
Wat is HTTPS? Uitleg, veiligheid en hoe het te gebruiken
Je kent het wel: een slotje in de adresbalk, maar dat betekent niet automatisch dat de website veilig is. In dit artikel ontrafelen we de mythes en geven we een helder beeld van wat HTTPS wel en niet voor je doet.
HTTPS-poort: 443 ·
Versleuteling: TLS 1.3 ·
Gratis certificaten beschikbaar: Ja, via Let’s Encrypt ·
Websites met HTTPS wereldwijd: Meer dan 80% (bron: Google)
Overzicht
- HTTPS versleutelt gegevens tussen browser en server (SSL.com (certificaatautoriteit))
- Let’s Encrypt biedt gratis SSL-certificaten (ISI Media (hosting specialist))
- Of HTTPS volledig beschermt tegen tracking en cookies
- Of gratis certificaten even betrouwbaar zijn als betaalde in alle scenario’s
- Of Let’s Encrypt daadwerkelijk meer dan 300 miljoen certificaten heeft uitgegeven (geen bron beschikbaar)
- Of meer websites daadwerkelijk zullen overstappen van HTTP naar HTTPS
- Of nieuwe encryptiestandaarden zoals TLS 1.3 de norm worden
- 2020: Meer dan 80% van de websites wereldwijd gebruikt HTTPS (Google Transparency Report (techgigant))
- Nog meer websites zullen overstappen van HTTP naar HTTPS
- Nieuwe encryptiestandaarden zoals TLS 1.3 worden de norm
Hier zijn de belangrijkste eigenschappen van HTTPS:
| Eigenschap | Waarde |
|---|---|
| HTTPS-poort | 443 |
| Encryptiemethode | TLS 1.3 |
| Gratis certificaataanbieder | Let’s Encrypt |
| Websites met HTTPS | Meer dan 80% (bron: Google) |
| Verschil met HTTP | Versleuteld vs platte tekst |
Wat betekent HTTPS?
HTTPS staat voor Hypertext Transfer Protocol Secure. Het is de veilige versie van HTTP, het protocol waarmee gegevens tussen jouw browser en een website worden verstuurd. Waar HTTP gegevens in platte tekst verzendt – leesbaar voor iedereen die ertussen kan komen – voegt HTTPS een laag encryptie toe. Die encryptie maakt gebruik van TLS/SSL (Transport Layer Security/Secure Sockets Layer), zoals beschreven door Cloudflare (beveiligings- en CDN-aanbieder).
Wat is het verschil tussen HTTP en HTTPS?
- HTTP (Hypertext Transfer Protocol) verstuurt data onversleuteld; iedereen op hetzelfde netwerk kan meelezen.
- HTTPS (Hypertext Transfer Protocol Secure) versleutelt alle communicatie met TLS/SSL, waardoor alleen de browser en de server de inhoud kunnen lezen.
- HTTPS vereist een digitaal certificaat dat de identiteit van de website bevestigt.
Het verschil is fundamenteel: HTTP is als het sturen van een ansichtkaart – iedereen onderweg kan hem lezen. HTTPS is als een verzegelde envelop. Volgens Wikipedia (online encyclopedie) is HTTPS een uitbreiding van HTTP die encryptie gebruikt voor veilige communicatie over een computernetwerk.
Hoe werkt HTTPS-encryptie?
Bij een HTTPS-verbinding gebeurt er een zogeheten ‘TLS-handshake’: de browser en server wisselen cryptografische sleutels uit, waarna alle verzonden data wordt versleuteld met een symmetrische sessiesleutel. Zelfs als iemand de gegevens onderschept, zijn ze onleesbaar zonder de juiste sleutel. Moderne versies zoals TLS 1.3 maken deze handshake sneller en veiliger dan oudere versies.
De consequentie: wie HTTPS nog niet gebruikt, loopt achter op het gebied van veiligheid en vertrouwen.
Waarom is HTTP niet veilig?
HTTP heeft één groot probleem: het versleutelt niets. Elke letter, elk cijfer dat je intoetst – of het nu een wachtwoord, creditcardnummer of een simpele zoekopdracht is – reist in platte tekst van jouw computer naar de server. Dat maakt HTTP bijzonder kwetsbaar.
Wat gebeurt er als je HTTP gebruikt?
- Een aanvaller op hetzelfde wifi-netwerk kan al je data meelezen met eenvoudige tools zoals Wireshark.
- Man-in-the-middle-aanvallen: een kwaadwillende kan de verbinding kapen en eigen data in plaats van die van de website tonen.
- Gegevens zoals wachtwoorden, cookies en bankgegevens zijn volledig zichtbaar.
De Electronic Frontier Foundation (digitale burgerrechtenorganisatie) waarschuwt dat HTTP-sites een direct risico vormen voor de privacy van gebruikers. Een simpele HTTP-verbinding geeft de indruk van een ‘veilige’ website, maar is dat niet.
Hoe verschilt HTTPS van HTTP?
Het meest in het oog springende verschil is het slotje in de adresbalk. Bij HTTP ontbreekt dat slotje volledig. Daarnaast gebruikt HTTPS standaard poort 443, terwijl HTTP poort 80 gebruikt. Technisch gezien zorgt HTTPS voor drie dingen die HTTP niet biedt: encryptie (niemand kan meeluisteren), data-integriteit (niemand kan de data onderweg wijzigen) en authenticatie (je weet zeker dat je met de echte website praat, niet met een nepversie).
Vijf kenmerken, één patroon: HTTP is fundamenteel onveilig omdat het geen encryptie, integriteit of authenticatie biedt.
| Kenmerk | HTTP | HTTPS |
|---|---|---|
| Encryptie | Geen | TLS 1.2 of 1.3 |
| Poort | 80 | 443 |
| Authenticatie | Nee | Ja, via certificaat |
| Privacy | Laag | Hoog |
| Browser-indicatie | Geen slotje | Hangslotje |
De implicatie: elke seconde dat een website nog HTTP gebruikt in plaats van HTTPS, stelt ze bezoekers bloot aan onnodige risico’s. Voor eigenaren van websites die nog op HTTP draaien: de overstap is noodzakelijk, niet optioneel.
Kun je HTTPS vertrouwen?
HTTPS is een enorme stap vooruit ten opzichte van HTTP, maar het is geen wondermiddel. Het versleutelt de communicatie, maar zegt niets over de inhoud van de website of de intenties van de eigenaar. Dit is waar de nuance ligt.
Kan een HTTPS-site worden gehackt?
- Ja. HTTPS beschermt alleen de verbinding, niet de server zelf. Hackers kunnen nog steeds inbreken op de server via kwetsbaarheden in de software.
- Phishing-sites gebruiken steeds vaker HTTPS om betrouwbaar over te komen – een groeiend probleem volgens IC Solutions (webontwikkelingsbureau).
- HTTPS voorkomt niet dat de website zelf schadelijke code bevat.
Hoe herken je een veilige HTTPS-verbinding?
Een veilige verbinding herken je aan het hangslotje in de adresbalk. Klik erop voor details over het certificaat: wie heeft het uitgegeven, aan wie en hoe lang is het geldig? Bij een Extended Validation (EV)-certificaat zie je soms zelfs de bedrijfsnaam in de adresbalk. Volgens ISI Media (hosting specialist) laat een EV/SSL-certificaat in één oogopslag zien dat de website betrouwbaar is. Maar let op: ook gratis DV-certificaten (alleen domeinvalidatie) tonen een slotje, en die zijn eenvoudig voor vrijwel iedereen aan te vragen.
HTTPS geeft een vals gevoel van veiligheid als gebruikers denken dat een slotje ook een betrouwbare website garandeert. De realiteit: het slotje zegt alleen ‘de verbinding is versleuteld’, niet ‘deze site is eerlijk’.
De vangst: een slotje is een minimale voorwaarde, geen garantie. Voor webwinkels met betalingen is een EV-certificaat een sterker signaal; voor een blog volstaat een gratis DV-certificaat. Maar wees altijd alert op de inhoud van de website, niet alleen op het slotje.
Hoe open ik een HTTPS-website?
Een HTTPS-website openen is net zo eenvoudig als een gewone website bezoeken. Moderne browsers doen het grootste deel van het werk automatisch voor je. Toch is het handig om te weten wat er achter de schermen gebeurt.
Hoe verbind ik met een HTTPS-site?
- Typ het adres in met
https://ervoor. Bijvoorbeeld:https://www.voorbeeld.nl. - Moderne browsers proberen automatisch eerst de HTTPS-versie; als die niet beschikbaar is, vallen ze terug op HTTP.
- Het hangslotje geeft aan dat de verbinding veilig is.
Drie stappen, één patroon: de browser handelt de beveiliging af, jij hoeft alleen het adres in te tikken.
Wat is de HTTPS-poort?
HTTPS gebruikt standaard poort 443. Dat is de ‘digitale deur’ waar de browser verbinding mee maakt. HTTP gebruikt poort 80. In de praktijk hoef je hier zelf niets mee te doen – de browser weet welke poort hij moet gebruiken. Maar als je een website zelf host, is het belangrijk dat poort 443 openstaat in je firewall.
Voor de gemiddelde internetgebruiker in Nederland is de drempel miniem: typ het adres, zie het slotje. Voor website-eigenaren is het instellen van poort 443 een eenmalige, vaak geautomatiseerde stap die de veiligheid van alle bezoekers direct verbetert.
Het patroon: een kleine moeite voor de eigenaar, een groot veiligheidsvoordeel voor de bezoeker.
Kan ik gratis HTTPS krijgen?
Jazeker. De komst van gratis certificaataanbieders heeft de adoptie van HTTPS enorm versneld. Waar je vroeger tientallen tot honderden euro’s per jaar betaalde voor een SSL-certificaat, kun je nu vaak kosteloos een certificaat krijgen.
Wat is Let’s Encrypt?
- Let’s Encrypt is een gratis, geautomatiseerde certificaatautoriteit die SSL/TLS-certificaten uitgeeft.
- De certificaten zijn 90 dagen geldig en kunnen eenvoudig worden verlengd.
- Veel webhosts (zoals Yourhosting, TransIP) bieden automatische installatie aan.
Let’s Encrypt-certificaten worden door ISI Media (hosting specialist) omschreven als ‘gratis veiligheidscertificaten die op veel sites worden ingezet om HTTPS mogelijk te maken’. Ze zijn inmiddels de meest gebruikte certificaataanbieder ter wereld.
Zijn er nadelen aan gratis certificaten?
Gratis certificaten zijn technisch even veilig als betaalde wat betreft encryptie. SSL.com (certificaatautoriteit) bevestigt dat gratis SSL-certificaten doorgaans dezelfde transportversleuteling leveren. Maar er zijn wel degelijk verschillen:
- Validatieniveau: Gratis certificaten zijn altijd Domein Validatie (DV). Ze controleren alleen of je de domeinnaam beheert. Betaalde certificaten kunnen Organisatie Validatie (OV) of Extended Validation (EV) bieden, waarbij de identiteit van de organisatie wordt gecontroleerd.
- Geldigheidsduur: Gratis certificaten zijn korter geldig (30–90 dagen) dan betaalde (1–2 jaar), zoals Ultahost (hostingprovider) aangeeft.
- Wildcard-ondersteuning: Gratis certificaten bieden geen wildcard-functionaliteit voor meerdere subdomeinen, terwijl betaalde dat vaak wel doen, volgens Hostingwijzer (hostingvergelijker).
De afweging: wie kiest voor gratis, moet de kortere geldigheid en beperkte validatie accepteren.
Gratis versus betaald SSL-certificaat: de vergelijking
Vier verschillen, één patroon: hoe meer verificatie en garanties je nodig hebt, hoe meer je betaalt.
| Kenmerk | Gratis SSL | Betaald SSL |
|---|---|---|
| Validatieniveau | Alleen DV | DV, OV of EV |
| Geldigheidsduur | 30–90 dagen | 1–2 jaar |
| Wildcard | Meestal niet | Vaak wel |
| Garantievergoeding | Geen | Soms (bij EV tot €1.000.000+) |
| Organisatiecontrole | Nee | Ja (OV/EV) |
| Kosten | €0 | €50–€500+ per jaar |
De afweging: voor een informatiestie of blog zonder gebruikersgegevens is een gratis certificaat ruim voldoende. Yourhosting (Nederlandse hostingprovider) stelt dat voor websites zonder betaal- of persoonsgegevens een gratis SSL-certificaat vaak volstaat. Maar zodra er transacties of gevoelige data spelen, is een OV- of EV-certificaat de investering meer dan waard.
Voordelen
- HTTPS versleutelt alle data tussen browser en server
- Gratis certificaten zijn beschikbaar voor iedereen via Let’s Encrypt
- HTTPS verbetert SEO; Google beloont HTTPS-sites met een hogere ranking
- Het hangslotje verhoogt het vertrouwen bij bezoekers
Nadelen
- HTTPS beschermt niet tegen hacking van de server zelf
- Gratis certificaten missen organisatieverificatie, wat phishing mogelijk maakt
- HTTPS alleen garandeert geen veilige website; de inhoud kan nog steeds schadelijk zijn
- Korte geldigheidsduur van gratis certificaten vereist regelmatige vernieuwing
Stappenplan: HTTPS instellen op je website
Het instellen van HTTPS is eenvoudiger dan je denkt, vooral dankzij de automatisering van Let’s Encrypt. Volg deze stappen om jouw website te beveiligen.
- Controleer of je webhost HTTPS ondersteunt. De meeste moderne webhosts bieden gratis Let’s Encrypt-integratie. Log in op je hostingdashboard en zoek naar ‘SSL’, ‘HTTPS’ of ‘Let’s Encrypt’.
- Vraag een certificaat aan. Veel hosts hebben een knop ‘SSL installeren’ of ‘Gratis certificaat’. Klik erop en het certificaat wordt automatisch aangemaakt. SSL.com (certificaatautoriteit) biedt een gratis DV-certificaat dat geen creditcard, ACME-client of papierwerk vereist.
- Forceer HTTPS. Zet een redirect van HTTP naar HTTPS in je .htaccess-bestand of via je hostinginstellingen. Zo komen alle bezoekers automatisch op de veilige versie.
- Werk interne links bij. Vervang alle interne links van
http://naarhttps://om mixed content-waarschuwingen te voorkomen. - Test of het werkt. Bezoek je website via
https://en controleer het hangslotje. Gebruik gratis tools zoals SSL Labs’ SSL Test om de configuratie te verifiëren.
Volgens Netcure (IT-beveiligingsadviseur) kan een gratis certificaat snel worden aangemaakt en is het meestal gekoppeld aan één specifieke website. Het hele proces duurt vaak minder dan een uur.
“HTTPS is de veilige versie van HTTP, versleuteld met TLS om gegevens te beschermen tussen browser en website.”
— Cloudflare Learning Center (beveiligings- en CDN-aanbieder)
“HTTPS is een uitbreiding van HTTP die encryptie gebruikt voor veilige communicatie over een computernetwerk.”
— Wikipedia (online encyclopedie)
De consequentie voor iedereen die vandaag nog een website beheert: de tijd dat HTTPS een ‘nice to have’ was, ligt ver achter ons. Het is een fundamentele bouwsteen van een veilig en betrouwbaar internet. Voor de Nederlandse internetgebruiker is de keuze helder: surf alleen op sites met een slotje. Voor de website-eigenaar: schakel HTTPS in, gratis of betaald, maar doe het. De reputatie van je site én de veiligheid van je bezoekers hangen ervan af.
Veelgestelde vragen over HTTPS
Is HTTPS goed of slecht?
HTTPS is onmiskenbaar goed: het versleutelt gegevens, beschermt privacy en verbetert SEO. Het is echter geen wondermiddel – het beschermt niet tegen een slecht beveiligde server of phishing-sites die zelf ook HTTPS gebruiken.
Hoe verbind ik met HTTPS?
Typ simpelweg https:// gevolgd door het adres in de adresbalk. Moderne browsers doen de rest automatisch. Het hangslotje geeft aan dat de verbinding veilig is.
Moet ik HTTPS gebruiken op mijn website?
Absoluut. Het is essentieel voor de veiligheid van je bezoekers, verbetert je vindbaarheid in Google en wekt vertrouwen. Zelfs voor een simpele blog zonder inlogformulier is HTTPS vandaag de dag de standaard.
Wat kost een SSL-certificaat?
Gratis via Let’s Encrypt of SSL.com. Betaalde certificaten variëren van €50 tot €500+ per jaar, afhankelijk van het validatieniveau (DV, OV, EV) en eventuele extra’s zoals wildcard of garantie.
Hoe lang is een SSL-certificaat geldig?
Gratis certificaten van Let’s Encrypt zijn 90 dagen geldig. Betaalde certificaten zijn doorgaans 1 tot 2 jaar geldig. Kortere geldigheid vereist vaker vernieuwen, maar is veiliger.
Kan ik een wildcard-certificaat gratis krijgen?
De standaard gratis varianten van Let’s Encrypt en andere aanbieders bieden meestal geen wildcard-functionaliteit. Daarvoor heb je een betaald certificaat nodig.
Voor de Nederlandse website-eigenaar is de keuze duidelijk: als je een eenvoudige blog of informatiestie beheert, is een gratis certificaat van Let’s Encrypt een uitstekende start. Maar zodra je een webwinkel runt, klantgegevens verwerkt of een professioneel imago wilt uitstralen, is een betaald OV- of EV-certificaat de investering waard. Het alternatief: je bezoekers blootstellen aan onnodige risico’s en achterlopen op de concurrentie.