SSL Check: Volledige Verificatie van het SSL/TLS-Certificaat van Uw Site

HTTPS en SSL-certificaten: waarom ze essentieel zijn

HTTPS is niet langer optioneel: sinds 2018 markeert Chrome alle HTTP-sites als "Niet beveiligd", Google bestraft sites zonder HTTPS in de ranking, en moderne APIs vereisen beveiligde verbindingen. De basis van HTTPS is het SSL/TLS-certificaat, een digitaal document dat de identiteit van een domein verbindt aan een publieke cryptografische sleutel. Wanneer een browser verbinding maakt met een HTTPS-site, verifieert hij het certificaat om er zeker van te zijn dat hij communiceert met de legitieme server en niet met een aanvaller (man-in-the-middle).

Een verkeerd geconfigureerd SSL-certificaat veroorzaakt browserfouten die bezoekers afschrikken, schaadt SEO en kan gebruikersgegevens blootstellen. De meest voorkomende problemen zijn: verlopen certificaat, onvolledige certificaatketen, niet-overeenkomende hostname, verouderde TLS-protocollen en zwakke cipher suites. Onze SSL Check verifieert al deze aspecten in seconden en biedt een algeheel cijfer en specifieke aanbevelingen voor elk gevonden probleem.

Wat de SSL Check verifieert

$ ssl-check --target esempio.com

[Grade]     A+
[Subject]   esempio.com
[Issuer]    Let's Encrypt Authority X3
[Protocol]  TLS 1.3
[Cipher]    TLS_AES_256_GCM_SHA384
[Key Size]  2048 bit RSA
[Valid]     2026-01-15 → 2026-04-15
[Days Left] 41 days
[Chain]     3 certificati (leaf → intermediate → root)
[SAN]       esempio.com, www.esempio.com, api.esempio.com

Het cijfer loopt van A+ (optimale configuratie) tot F (kritieke problemen). Een A-cijfer vereist: TLS 1.2+ met beveiligde ciphers, geldig certificaat met volledige keten, sleutel van minstens 2048 bits en actief HSTS. Voor A+ is ook HSTS preload nodig. Cijfer B geeft acceptabele maar niet optimale ciphers aan. C of lager betekent dat TLS 1.0/1.1 actief is of zwakke ciphers aanwezig zijn — dringend te corrigeren. Controleer ook de HTTP-beveiligingsheaders met Security Headers voor een compleet beeld.

De certificaatketen

Een SSL-certificaat werkt niet alleen: het maakt deel uit van een vertrouwensketen. Het certificaat van uw site (leaf) is ondertekend door een tussenliggende CA, die op zijn beurt is ondertekend door een root-CA die aanwezig is in de trust store van de browser. Als de keten onvolledig is (een tussencertificaat ontbreekt), tonen sommige browsers fouten terwijl andere dat niet doen (omdat ze automatisch ontbrekende tussencertificaten downloaden). Voor een diepgaande ketenverificatie gebruikt u Certificate Chain dat elke schakel visualiseert en problemen identificeert.

Om te controleren wie geautoriseerd is om certificaten voor uw domein uit te geven, configureert u CAA-records en verifieert u ze met CAA Record Lookup. CAA-records zijn het DNS-mechanisme dat beperkt welke Certificate Authorities certificaten mogen uitgeven, en voegen een beschermingslaag toe tegen ongeautoriseerde uitgifte.

Vernieuwing en automatisering

Let's Encrypt-certificaten zijn 90 dagen geldig, commerciele doorgaans 1 jaar. Late vernieuwing is de meest voorkomende oorzaak van SSL-fouten in productie. De oplossing is automatisering: certbot en andere ACME-clients vernieuwen Let's Encrypt-certificaten automatisch. Stel voor commerciele certificaten herinneringen in minstens 30 dagen voor de vervaldatum. Monitor de vervaldatum van uw certificaten regelmatig met de SSL Check — een certificaat dat zonder waarschuwing verloopt is een vermijdbaar incident.

Bij het vernieuwen van een certificaat, verifieer dat het nieuwe certificaat alle benodigde SANs (Subject Alternative Names) dekt. Een veelgemaakte fout is het vernieuwen van het certificaat voor example.com terwijl www.example.com of api.example.com wordt vergeten. Na vernieuwing test u onmiddellijk met de SSL Check om te bevestigen dat het nieuwe certificaat correct wordt geserveerd, de keten compleet is en het cijfer ongewijzigd is.