Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Certificaat

Concepten

1. Digitaal document dat aantoont dat een product, digitaal systeem of persoon is wie hij zegt dat hij is. Dit kan bijvoorbeeld worden gebruikt om een beveiligde verbinding tot stand te brengen. Een erkende instantie (Certificate Authority) geeft het document uit. 2. Een verklaring van een onafhankelijke instantie waarin staat dat een product, proces of persoon voldoet aan de eisen in het certificaat.

Een certificaat in cybersecurity is een digitaal document dat de identiteit van een website, server of gebruiker bevestigt en versleutelde communicatie mogelijk maakt. Het meest bekende type is het TLS/SSL-certificaat dat je herkent aan het slotje in de adresbalk van je browser. Certificaten vormen de basis van vertrouwen op internet en worden uitgegeven door een Certificate Authority (CA), een vertrouwde derde partij die de identiteit van de aanvrager verifieert voordat het certificaat wordt afgegeven. Zonder certificaten zou je niet kunnen verifieren of je daadwerkelijk communiceert met de juiste server of website, wat de deur openzet voor man-in-the-middle-aanvallen en datadiefstal.

Certificaten maken deel uit van een Public Key Infrastructure (PKI), een systeem van hardware, software, beleid en procedures dat digitale certificaten beheert gedurende hun hele levenscyclus. PKI maakt het mogelijk om gegevens veilig te versleutelen, digitale handtekeningen te plaatsen en de identiteit van communicatiepartners te verifieren. De technologie achter certificaten is gebaseerd op asymmetrische cryptografie, waarbij een publieke sleutel in het certificaat is opgenomen en de bijbehorende private sleutel veilig wordt bewaard door de eigenaar van het certificaat.

Waarom is een certificaat belangrijk?

Certificaten beschermen tegen man-in-the-middle-aanvallen, waarbij een aanvaller zich tussen jou en een website plaatst om verkeer af te luisteren of te manipuleren. Wanneer je browser het certificaat van een website controleert, verifieert hij dat de website daadwerkelijk is wie hij claimt te zijn en dat de verbinding versleuteld is. Dit voorkomt dat je gevoelige gegevens zoals wachtwoorden, creditcardnummers en persoonsgegevens naar een nep-website stuurt of dat deze onderweg worden onderschept door kwaadwillenden.

Vanuit SEO-perspectief is een TLS-certificaat inmiddels een rankingfactor voor zoekmachines. Google geeft voorkeur aan websites met HTTPS boven HTTP. Daarnaast tonen moderne browsers een prominente waarschuwing bij websites zonder geldig certificaat, wat bezoekers afschrikt en het vertrouwen in je organisatie ondermijnt. Voor e-commerce, financiele dienstverlening en andere websites waar vertrouwen essentieel is, is een geldig certificaat daarom onmisbaar.

Ook de AVG vereist passende technische maatregelen voor de bescherming van persoonsgegevens, waarbij versleuteling via certificaten als een standaardmaatregel wordt beschouwd. Certificaten spelen daarnaast een rol bij het ondertekenen van software en e-mail. Een code signing-certificaat bewijst dat software afkomstig is van een legitieme uitgever en niet is gemanipuleerd na publicatie. S/MIME-certificaten maken het mogelijk om e-mails te versleutelen en digitaal te ondertekenen, waarmee je de authenticiteit en integriteit van berichten waarborgt in zakelijke communicatie.

Hoe pas je een certificaat toe?

Het aanvragen van een TLS-certificaat begint met het genereren van een Certificate Signing Request (CSR) op je webserver. Deze CSR bevat je publieke sleutel en organisatiegegevens. Je dient de CSR in bij een Certificate Authority die je identiteit verifieert volgens het gewenste validatieniveau. Er zijn drie validatieniveaus: Domain Validation (DV) controleert alleen het domeinbezit en is binnen minuten te verkrijgen, Organization Validation (OV) verifieert ook de organisatie achter het domein, en Extended Validation (EV) voert de meest uitgebreide controle uit inclusief juridische verificatie.

Na uitgifte installeer je het certificaat op je webserver en configureer je HTTPS. Zorg dat je de volledige certificaatketen installeert, inclusief tussenliggende certificaten, om vertrouwensproblemen bij browsers te voorkomen. Configureer je server om verouderde protocollen zoals TLS 1.0 en 1.1 uit te schakelen en alleen TLS 1.2 en 1.3 te ondersteunen. Stel HSTS (HTTP Strict Transport Security) headers in om browsers te dwingen altijd HTTPS te gebruiken en voorkom zo downgrade-aanvallen waarbij een aanvaller de verbinding terugzet naar onversleuteld HTTP.

Gratis certificaten zijn beschikbaar via Let's Encrypt, dat geautomatiseerde DV-certificaten biedt met een geldigheidsduur van 90 dagen en automatische vernieuwing via het ACME-protocol. Voor organisaties die OV- of EV-certificaten nodig hebben, zijn commerciele CA's als DigiCert, Sectigo en GlobalSign beschikbaar. Zorg in alle gevallen voor een certificaatbeheerproces dat vervaldatums bijhoudt en tijdige vernieuwing waarborgt. Een verlopen certificaat leidt tot browserwaarschuwingen, onbereikbaarheid van diensten en potentieel verlies van klantvertrouwen.

Bij grotere organisaties met tientallen of honderden certificaten is een Certificate Lifecycle Management (CLM) tool aan te raden. Deze tools bieden een centraal overzicht van alle certificaten, waarschuwen bij naderende vervaldatums en automatiseren vernieuwing waar mogelijk. Dit voorkomt de veelvoorkomende situatie waarbij een vergeten certificaat verloopt en een kritieke dienst onverwacht uitvalt.

Certificaat in de praktijk

Een webshop die van HTTP naar HTTPS migreert, vraagt een OV-certificaat aan bij een erkende CA. Na installatie configureert het team redirects van HTTP naar HTTPS en past alle interne links aan om mixed content-waarschuwingen te voorkomen. Ze stellen HSTS in met een max-age van minstens zes maanden en voegen hun domein toe aan de HSTS preload-lijst, zodat browsers altijd HTTPS gebruiken, zelfs bij het eerste bezoek.

Een financiele instelling gaat verder en implementeert mutual TLS (mTLS), waarbij niet alleen de server maar ook de client zich moet authenticeren met een certificaat. Dit wordt gebruikt voor API-communicatie tussen interne systemen en met externe partners zoals betalingsverwerkers. Elk systeem heeft een eigen clientcertificaat dat periodiek wordt vernieuwd. Certificate pinning voegt een extra beveiligingslaag toe door alleen specifieke certificaten te accepteren en ongeautoriseerde certificaten te weigeren.

Bij vulnerability scans wordt ook de certificaatconfiguratie gecontroleerd. Veelvoorkomende bevindingen zijn het gebruik van verouderde TLS-versies, zwakke cipher suites, ontbrekende tussenliggende certificaten en certificaten die bijna verlopen. Een goed certificaatbeheerproces, ondersteund door monitoring tools die waarschuwen bij naderende vervaldatums, voorkomt dergelijke problemen en houdt je security rating op peil. Organisaties die certificaatbeheer serieus nemen, voorkomen onverwachte uitval en behouden het vertrouwen van hun gebruikers.

Veelgestelde vragen over certificaten

Wat is het verschil tussen DV, OV en EV-certificaten?

Domain Validation (DV) controleert alleen domeinbezit en is snel te verkrijgen. Organization Validation (OV) verifieert ook de organisatie achter het domein. Extended Validation (EV) voert de meest uitgebreide controle uit en toont de organisatienaam in de certificaatgegevens van de browser.

Zijn gratis certificaten even veilig als betaalde?

Qua versleuteling bieden gratis certificaten van Let's Encrypt dezelfde beveiliging als betaalde DV-certificaten. Het verschil zit in het validatieniveau, de geldigheidsduur en aanvullende diensten zoals garanties, klantenondersteuning en wildcard-opties bij commerciele aanbieders.

Wat gebeurt er als een certificaat verloopt?

Bij een verlopen certificaat toont de browser een waarschuwing aan bezoekers, waardoor ze je website mogelijk niet meer bezoeken. Geautomatiseerde systemen en API-koppelingen die afhankelijk zijn van het certificaat stoppen met functioneren. Zorg daarom voor monitoring en automatische vernieuwing.

Hoelang is een TLS-certificaat geldig?

De maximale geldigheidsduur voor publiek vertrouwde TLS-certificaten is momenteel 398 dagen. Let's Encrypt certificaten zijn 90 dagen geldig met automatische vernieuwing. De trend is richting kortere geldigheidsduren om het risico van gecompromitteerde certificaten te beperken.

Wat is certificate pinning?

Certificate pinning is een techniek waarbij een applicatie alleen specifieke certificaten of publieke sleutels accepteert, in plaats van elk certificaat dat door een vertrouwde CA is uitgegeven. Dit beschermt tegen aanvallen waarbij een aanvaller een geldig maar frauduleus certificaat verkrijgt via een gecompromitteerde CA.

Meer weten over versleuteling? Vergelijk Encryptie aanbieders op IBgidsNL.