mijn.host logo
,

Is het nog nodig om een SSL-certificaat te kopen?

Joost Boer avatar

Door

Joost Boer

Publicatiedatum

“Fijn dat ik een website heb, maar moet ik nu een SSL-certificaat kopen?”

Het is een vraag die veel kersverse website eigenaren zichzelf stellen. Je klikt door naar je eigen site en ziet plots een rood uitroepteken in je browser met de melding “Niet veilig.” Paniek. Een kennis van mij zag dit en gaf direct 160 euro uit voor een betaald SSL-certificaat.

HTTPS zorgt voor een veilige, versleutelde verbinding tussen je website en je bezoekers. Zonder dit certificaat tonen Chrome en andere browsers een waarschuwing dat je site onveilig is. Niet bepaald iets waarvan je wilt dat potentiële klanten het te zien krijgen.

Maar hier is het goede nieuws: de gedachte dat je moet betalen voor een veilige verbinding is in de meeste gevallen compleet achterhaald. In dit stuk leg ik je uit waarom een gratis SSL-certificaat in 99% van de gevallen de beste keuze is.

Wat is SSL ook alweer en waarom moet je site het hebben?

SSL (Secure Sockets Layer) is de technologie die alle data tussen je website en je bezoeker versleutelt. Denk aan inloggegevens, contactformulieren of betaalgegevens –  alles wat je niet wilt dat hackers kunnen meelezen wanneer ze het internetverkeer afluisteren.

De 3 grote voordelen van SSL zijn:

Veiligheid. Het beschermt de gegevens van je bezoekers tegen afluisteren en manipulatie tijdens het transport. Zonder SSL kunnen hackers op openbare wifi-netwerken gemakkelijk wachtwoorden, creditcardgegevens en andere gevoelige informatie onderscheppen.

Vertrouwen. Een veilige HTTPS-verbinding geeft bezoekers een veilig gevoel. Browsers zoals Chrome en Firefox tonen sinds 2018 een duidelijke “Niet veilig” waarschuwing voor alle HTTP-sites. Deze waarschuwing stuurt bezoekers meestal direct weg.

SEO. Google gebruikt HTTPS als rankingfactor sinds 2014 en heeft dit steeds zwaarder laten wegen. Websites zonder SSL-certificaat krijgen een lagere positie in zoekresultaten, wat direct invloed heeft op je vindbaar.

Dat SSL een noodzaak is moge duidelijk zijn, maar hoeveel zou het moeten kosten?

Betaald vs. gratis SSL

Wat is nu eigenlijk het verschil tussen een gratis certificaat van €0 en een betaald certificaat van €50-€200 per jaar?

Voor de bezoeker en de technische versleuteling: absoluut geen verschil. Beide gebruiken dezelfde encryptiesterkte (meestal 256-bit AES encryptie) en bieden identieke bescherming tegen man-in-the-middle aanvallen.

Het gratis alternatief is Let’s Encrypt – een non-profit certificeringsautoriteit die werd opgericht door de Internet Security Research Group (ISRG). Dit initiatief wordt ondersteund door bedrijven als Google, Meta, Mozilla, Cisco en Electronic Frontier Foundation. Hun missie is simpel: het hele web versleutelen, gratis en voor iedereen toegankelijk.

Let’s Encrypt lanceerde in 2015 en heeft sindsdien de SSL-markt zo goed als overgenomen. Waar SSL-certificaten vroeger alleen weggelegd waren voor grote bedrijven die honderden euro’s per jaar konden betalen, maakt Let’s Encrypt HTTPS toegankelijk voor iedere website eigenaar.

Zelfs de grootste namen gebruiken gratis SSL

Het beste bewijs dat gratis SSL de nieuwe norm is geworden is dat de grootste en meest bekende websites ter wereld erop vertrouwen.

Let’s Encrypt heeft volgens recente statistieken inmiddels een marktaandeel van meer dan 63% van alle SSL-certificaten wereldwijd. Ze beveiligen meer dan 700 miljoen websites.

Interessant detail: in Nederland is het gebruik van Let’s Encrypt nog hoger. Onderzoek van SIDN Labs toont aan dat maar liefst 75% van alle .nl-websites gebruik maakt van Let’s Encrypt certificaten.

Een overzicht van bekende websites die Let’s Encrypt gebruiken:

Nederlandse websites:

  • Veel lokale nieuwssites en blogs
  • Duizenden MKB-websites met .nl-extensies
  • Bijna iedere hosting provider biedt standaard Let’s Encrypt aan
  • Veel Nederlandse webshops en portfolio-sites

Informatie & nieuws:

  • Wikipedia.org
  • The New York Times (nytimes.com)
  • Reuters
  • USA Today

Technologie & ontwikkeling:

  • Cloudflare.com (ja, zelfs een bedrijf dat SSL-diensten verkoopt gebruikt Let’s Encrypt)
  • WordPress.org (het platform waarop 43% van alle websites draait)
  • Mozilla (makers van Firefox)
  • Stack Overflow

E-commerce & diensten:

  • Shopify (voor veel van hun subdomeinen)

Onderwijs & onderzoek:

  • Stanford University
  • Nature (prestigieus wetenschappelijk tijdschrift)

Overheid:

  • National Security Agency (ja, zelfs de NSA vertrouwt op gratis SSL)

Wat opvalt is de diversiteit: van Nederlandse MKB-sites tot internationale nieuwsmedia, van tech-platforms tot universiteiten en overheidsinstellingen. Dit zijn organisaties met miljoenenbudgetten en teams vol cybersecurity-experts.

Als zij kiezen voor gratis SSL, waarom zou jij dan betalen?

Hier is waarom deze organisaties massaal voor Let’s Encrypt kiezen:

Kostenefficiëntie. Geen onnodige uitgaven voor essentiële beveiliging. Zelfs grote bedrijven zien geen reden om geld uit te geven aan iets dat gratis net zo goed werkt.

Automatisering. Let’s Encrypt werkt volledig geautomatiseerd via het ACME-protocol. Certificaten worden automatisch aangevraagd, geïnstalleerd en na 90 dagen verlengd. Bij traditionele betaalde certificaten moet je vaak handmatig certificaten verlengen, CSR-codes genereren, en e-mails bijhouden.

Betrouwbaarheid. De technologie is bewezen en wordt breed ondersteund door alle moderne browsers. Let’s Encrypt draait op dezelfde technische infrastructuur als betaalde alternatieven en wordt gecontroleerd door externe auditors.

Ter vergelijking: bij traditionele betaalde certificaten loop je tegen verschillende praktische problemen aan. Je moet certificaten handmatig verlengen (en websites gaan regelmatig offline omdat webmasters vergeten zijn om dit op tijd te doen), je moet CSR-codes genereren via command line tools, en je bent afhankelijk van e-mail-communicatie met de certificate authority. Let’s Encrypt automatiseert dit complete proces.

Is er dan nooit een reden voor een betaald certificaat?

Voor de volledigheid: er zijn scenario’s waar een betaald certificaat zinvol kan zijn. Maar dit betreft minder dan 1% van alle websites.

Extended Validation (EV) Certificaten

Extended Validation certificaten waren jarenlang de gouden standaard voor grote bedrijven. Deze certificaten kostten €200-€800 per jaar en toonden de bedrijfsnaam in een groene balk in de browser.

Het probleem: browsers hebben deze visuele indicatoren grotendeels afgeschaft.

Chrome schaftte de groene bedrijfsnaam al af in 2019. Firefox en andere browsers volgden. De visuele meerwaarde waar bedrijven honderden euro’s voor betaalden, bestaat niet meer.

Waar worden EV-certificaten nog gebruikt?

Grote banken gebruiken EV-certificaten soms nog, maar dit is meer een kwestie van compliance dan van technische noodzaak. De Europese Payment Services Directive (PSD2) schrijft bijvoorbeeld voor dat betaaldienstverleners “sterke authenticatie” moeten gebruiken, wat sommige juridische afdelingen vertalen naar EV-certificaten.

Het ironische is dat moderne phishing-aanvallen juist misbruik maken van het feit dat de meeste gebruikers het verschil tussen EV en gewone certificaten niet meer kunnen zien. Cybercriminelen registreren domein-namen als “paypa1.com” (met een cijfer 1 in plaats van de letter l) en gebruiken daar gewoon gratis SSL voor. Voor de bezoeker ziet dit er precies zo veilig uit als de echte PayPal-site.

Waarom SSL-verzekeringen weinig waard zijn

Veel betaalde SSL-certificaten komen met een “garantie” of “verzekering” van €10.000 tot €1.750.000. Dit klinkt indrukwekkend, maar in de praktijk is dit geld dat je nooit zult zien.

Wat dekt de garantie eigenlijk?

SSL-garanties dekken alleen schade die ontstaat doordat de Certificate Authority (CA) zelf een fout maakt bij het uitgeven van een certificaat. Bijvoorbeeld: als DigiCert per ongeluk een certificaat voor google.com zou uitgeven aan een hacker, en deze hacker zou daarmee schade aanrichten, dan zou de garantie theoretisch van toepassing zijn.

Wat dekt de garantie NIET?

  • Phishing-aanvallen (veruit de meest voorkomende vorm van online fraude)
  • Malware op je website
  • DDoS-aanvallen
  • Diefstal van creditcardgegevens door andere oorzaken
  • Hacking van je website
  • Fouten van jezelf of je bezoekers

Waarom zie je nooit claims?

In de meer dan 10 jaar dat deze garanties bestaan, zijn er vrijwel geen publiek bekende uitkeringen geweest. De reden is simpel: CA’s maken bijna nooit fouten bij het uitgeven van certificaten. Moderne validatieprocedures zijn zo strikt dat verkeerde uitgifte praktisch niet voorkomt.

Bovendien is het voor gedupeerden extreem lastig om te bewijzen dat hun schade direct het gevolg is van een CA-fout. Je moet aantonen dat:

  1. De CA een fout heeft gemaakt
  2. Deze fout de directe oorzaak was van jouw schade
  3. Je geen andere fout hebt gemaakt die tot de schade leidde

Voor website-eigenaren geldt bovendien dat alleen eindgebruikers een claim kunnen indienen. Niet de eigenaar van het certificaat zelf. Je betaalt dus voor een verzekering waarvan alleen jouw bezoekers gebruik kunnen maken, voor scenario’s die praktisch nooit voorkomen.

Organization Validated (OV) certificaten

Organization Validated certificaten zitten qua prijs tussen Domain Validated (zoals Let’s Encrypt) en Extended Validation certificaten. Ze kosten €50-€150 per jaar en de CA controleert of je bedrijf daadwerkelijk bestaat.

Het probleem: moderne browsers tonen dit niet meer aan bezoekers. Een OV-certificaat ziet er voor gebruikers precies hetzelfde uit als een gratis DV-certificaat. Je betaalt dus voor validatie die niemand kan zien.

OV-certificaten hebben nog beperkte waarde in B2B-omgevingen waar API’s communiceren en partijen certificaatdetails programmatisch controleren. Voor gewone websites zijn ze overbodig.

De realiteit voor Nederlandse MKB-websites

Voor een gewone bedrijfswebsite, webshop, blog of portfolio-site is de meerwaarde van een betaald certificaat verwaarloosbaar tot volledig afwezig. Je betaalt voor voordelen die moderne browsers niet meer tonen, garanties die nooit uitbetaald worden, en validatie die niemand kan zien.

Het enige wat betaalde certificaten bieden is een warm gevoel en misschien indruk maken op je IT-leverancier. Maar je bezoekers en Google zien geen verschil.

De encryptie van een gratis Let’s Encrypt certificaat is technisch identiek aan die van een certificaat van €200. Beide gebruiken dezelfde 256-bit AES encryptie, beide worden door alle browsers vertrouwd, en beide bieden dezelfde bescherming tegen man-in-the-middle aanvallen.

Het verschil zit hem niet in de technologie, maar in verouderde businessmodellen. Certificate Authorities die jarenlang veel geld verdienden aan het verkopen van SSL-certificaten, proberen hun bestaansrecht te rechtvaardigen door functies te verkopen die moderne browsers niet meer ondersteunen.

Bij mijn.host is veiligheid inbegrepen

Mocht je een betaald SSL-certificaat tóch nodig hebben, dan kun je die via mijn.host gewoon krijgen.

Maar alle mijn.host hostingpakketten zijn standaard gratis uitgerust met een Let’s Encrypt SSL-certificaat. En voor het grote gros van alle websites zijn deze meer dan voldoende.

Joost Boer avatar
Joost Boer
Joost heeft zich sinds 2016 diep ondergedompeld in de wereld van WordPress. Op mijn.host deelt hij zo nu en dan praktische adviezen rondom WordPress website ontwikkeling en online marketing.

Geplaatst

in

,

Tags:

reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *