Wat is een SSL Certificaat?
Een SSL certificaat (Secure Sockets Layer certificaat) is een digitaal certificaat dat de identiteit van een website authenticeert en een gecodeerde verbinding tot stand brengt tussen een webserver en browser. Hoewel SSL is vervangen door TLS (Transport Layer Security), blijft de term "SSL certificaat" veel gebruikt. Deze certificaten zijn essentieel voor HTTPS websites, het weergeven van het hangslot pictogram dat de veiligheid signalen aan bezoekers.
Hoe SSL-certificaten werken
Het handdrukproces
1. Browser requests secure connection
2. Server sends SSL certificate + public key
3. Browser verifies certificate with CA
4. Browser creates session key, encrypts with public key
5. Server decrypts with private key
6. Encrypted session established
Certificaattypen
Door validatieniveau
| Type | Validatie | Tijd | Vertrouwensniveau | Geval gebruiken |
|---|---|---|---|---|
| DV (domein) | Alleen domeineigenschap | Notulen | Basis | Blogs, kleine sites |
| OV (Organisatie) | Bedrijfskeuring | 1-3 dagen | Middel | Bedrijfswebsites |
| EV (uitgebreid) | Uitgebreide controle | 1-2 weken | Hoogste | Banken, elektronische handel |
Door dekking
| Type | Omslagen | Voorbeeld |
|---|---|---|
| Enig domein | Eén domein | example.com |
| Wildcard | Domein + alle subdomeinen | *.example.com |
| Multidomein (SAN) | Meerdere specifieke domeinen | example.com, example.org |
Certificaatauthoriteiten (CA's)
Vertrouwde entiteiten die certificaten afgeven:
- Commercieel: DigiCert, Sectigo, GlobalSign
- Free: Let's Encrypt, ZeroSSL
- Cloud providers: AWS Certificate Manager, Cloudflare
Een SSL-certificaat verkrijgen
Gratis opties (laten we versleutelen)
# Using Certbot
sudo certbot --nginx -d example.com -d www.example.com
# Auto-renewal
sudo certbot renew --dry-run
Commercieel aankoopproces
1. Genereer CSR (Certificate Signing Request)
2. Submit to Certificate Authority
3. Volledige validatie (DV/OV/EV)
4. Download en installeer certificaat
DNS-configuratie (CAA-records)
Vermeld welke CA's certificaten kunnen afgeven:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "letsencrypt.org"
Certificaatcomponenten
| Onderdeel | Betreft |
|---|---|
| Openbare sleutel | Versleutelt gegevens verzonden naar de server |
| Privésleutel | Gegevens ontcijfert (geheim bewaren!) |
| Certificaatketen | Links naar vertrouwde root CA |
| Geldigheidsperiode | Geldigheidsduur (meestal 90 dagen - 1 jaar) |
Beste praktijken
1. Gebruik TLS 1.2+: Oudere protocollen uitschakelen
2. Automatische vernieuwing: Voorkom uitval in het verloop
3. Beveiligde privésleutel: Nooit delen of blootleggen
4. Gebruik sterke cijfers: Beveiligde cipher suites instellen
5. Implementatie HSTS: HTTPS-verbindingen forceren
6. Monitor expiration: Waarschuwingen instellen voor het verstrijken van de termijn
Gemeenschappelijke vraagstukken
- Certificaatafwijking: Domein komt niet overeen met certificaat
- Verlopen certificaat: Geldigheidsperiode overschreden
- Chain incomplete: Ontbrekende tussencertificaten
- Gemengde inhoud: HTTP-bronnen op HTTPS-pagina
SSL-certificaten zijn van fundamenteel belang voor webbeveiliging, waardoor gecodeerde communicatie mogelijk is die gevoelige gegevens tijdens de transmissie beschermt.