HTTPS uitleg: wat is het en waarom is het belangrijk
Iedereen kent het groene slotje in de adresbalk, maar wat zegt het nu eigenlijk? HTTPS is de standaard voor veilige verbindingen, maar het is geen garantie dat een website betrouwbaar is. Dit artikel legt uit hoe HTTPS werkt, hoe je een veilige verbinding herkent en waarom je ondanks het slotje toch kritisch moet blijven.
Websites wereldwijd met HTTPS: meer dan 95% (2024) ·
Standaard encryptieprotocol: TLS 1.3 ·
Poort voor HTTPS: 443 ·
Verschil met HTTP: geen encryptie versus encryptie
Overzicht
- HTTPS versleutelt de communicatie tussen browser en server (SeniorWeb (consumentenorganisatie))
- Een veilige verbinding herken je aan https:// en een slotje (SeniorWeb)
- Of een website met HTTPS altijd legitiem is – criminelen gebruiken ook HTTPS (SeniorWeb (consumentenorganisatie))
- Of HTTPS volledig bestand is tegen alle aanvallen (versleuteling kan worden omzeild door malware) (SeniorWeb (consumentenorganisatie))
- Chrome heeft het klassieke slotje verwijderd en verplaatst beveiligingsinfo naar het menu (PC-Active (technieuws))
- Browsers stappen langzaam over op een neutraal icoon zonder ‘veilig’-label (Android Planet (techmedium))
- Gebruikers moeten zelf de URL en het certificaat controleren (Android Planet (techmedium))
Vijf kerngegevens die je in één oogopslag moet weten over HTTPS:
| Kenmerk | Waarde |
|---|---|
| Protocol | HyperText Transfer Protocol Secure |
| Poort | 443 |
| Encryptie | TLS (voorheen SSL) |
| Certificaat | SSL/TLS certificaat nodig |
| Gebruik | Standaard voor veilige dataoverdracht |
Wat betekent HTTPS?
HTTPS staat voor HyperText Transfer Protocol Secure. Het is de beveiligde variant van het gewone HTTP-protocol. Waar HTTP gegevens onversleuteld verstuurt, gebruikt HTTPS een encryptielaag (TLS, voorheen SSL) om de verbinding tussen jouw browser en de webserver te beveiligen. Dit voorkomt dat anderen meelezen, bijvoorbeeld op een openbaar wifi-netwerk.
Wat is het verschil tussen HTTP en HTTPS?
- HTTP verzendt data in platte tekst – iedereen op hetzelfde netwerk kan meekijken.
- HTTPS codeert de data met TLS – alleen de server kan de informatie ontcijferen.
- Een HTTP-verbinding herken je aan
http://, een HTTPS-verbinding aanhttps://(VPNGids.nl (privacy-expert)).
Hoe werkt HTTPS?
Bij een HTTPS-verbinding wordt eerst een handshake uitgevoerd: de browser en server wisselen cryptografische sleutels uit. Daarna wordt het verkeer versleuteld met een sessiesleutel. Dit proces wordt mogelijk gemaakt door een SSL/TLS-certificaat, dat is ondertekend door een certificaatautoriteit (CA). Zo weet de browser dat de server echt is wie hij zegt te zijn.
“HTTPS is de veilige versie van HTTP, gecodeerd met TLS.”
HTTPS versleutelt de communicatie, maar het certificaat zegt niets over de intentie van de website-eigenaar. Een criminele site kan net zo goed een geldig SSL-certificaat hebben.
Kun je HTTPS vertrouwen?
Ja en nee. HTTPS geeft je een beveiligde tunnel, maar die tunnel kan naar een oplichterswebsite leiden. Het slotje in de adresbalk is alleen een indicatie van encryptie, niet van betrouwbaarheid. SeniorWeb waarschuwt: “Een hangslotje zegt niets over de betrouwbaarheid van een website” (SeniorWeb (consumentenorganisatie)).
De implicatie: vertrouw niet blind op encryptie – het is alleen de eerste laag.
Wat versleutelt HTTPS precies?
HTTPS versleutelt de volledige communicatie: de URL (behalve het domein), de headers, de formulieren, cookies en de inhoud van de pagina. Dat betekent dat een aanvaller op hetzelfde netwerk niet kan zien welke pagina’s je bezoekt of welke gegevens je invult. Maar de domeinnaam zelf blijft zichtbaar, zodat routers weten waar het verkeer naartoe moet.
Hoe herken ik een geldig SSL-certificaat?
Klik op het slotje (of het vervangende icoon) in de adresbalk. In de meeste browsers verschijnt dan de melding “Verbinding is veilig” en kun je op “Certificaat” klikken voor details. Controleer of de certificaatnaam overeenkomt met het domein en of het certificaat niet is verlopen (Clickx (tech-advies)).
“Kijk niet alleen naar het slotje, maar lees ook de domeinnaam achter https:// goed.”
– Advies van SeniorWeb (digitale hulp voor ouderen)
Moderne browsers vervangen het groene slotje door een neutrale indicator. Dat betekent dat je als bezoeker extra alert moet zijn: het ontbreken van een slotje is een rode vlag, maar de aanwezigheid ervan is geen vrijbrief.
Hoe open ik een HTTPS-website?
Het openen van een HTTPS-website is simpel: typ de URL in de adresbalk en begin met https://. De meeste browsers proberen standaard eerst de HTTPS-versie. Als de website geen HTTPS ondersteunt, verschijnt een waarschuwing. Hieronder de stappen voor de populairste browser.
Hoe open ik HTTPS in Chrome?
- Klik in de adresbalk en typ de volledige URL, bijvoorbeeld
https://www.voorbeeld.nl. - Druk op Enter. Chrome probeert de HTTPS-versie.
- Als de verbinding niet veilig is, zie je een melding “Niet veilig” links in de adresbalk.
- Klik op het icoon (geen slotje meer sinds Chrome 117) om certificaat- en beveiligingsinfo te bekijken (PC-Active (technieuws)).
Hoe maak ik verbinding met HTTPS?
In elke browser kun je handmatig https:// voor de domeinnaam typen. Wil je zeker weten dat je een HTTPS-verbinding gebruikt, controleer dan of de adresbalk begint met https:// en of er een slotje (of neutraal icoon) zichtbaar is. Android Planet adviseert om de URL te controleren als eerste stap (Android Planet (techmedium)).
Kan een website nog steeds nep zijn als deze HTTPS heeft?
Ja, zonder twijfel. HTTPS zegt alleen iets over de encryptie van de verbinding, niet over de echtheid van de website. Criminelen kopen tegenwoordig voor een paar euro een SSL-certificaat en zetten een nepsite op die er exact uitziet als een bank of webwinkel. Het slotje geeft dan een vals gevoel van veiligheid.
Hoe herken ik een nepsite met HTTPS?
- Let op de domeinnaam: kleine afwijkingen zoals ‘amaz0n.nl’ in plaats van ‘amazon.nl’ verraden een nepsite.
- Het deel na
https://en vóór de eerste slash is de echte domeinnaam – lees die zorgvuldig (SeniorWeb). - Controleer de inhoud: spelfouten, slechte vertalingen of vreemde betaalmethoden zijn alarmsignalen.
- Gebruik een keurmerkcontrole: ga naar de website van het keurmerk zelf om te checken of de webshop is aangesloten (Android Planet (techmedium)).
Wat is phishing met HTTPS?
Phishing-sites maken steeds vaker gebruik van HTTPS. Uit onderzoek van de Anti-Phishing Working Group blijkt dat meer dan de helft van de phishing-sites een geldig SSL-certificaat heeft. Vertrouw dus nooit blind op het slotje. Kinwell raadt aan om geen gevoelige gegevens in te vullen op een site die je niet vertrouwt, ook al heeft die HTTPS (Kinwell (online veiligheid)).
“Bij een onbeveiligde verbinding zijn wachtwoorden, creditcardgegevens en persoonlijke gegevens extra risicovol om in te vullen.”
Wat zijn de nadelen van het gebruik van HTTPS?
HTTPS is niet zonder schaduwzijden. Hoewel het de standaard zou moeten zijn, kleven er voor website-eigenaren en – in mindere mate – voor bezoekers enkele nadelen aan.
Zijn er prestatiekosten?
De encryptie en decryptie vergen extra rekenkracht. Oudere servers kunnen daardoor iets trager reageren. In de praktijk is het verschil voor de gebruiker verwaarloosbaar – moderne hardware kan TLS zonder merkbare vertraging aan. HTTP/2 en HTTP/3, die vaak alleen via HTTPS werken, maken de verbinding juist sneller.
Is HTTPS moeilijk in te stellen?
Voor websitebeheerders is het installeren van een SSL-certificaat technischer dan het gebruik van alleen HTTP. Gelukkig zijn er gratis diensten zoals Let’s Encrypt die het proces automatiseren. Toch blijft het een drempel voor kleine hobby-sites. Ook moeten certificaten periodiek worden vernieuwd, wat vergeten kan worden.
Stappenplan: zo herken je een veilige verbinding
Volg deze vier stappen om elke keer zeker te weten of jouw verbinding veilig is.
- Controleer de URL: begint de adresbalk met
https://? Zo niet, wees dan extra alert (Android Planet (techmedium)). - Klik op het slotje: ook al is het icoon veranderd, klik erop om de certificaatgegevens te bekijken. Controleer of het certificaat geldig is en bij het juiste domein hoort.
- Lees de domeinnaam: let op spelfouten of extra woorden. Het echte domein staat direct na
https://(SeniorWeb). - Gebruik een keurmerkcheck: als de website een keurmerk toont, ga dan naar de site van het keurmerk zelf en controleer of de webshop daadwerkelijk is aangesloten (Android Planet (techmedium)).
Zie je een beveiligingsfout (bijv. ‘Uw verbinding is niet privé’)? Sluit de browser, open hem opnieuw en probeer de pagina te laden. Als de fout blijft, bezoek de site dan niet en zoek via een andere route.
De implicatie: HTTPS is een noodzakelijke basis, maar geen tovermiddel. Wie alleen op het slotje vertrouwt, loopt het risico alsnog in een phishingval te trappen. De combinatie van URL-controle, gezond verstand en keurmerkcheck geeft de beste bescherming.
webwoordenboek.nl, ovsit.nl, init3.nl, guardian360.nl, hcc.nl
Veelgestelde vragen
Wat kost een SSL-certificaat?
SSL-certificaten zijn gratis verkrijgbaar bij Let’s Encrypt of kosten een paar tientjes per jaar bij commerciële aanbieders. De prijs hangt af van het type (domeinnaam, organisatie of uitgebreid) en de garantie.
Is HTTPS verplicht voor alle websites?
In de EU is HTTPS niet wettelijk verplicht voor alle websites, maar zoekmachines zoals Google straffen HTTP-sites lager in de ranking. Ook browsers geven een ‘Niet veilig’-melding. Voor webshops en sites die persoonsgegevens verwerken is HTTPS in de praktijk wel verplicht onder de AVG.
Wat is HTTPS-poort?
HTTPS gebruikt standaard poort 443, terwijl HTTP poort 80 gebruikt. De poort wordt meestal niet in de URL getoond, tenzij een website een afwijkende poort gebruikt.
Kan ik HTTPS in mijn browser uitschakelen?
In moderne browsers kun je HTTPS niet eenvoudig uitschakelen, maar je kunt wel bewust een HTTP-verbinding forceren door http:// te typen. De browser zal dan waarschuwen dat de verbinding niet veilig is.
Wat is een HTTPS-omleiding?
Een HTTPS-omleiding (redirect) zorgt ervoor dat bezoekers die een HTTP-URL typen automatisch naar de HTTPS-versie worden gestuurd. Dit is een standaardinstelling voor de meeste websites.
Hoe vernieuw ik een SSL-certificaat?
Certificaten hebben een beperkte geldigheidsduur (meestal 90 dagen tot 2 jaar). Vernieuwen kan via je hostingprovider of via de tool waarmee je het certificaat aanvroeg (bijv. Certbot voor Let’s Encrypt).
Wat gebeurt er als ik een HTTP-site bezoek?
De browser geeft een waarschuwing of een ‘Niet veilig’-label. Op openbare wifi kunnen anderen meelezen welke gegevens je verstuurt. Het is af te raden om op een HTTP-site in te loggen of betalingen te doen.
Hoe controleer ik of een website HTTPS heeft?
Kijk in de adresbalk: begint de URL met https://? Zie je een slotje (of neutraal icoon)? Klik erop om de certificaatdetails te bekijken. Je kunt ook een online tool zoals SSL Labs gebruiken voor een diepgaande check.
Voor de Nederlandse internetgebruiker is de conclusie helder: HTTPS is onmisbaar als basisbeveiliging, maar nooit een garantie dat je met een eerlijke partij te maken hebt. Wie elke keer de URL controleert en niet blind vertrouwt op het slotje, blijft de baas over zijn eigen veiligheid. Laat een extensie zoals HTTPS Everywhere het zware werk doen, maar blijf zelf de laatste check uitvoeren.