Je hebt het vast weleens gezien: dat slotje links in de adresbalk van je browser. Groen of grijs, afhankelijk van je browser. Dat slotje betekent dat de website SSL gebruikt. Maar wat is SSL precies, waarom heb je het nodig, en wat gebeurt er als je het niet hebt?
Laat me meteen een veelgehoord misverstand uit de weg ruimen. SSL wordt vaak gezien als “dat beveiligingsding dat mijn webhoster regelt”. En ja, technisch klopt dat meestal. Maar als ondernemer moet je begrijpen wat het doet en waarom het er is, zeker nu Google websites zonder SSL straft in de zoekresultaten en browsers ze als “niet veilig” bestempelen.
Wat is SSL in simpele termen? Het is een technologie die de verbinding tussen de browser van je bezoeker en jouw website versleutelt. Alles wat de bezoeker invoert of ontvangt, wordt onleesbaar voor iedereen die meekijkt. In dit artikel leg ik uit hoe dat werkt, waarom het onmisbaar is, en hoe je het regelt.
Wat is SSL precies?
SSL staat voor Secure Sockets Layer. Het is een beveiligingsprotocol dat een versleutelde verbinding opzet tussen een webserver en een browser. In de praktijk zorgt het ervoor dat gegevens die heen en weer worden gestuurd niet door derden kunnen worden onderschept of gelezen.
Een technische nuance: wat we vandaag de dag “SSL” noemen, is eigenlijk TLS (Transport Layer Security). TLS is de opvolger van SSL en veiliger. Maar de naam SSL is zo ingeburgerd dat iedereen, inclusief hostingbedrijven en certificaataanbieders, het nog steeds SSL noemt. In dit artikel doe ik dat ook.
Je herkent een SSL-beveiligde website aan twee dingen: het slotje in de adresbalk en het “https://” voor het webadres. De “s” in HTTPS staat voor “secure”. Een website zonder SSL gebruikt HTTP (zonder de s) en toont in de meeste browsers een waarschuwing “Niet beveilig” of “Not secure”.
Hoe werkt die versleuteling? Stel, een klant vult een contactformulier in op jouw website. Zonder SSL worden die gegevens als platte tekst over het internet verstuurd. In theorie kan iemand op hetzelfde wifi-netwerk die gegevens meelezen. Met SSL worden de gegevens versleuteld voordat ze worden verstuurd. Alleen jouw webserver heeft de sleutel om ze te ontcijferen.
Het SSL-certificaat is het bestand dat op je webserver wordt geinstalleerd en dat deze versleuteling mogelijk maakt. Het certificaat bevat informatie over je domein, de uitgever van het certificaat en de publieke sleutel die nodig is voor de versleuteling.
Er zijn verschillende typen SSL-certificaten:
- Domain Validation (DV) controleert alleen of je de eigenaar bent van het domein. Dit is het meest basale type en volstaat voor de meeste websites. Let’s Encrypt biedt deze gratis aan.
- Organization Validation (OV) controleert ook of je organisatie bestaat. Dit geeft iets meer vertrouwen maar de bezoeker merkt het verschil nauwelijks.
- Extended Validation (EV) vereist een uitgebreide controle van je bedrijf. Vroeger toonde dit de bedrijfsnaam in de adresbalk, maar de meeste browsers doen dat niet meer. De meerwaarde is beperkt geworden.
Voor de meeste MKB-websites is een DV-certificaat voldoende. Heb je een webshop waar betalingen worden verwerkt, dan kan een OV-certificaat een overweging zijn, maar het is geen vereiste.
Hoe werkt SSL?
Het technische proces achter SSL heet de “SSL-handshake”. Het klinkt ingewikkeld, maar het principe is logisch.
Wanneer een bezoeker naar jouw website navigeert, stuurt de browser een verzoek naar je webserver. De server reageert door het SSL-certificaat te sturen. De browser controleert of het certificaat geldig is: is het niet verlopen? Is het uitgegeven door een vertrouwde certificaatautoriteit? Klopt het domein?
Als alles in orde is, genereren de browser en de server samen een unieke sessiesleutel. Die sleutel wordt gebruikt om alle communicatie tijdens dat bezoek te versleutelen. Elke sessie heeft een eigen sleutel. Als iemand de sleutel van sessie A onderschept, kan die daar niets mee voor sessie B.
Dit hele proces duurt milliseconden. De bezoeker merkt er niets van. Geen vertraging, geen popups, geen extra stappen.
De versleuteling zelf gebruikt wiskundige algoritmen die in de praktijk onkraakbaar zijn. De huidige standaard is AES-256, wat betekent dat er 2^256 mogelijke sleutels zijn. Om dat in perspectief te plaatsen: alle computers op aarde hebben samen meer tijd nodig om die sleutel te kraken dan het universum oud is.
Wat je als ondernemer moet weten: SSL beschermt de verbinding, niet je website zelf. SSL voorkomt dat iemand meekijkt met het verkeer tussen je bezoeker en je server. Het beschermt je niet tegen hackers die je website binnendringen via een kwetsbaarheid in je CMS of WordPress. Daarvoor heb je andere beveiligingsmaatregelen nodig, zoals updates, sterke wachtwoorden en een firewall. Meer over websitebeveiliging lees je in ons artikel over cybersecurity.
Een punt dat vaak over het hoofd wordt gezien: SSL versleutelt ook de data die je website naar de bezoeker stuurt. Niet alleen formuliergegevens, maar ook de inhoud van je pagina’s. Dit is relevant in het kader van de AVG, die eist dat je passende technische maatregelen neemt om persoonsgegevens te beschermen. SSL is zo’n maatregel.
Waarom is SSL belangrijk voor bedrijven?
Er zijn vier concrete redenen waarom SSL onmisbaar is voor elke zakelijke website.
Ten eerste: Google gebruikt HTTPS als rankingfactor. Sinds 2014 al. Websites met SSL scoren beter in de zoekresultaten dan websites zonder. Het verschil is klein, maar bij competitieve zoekwoorden kan het het verschil maken tussen plek 5 en plek 8. En dat verschil in positie kan 30 tot 50% schelen in klikken. Als je serieus bezig bent met SEO, is SSL de absolute basis.
Ten tweede: browsers waarschuwen bezoekers als je geen SSL hebt. Chrome, Firefox, Safari en Edge tonen allemaal een waarschuwing bij HTTP-websites. “Niet beveiligd” in de adresbalk, en bij sommige acties een volledig scherm met de melding dat de verbinding niet privaat is. Uit onderzoek van GlobalSign blijkt dat 84% van bezoekers een aankoop afbreekt als ze een beveiligingswaarschuwing zien. Die waarschuwing kost je dus direct omzet.
Ten derde: de AVG eist passende technische beveiligingsmaatregelen. SSL is een van de meest basale maatregelen die je kunt nemen. Als je website persoonsgegevens verwerkt (contactformulieren, inloggegevens, bestelgegevens) en je hebt geen SSL, loop je een reeel risico bij een controle door de Autoriteit Persoonsgegevens.
Ten vierde: vertrouwen. Het slotje in de adresbalk is een visueel signaal dat je bezoekers vertelt dat je hun privacy serieus neemt. Dat klinkt klein, maar in een online omgeving waar mensen steeds bewuster omgaan met hun gegevens, telt elk signaal.
De kosten zijn minimaal. Een basis-SSL-certificaat via Let’s Encrypt is gratis. De meeste hostingproviders bieden het standaard aan bij hun pakketten. Betaalde certificaten kosten 10 tot 200 euro per jaar, afhankelijk van het type. Er is werkelijk geen reden om het niet te hebben.
Waar ik weleens een kanttekening bij maak: SSL alleen maakt je website niet “veilig”. Het is een onderdeel van een breder beveiligingsplaatje. Een website met SSL maar met verouderde software, zwakke wachtwoorden en geen backups is alsof je de voordeur op slot doet maar het raam openlaat.
SSL in de praktijk: voorbeelden voor MKB-bedrijven
Een SSL-certificaat klinkt technisch, maar de gevolgen zijn heel praktisch. Deze voorbeelden maken dat duidelijk.
Voorbeeld 1: Een webshop verliest omzet door ontbrekend SSL
Situatie: Een kleine webshop in kantoorartikelen draaide op een verouderd platform zonder SSL. De eigenaar wist niet dat browsers een waarschuwing toonden. In een maand tijd daalde de conversieratio van 2,8% naar 1,1% zonder duidelijke oorzaak.
Toepassing: Na analyse bleek dat Chrome een update had doorgevoerd die HTTP-websites prominenter als “niet beveiligd” markeerde. De eigenaar installeerde een gratis Let’s Encrypt-certificaat via het hostingpaneel. Duurde 15 minuten.
Resultaat: Binnen twee weken herstelde de conversieratio naar 2,6%. De geschatte omzetderving over de weken zonder SSL: circa 3.200 euro. De kosten van de oplossing: nul euro.
Voorbeeld 2: Een adviesbureau moet voldoen aan AVG-eisen
Situatie: Een HR-adviesbureau verwerkte sollicitaties via een contactformulier op hun website. Een klant vroeg naar hun AVG-compliance. Tijdens de check bleek dat de website geen SSL had, wat betekende dat sollicitatiegegevens (namen, cv’s, e-mailadressen) onversleuteld werden verzonden.
Toepassing: Het bureau schakelde dezelfde dag nog SSL in via hun hostingprovider en liet een redirect instellen van HTTP naar HTTPS. Ze pasten hun privacyverklaring aan om de technische beveiligingsmaatregelen te beschrijven.
Resultaat: Het bureau voldeed weer aan de AVG-eisen voor technische beveiliging. De klant was tevreden. Het bureau voorkwam een mogelijke boete die voor MKB-bedrijven kan oplopen tot 10 miljoen euro of 2% van de jaaromzet.
Voorbeeld 3: Een makelaarskantoor verbetert de Google-ranking
Situatie: Een makelaarskantoor in Groningen stond op positie 8 tot 12 voor lokale zoekwoorden als “makelaar Groningen” en “huis verkopen Groningen”. De website was technisch in orde maar miste SSL.
Toepassing: Na het inschakelen van SSL en het correct instellen van 301-redirects van HTTP naar HTTPS, controleerde het kantoor alle interne links en sitemap. De Google Search Console werd bijgewerkt met de HTTPS-versie.
Resultaat: Binnen 6 weken verbeterde de gemiddelde positie met 1,5 plek voor de belangrijkste zoekwoorden. Het organische verkeer steeg met 22%. Is dat volledig toe te schrijven aan SSL? Nee, er speelden meer factoren mee. Maar de timing was opvallend.
Voorbeeld 4: Een restaurant voorkomt een phishing-risico
Situatie: Een restaurant had een eenvoudige website met menu, openingstijden en een reserveringsformulier. Geen SSL. Een klant meldde dat er een nep-versie van de website circuleerde die er identiek uitzag maar op een ander domein stond. De nep-site verzamelde creditcardgegevens.
Toepassing: Het restaurant installeerde SSL op de echte website en communiceerde actief naar klanten welk het juiste webadres was. Door SSL had de echte website nu het slotje, terwijl de nepsite dat niet had (de meeste phishing-sites hebben geen geldig certificaat voor het doeldomein).
Resultaat: Het restaurant kon klanten een eenvoudig herkenningspunt geven: “kijk of er een slotje staat”. Het phishing-incident werd gemeld bij de politie en de nepsite werd offline gehaald.
Hoe installeer je SSL op je website?
De installatie hangt af van je hostingsituatie, maar in de meeste gevallen is het eenvoudiger dan je denkt.
Bij de meeste hostingproviders: Log in op je hostingpaneel (cPanel, DirectAdmin, Plesk of het eigen paneel van je provider). Zoek naar “SSL” of “HTTPS”. Vaak is er een optie om een gratis Let’s Encrypt-certificaat te activeren met een klik. Providers als TransIP, Antagonist, Versio en Strato bieden dit standaard aan.
Bij WordPress: Als je SSL hebt geactiveerd op serverniveau, moet je in WordPress het siteadres aanpassen van http:// naar https://. Gebruik een plugin als Really Simple SSL om dit automatisch te doen, inclusief het herschrijven van interne links.
Bij een webshop: Controleer naast het certificaat ook of je betaalprovider correct is geconfigureerd. De meeste betaalproviders (Mollie, Stripe, Adyen) vereisen sowieso HTTPS.
Na installatie: Test je website op SSL Labs om te controleren of alles correct is ingesteld. Controleer of er geen “mixed content”-waarschuwingen zijn (dat betekent dat sommige onderdelen van je pagina nog via HTTP worden geladen). Stel een 301-redirect in van HTTP naar HTTPS zodat oude links automatisch doorverwijzen.
Verlengingen: Let’s Encrypt-certificaten zijn 90 dagen geldig en worden meestal automatisch verlengd door je hostingprovider. Betaalde certificaten zijn 1 tot 2 jaar geldig. Zet een herinnering als de verlenging niet automatisch gaat.
Veelgestelde vragen over SSL
Is SSL gratis? Ja, via Let’s Encrypt kun je een gratis DV-certificaat krijgen. De meeste hostingproviders bieden dit standaard aan. Betaalde certificaten (OV, EV) kosten 10 tot 200 euro per jaar, maar zijn voor de meeste MKB-websites niet nodig.
Wat is het verschil tussen SSL en HTTPS? SSL (of eigenlijk TLS) is het protocol dat de versleuteling regelt. HTTPS is het resultaat: het betekent dat HTTP-verkeer wordt beveiligd met SSL. Als je SSL hebt, wordt je website bereikbaar via HTTPS.
Vertraagt SSL mijn website? Nauwelijks. De overhead van SSL is verwaarloosbaar op moderne servers. In sommige gevallen is HTTPS zelfs sneller omdat het HTTP/2 mogelijk maakt, een sneller protocol dat alleen werkt over HTTPS. Je bezoekers merken geen verschil.
Moet ik SSL hebben als ik geen formulieren op mijn website heb? Ja. Google behandelt alle HTTP-websites hetzelfde, ongeacht of er formulieren op staan. Zonder SSL krijg je de “niet beveiligd”-waarschuwing en een lager zoekresultaat. Het is een kwestie van minuten om het in te stellen.
Wat gebeurt er als mijn SSL-certificaat verloopt? Bezoekers krijgen een volledige waarschuwingspagina die zegt dat de verbinding niet veilig is. De meeste bezoekers verlaten je website onmiddellijk. Google kan je pagina’s tijdelijk lager ranken. Zorg dat automatische verlenging is ingeschakeld of zet een herinnering.
Beschermt SSL tegen hackers? Niet direct. SSL beschermt de verbinding tussen de bezoeker en je server. Het voorkomt niet dat iemand je website hackt via een software-kwetsbaarheid, een zwak wachtwoord of een verouderd CMS. SSL is een onderdeel van beveiliging, niet de volledige oplossing.
Hoe weet ik of mijn website SSL heeft? Open je website in een browser en kijk naar de adresbalk. Staat er een slotje en begint het adres met https://? Dan heb je SSL. Staat er “Niet beveiligd” of begint het adres met http://? Dan niet. Je kunt ook checken op ssllabs.com/ssltest.
Conclusie
SSL is een van die dingen die je gewoon moet hebben. Het kost niets of bijna niets, het is in de meeste gevallen met een paar klikken geregeld, en zonder SSL verlies je bezoekers, vertrouwen en zoekposities. Er is geen enkel argument om het niet te doen.
Twijfel je of je website correct beveiligd is, of wil je hulp bij het inrichten van de technische basis van je online aanwezigheid? Neem contact op met Red Factory. We checken je website en zorgen dat de basis op orde is.
