsniveau worden SSL-certificaten ook gesorteerd op het aantal domeinnamen dat ze dekken. Een certificaat voor één domeinnaam beschermt alleen één volledig gekwalificeerde domeinnaam (FQDN), bijvoorbeeld www.example.com 或 example.com。

Aanbevolen leesmateriaal Wat is een SSL-certificaat? Van het principe, de typen tot een volledige handleiding voor het aanvragen en installeren.。

Een multi-domeinnaamcertificaat, of SAN-certificaat (Subject Alternative Name), biedt de mogelijkheid om meerdere verschillende domeinnamen in één certificaat op te nemen, zowel de hoofddomeinnaam als de subdomeinnamen. Dit maakt het gemakkelijker om meerdere gerelateerde websites te beheren.

Wildekaartcertificaten zijn zeer geschikt voor situaties waarin er een groot aantal subdomeinen zijn. Eén wildkaartcertificaat kan een domein en alle onderliggende subdomeinen beschermen. *.example.com Het kan beschermen tegen a.example.com、b.example.com、shop.example.com Dit is zeer waardevol voor grote online platforms of SaaS-diensten.

Hoe kun je een SSL-certificaat verkrijgen en installeren?

Het eerste stap in het activeren van HTTPS voor een website is het verkrijgen en correct installeren van een SSL-certificaat. De procedure begint met het genereren van een sleutelpaar en eindigt met het opzetten van het certificaat op de server.

Genereren van een verzoek om ondertekening van een CSR-certificaat en verificatie hiervan

Het proces van certificaataanvraag wordt meestal op een server gestart. Eerst moet er een privékluwelfail en een Certificate Signing Request (CSR)-file worden gemaakt op de server. De privékluwel moet uiterst veilig worden opgeslagen, aangezien deze de echtheid van de server aangeeft; een lek van de privékluwel betekent dat de veiligheid van het certificaat niet langer gewaarborgd is.

De CSR (Certificate Signing Request)-file bevat de publieke sleutel van de server en informatie over de aanvraagsteller, zoals de domeinnaam, de naam van de organisatie en de locatie. De aanvraagsteller stuurt de CSR-file naar de gekozen certificaatuitgevende instantie (CA). De CA verifieert de ingediende informatie afhankelijk van het type certificaat dat wordt gevraagd (DV, OV of EV). Bij een DV-certificaat stuurt de CA bijvoorbeeld een verificatie-e-mail naar het geregistreerde e-mailadres van de domeinnaam, of vereist het instellen van een specifiek DNS TXT-record. Na het slagen van de verificatie wordt het SSL-certificaat afgegeven.

Server-side deployment en configuratie

Nadat je het certificaat dat is uitgegeven door de CA (Certificate Authority) hebt ontvangen, moet je dit samen met het eerder gemaakte privékey-bestand opslaan in het softwarepakket van de webserver, zoals Apache, Nginx of IIS. Na de installatie moet je controleren of de HTTPS-dienst goed werkt. Online SSL-testtools kunnen helpen om te bevestigen of het certificaat correct is geïnstalleerd, of er veilige versleutelingsmethoden worden gebruikt, en of er bekende beveiligingslekken zijn.

De implementatie betekent niet alleen het installeren van certificaten, maar ook het instellen van belangrijke serverconfiguraties. Denk hierbij aan het omleiden van alle HTTP-verzoeken naar HTTPS (met een 301-bericht), het verplichten van veilige verbindingen, het activeren van het HSTS-beleid (HTTP Strict Transport Security) om browsers te instrueren om de website alleen via HTTPS te bezoeken, en het uitschakelen van oude, onveilige SSL-protocollen (SSLv2 en SSLv3) in plaats van TLS 1.2 of een hogere versie.

Het onderhouden en beheersen van SSL-certificaten

Het installeren van een SSL-certificaat is niet een eenmalig proces. Effectieve levenscyclusbeheer is een belangrijk onderdeel om de continuële veiligheid te garanderen. Dit omvat het updaten van het certificaat wanneer het vervalt, het annuleren van ongeldige certificaten en het bewaken van de prestaties van het systeem.

Certificatenlevenscyclus en vernieuwing

SSL-certificaten zijn niet eeuwig geldig. De huidige standaard is dat een certificaat maar maximaal 398 dagen (ongeveer 13 maanden) geldig is. Dit tijdsbestek is vastgesteld door het CA/B-forum met het doel de regelmatige vervanging van certificaten en veiligheidsaudits te bevorderen, waardoor de langdurige risico's van een lek van de privéknoop worden verminderd. Voor het verstrijken van de geldigheidsperiode wordt het certificaat ongeldig, waardoor er veiligheidswaarschuwingen op de website worden weergegeven. Dit heeft een negatieve invloed op de gebruikerservaring en de beschikbaarheid van de website.

因此，监控证书的到期日期至关重要。建议设置日历提醒，并在到期前30天开始准备续订。续订流程与初次申请类似，都需要生成新的CSR并提交给CA进行验证。理想的做法是，建立自动化的证书续订机制，尤其是在使用Let's Encrypt等提供的免费、自动化的证书服务时，可以有效避免因证书过期而导致的服务中断。

Certificaten ontkrachten en de veiligheid van privé-sleutels

Tijdens de geldigheid van het certificaat moet, indien de privé-sleutel van de server ongelukkig wordt verloren of gelekt, of als de gegevens van de organisatie die het certificaat gebruikt veranderen (bijvoorbeeld omdat de domeinnaam niet langer wordt gebruikt), onmiddellijk een verzoek worden gedaan bij de CA (Certificate Authority) om het certificaat te annuleren. Het annuleerde certificaat wordt toegevoegd aan de lijst met annuleerde certificaten (CRL: Certificate Revocation List) of wordt door het Online Certificate Status Protocol (OCSP) als ongeldig gemarkeerd.

Het behouden van de veiligheid van de privéknoop is de basis voor de veiligheid van het hele SSL/TLS-systeem. De privéknoop moet versleuteld op de server worden opgeslagen, en de toegang moet strikt worden beheerd; alleen de benodigde serviceprocessen mogen de privéknoop lezen. De privéknoop mag onder geen omstandigheden via onbeveiligde kanalen worden overgedragen, noch mag deze onversleuteld in codebibliotheken of back-upbestanden worden opgeslagen.

Overwegingen voor het optimaliseren van de prestaties van HTTPS

Het activeren van HTTPS leidt inderdaad tot meer verwerkingstijd op de server vanwege de versleutelings- en ontsleutelingsprocessen. Dankzij de ontwikkeling van moderne hardware is deze performance-afname echter minimaal geworden. Door het gebruiken van TLS-sessieherhaling (session reuse), het optimaliseren van de keuze van versleutelingspakketten (bijvoorbeeld pakketten die AES-GCM, ChaCha20-Poly1305 of ECDHE ondersteunen voor het sleuteluitwisselingsproces), kunnen de handshaking-tijden en de belasting op de server aanzienlijk worden verminderd.

Daarnaast kan het gebruik van het TLS 1.3-protocoll de handshaking-tijd nog verder verkorten, omdat het de handshaking-proces vereenvoudigt. Het gebruik van HTTPS weigeren onder het voorwendsel van prestaties is in 2026 geen geldig excuus meer.

Samenvatting

In alle opzichten vormen SSL-certificaten de basis voor het opbouwen van een veilige en betrouwbare internetomgeving. Ze bieden bescherming tegen ongeautoriseerde toegang tot gegevens door middel van een complexe versleutelingsprocedure, waardoor de geheimhoudingskwaliteit en integriteit van het dataverkeer tussen de gebruikersbrowser en de server wordt gewaarborgd. Het assortiment aan SSL-certificaten is divers, van eenvoudige DV-certificaten tot streng verifieerde EV-certificaten; van certificaten die alleen één domeinnaam beschermen tot wildcard-certificaten die meerdere domeinen omvatten. Het verkrijgen, implementeren en beheren van SSL-certificaten omvat een geheel proces dat het genereren van een privé sleutel, het indienen van een verificatieaanvraag, de configuratie van de server en het opnieuw afsluiten van het certificaat wanneer deze is verlopen, omvat. In de huidige internetomgeving is het van belang om voor websites effectieve SSL-certificaten te gebruiken en veilige HTTPS-verbindingen in te stellen. Dit is niet langer een optioneel onderdeel, maar een essentieel element om het vertrouwen van gebruikers te winnen, het professionele imago te versterken en zelfs de zoekresultaten te verbeteren.

Veelgestelde vragen (FAQ)

Vraagt het SSL-certificaat een kostenvergoeding?

SSL证书有免费和付费两种类型。像Let's Encrypt提供的免费DV证书，完全能够满足个人网站或博客的基本加密需求。付费证书则提供了更高级别的组织验证（OV）、扩展验证（EV），以及更长的有效期、更完善的赔偿保障和技术支持，适合商业网站和企业级应用。

Is een website absoluut veilig nadat er een SSL-certificaat is geïnstalleerd?

Dat is niet het geval. SSL/TLS is vooral bedoeld om de versleuteling van gegevens tijdens het overdragen te regelen, zodat deze niet kunnen worden afgeluisterd of veranderd. Het beschermt de website echter niet tegen andere beveiligingsproblemen, zoals inbreken op de server, SQL-injectie-problemen of XSS-problemen in de websiteprogrammering, of wanneer gebruikers te eenvoudige wachtwoorden gebruiken. Een SSL-certificaat is een essentieel onderdeel van de algemene beveiligingsstrategie van een website, maar vormt zeker niet de hele oplossing.

Mijn website bevat geen gevoelige informatie; moet ik dan nog een SSL-certificaat hebben?

Ja, dit is nodig. Allereerst markeren moderne browsers zoals Chrome en Firefox websites zonder HTTPS als “onveilig”, waardoor de eerste indruk en het vertrouwen van gebruikers direct worden beïnvloed. Daarnaast gebruiken zoekmachines (zoals Google) HTTPS als een positief kenmerk voor de rangschikking van zoekresultaten. Bovendien beschermt een versleutelde verbinding, zelfs voor niet-sensibiele gegevens, de website tegen het onderscheppen van verkeer, het invoegen van advertenties of schadelijk code, waardoor de integriteit van de website en de gebruikerservaring worden behouden.

Hoe kun je de informatie over het SSL-certificaat van een website bekijken?

Wanneer je een HTTPS-website bezoekt, toont de meeste browsers een sleutelicoon aan de linkerkant van de adresbalk. Als je op dit sleutelicoon klikt, zie je meestal een bericht dat de verbinding veilig is. Als je vervolgens op opties als “Certificaat is geldig” klikt, wordt een venster met details over het certificaat geopend. Hier kun je zien aan wie het certificaat is uitgegeven (de domeinnaam), de uitgevende partij (CA), de geldigheidsduur en de gebruikte versleutelingsalgoritmen.

Kan één SSL-certificaat worden gebruikt op meerdere servers?

Technisch gezien is dit mogelijk. Zolang de privékluizen hetzelfde zijn, kan hetzelfde certificaat worden gebruikt op meerdere servers die dezelfde diensten aanbieden, bijvoorbeeld een cluster van webservers achter een loadbalancer. Er zijn echter enkele belangrijke aandachtspunten op het gebied van beheer en veiligheid: de overdracht en opslag van de privékluizen tussen de servers moet absoluut veilig zijn. Als de privékluizel van één van de servers lekt, worden alle diensten die het certificaat gebruiken beïnvloed; in dat geval moet het certificaat onmiddellijk worden ingetrokken en opnieuw worden uitgegeven.