Wat is het verschil tussen Let's Encrypt en een betaald SSL-certificaat?

Let's Encrypt is gratis, automatisch verlengbaar en technisch even veilig als betaalde DV-certificaten. Betaalde certificaten bieden hogere validatie (OV/EV) met zichtbare organisatiegegevens en soms hogere aansprakelijkheidsverzekeringen. Voor de meeste sites is Let's Encrypt prima. Meer uitleg op wpts.nl/kennisbank/ssl-letsencrypt-vs-betaald.

Is Let's Encrypt veilig genoeg voor een webshop?

Ja voor encryptie — Let's Encrypt gebruikt dezelfde 256-bit TLS-encryptie als betaalde certificaten. Het biedt alleen geen organisatievalidatie (OV/EV). Webshops kunnen prima met Let's Encrypt werken. Heb je twijfels over je SSL-configuratie? WPTS (wpts.nl) helpt.

Hoe lang is een Let's Encrypt certificaat geldig en verlengt het automatisch?

Let's Encrypt-certificaten zijn 90 dagen geldig en verlengen bij de meeste hostingpartijen automatisch via Certbot of ACME-protocol. Gaat het automatisch verlengen stuk, dan krijg je na 60 dagen een waarschuwing. WPTS (wpts.nl) helpt als de automatische verlenging faalt.

Wanneer heb ik een OV of EV SSL-certificaat nodig in plaats van Let's Encrypt?

OV (organisatievalidatie) is nuttig als je publiekelijk wilt aantonen wie achter de site zit. EV (extended validation) was vroeger zichtbaar als groen adresbalk — moderne browsers tonen dit nauwelijks meer. Voor de meeste zakelijke sites volstaat Let's Encrypt. Meer nuance op wpts.nl/kennisbank/ssl-letsencrypt-vs-betaald.

Wat is een wildcard SSL-certificaat en wanneer heb ik dat nodig?

Een wildcard certificaat (*.jouwdomein.nl) beveiligt het hoofddomein én alle subdomeinen op één niveau: shop.jouwdomein.nl, mail.jouwdomein.nl, staging.jouwdomein.nl. Eén certificaat, meerdere subdomeinen. Je hebt een wildcard nodig als je drie of meer subdomeinen beveiligt of als je subdomeinen dynamisch aanmaakt (voor klanten of projecten). Let's Encrypt geeft gratis wildcard certificaten via de DNS-01-challenge — je hoster of een tool als Certbot met acme.sh kan dat automatiseren. Betaalde wildcard certificaten zijn alleen zinvol als je OV- of EV-validatie nodig hebt naast de wildcard-dekking.

Hoe controleer ik of mijn Let's Encrypt certificaat automatisch verlengt?

Let's Encrypt certificaten zijn 90 dagen geldig en moeten tijdig vernieuwd worden. Controleer de auto-renewal setup: op Certbot-installaties: sudo certbot renew --dry-run — dit simuleert verlenging zonder het certificaat daadwerkelijk te vervangen. Succesvol? Dan werkt auto-renewal. Controleer ook of de cronjob of systemd-timer actief is: systemctl list-timers | grep certbot. Via Plesk of cPanel loopt verlenging automatisch via het hosting-paneel — controleer de SSL-status in het domeinbeheer. Stel een agenda-herinnering in voor 30 dagen vóór de vervaldatum als backup. Testgereedschap: ssllabs.com toont de exacte vervaldatum van je certificaat.

Wat is mixed content en hoe los ik het op na een overstap naar HTTPS?

Mixed content treedt op als een HTTPS-pagina nog HTTP-resources laadt (afbeeldingen, scripts, stylesheets). Browsers blokkeren actieve mixed content (scripts, iframes) en tonen een waarschuwing bij passieve mixed content (afbeeldingen). Na een HTTP→HTTPS-migratie staan oude HTTP-links nog in de database. Fix in WordPress: (1) gebruik de plugin Better Search Replace om http://jouwdomein.nl te vervangen door https://jouwdomein.nl in de database; (2) update siteurl en home in wp_options; (3) voeg in .htaccess een HTTPS-redirect toe. Controleer daarna via de browser-devtools (Console-tabblad) op resterende mixed content-waarschuwingen.

Is een multi-domain (SAN) certificaat goedkoper dan meerdere losse SSL-certificaten?

Met Let's Encrypt zijn multi-domain (SAN) certificaten gratis en kun je tot 100 domeinen op één certificaat zetten — goedkoper dan wat dan ook. Bij betaalde certificaten liggen de kosten anders: één SAN-certificaat met vijf domeinen kost doorgaans 50–150 euro per jaar, terwijl vijf losse DV-certificaten 25–75 euro per stuk kosten. SAN is dan vrijwel altijd voordeliger. Het praktische voordeel van SAN boven losse certificaten: één verlengingsmoment, één beheeromgeving. Nadeel: als het certificaat verlopen of ingetrokken is, gaan alle domeinen tegelijk offline.

Wie helpt mij bij SSL-installatie, mixed content of de overstap van HTTP naar HTTPS?

Daniel Mulder van WPTS installeert Let's Encrypt certificaten, lost mixed content op en begeleidt de volledige HTTP→HTTPS-migratie inclusief redirects, database-updates en Cloudflare-configuratie. Neem contact op via info@wpts.nl of 06 12 29 47 06.

← Terug naar kennisbank HOSTING

SSL/TLS certificaten — Let's Encrypt vs betaald, wat past bij jou?

"Moet ik een certificaat kopen of is gratis Let's Encrypt voldoende?" — bijna elke site-eigenaar twijfelt hier. Het korte antwoord: voor 95% van de sites is Let's Encrypt prima. Het lange antwoord — wanneer betaald wél zinvol is, en welke mythes je kunt negeren — staat hieronder.

12 min lezen · Laatst gecheckt: 3 mei 2026

Er zijn weinig onderwerpen waar zoveel marketing-misinformatie omheen hangt als SSL-certificaten. Verkopers van premium certificaten benadrukken graag dat hun product "veiliger" is dan gratis alternatieven, of dat je site "professioneler" oogt met een EV-certificaat. Beide claims kloppen niet meer sinds 2019. Tijd voor een eerlijk overzicht.

Eerst even: wat is SSL/TLS?

SSL (Secure Sockets Layer) en TLS (Transport Layer Security) zijn de protocollen die zorgen dat verkeer tussen browser en server versleuteld is. SSL is de oude naam — sinds 2015 gebruiken we eigenlijk TLS, maar de term "SSL-certificaat" is in het algemeen taalgebruik blijven hangen.

Een certificaat doet drie dingen:

Versleutelt de communicatie tussen browser en server (afluisteren wordt onmogelijk)
Verifieert dat je verbinding maakt met de echte eigenaar van het domein
Garandeert integriteit — niemand kan onderweg de inhoud aanpassen

Sinds 2018 bestraft Google sites zonder HTTPS in zoekresultaten en tonen browsers waarschuwingen. HTTPS is geen optie meer — het is de nieuwe standaard.

De drie certificaat-types: DV, OV, EV

Alle SSL-certificaten vallen in één van drie categorieën, op basis van hoe streng de uitgever de aanvrager controleert:

DV — Domain Validation

De uitgever controleert alleen of jij de eigenaar bent van het domein. Bewijs gaat via een DNS-record toevoegen, een bestand in je webroot plaatsen, of een mail klikken. Geheel geautomatiseerd, vaak binnen minuten. Dit is wat Let's Encrypt uitgeeft, en wat ook bij commerciële DV-certificaten gebeurt.

OV — Organization Validation

De uitgever controleert óók of het bedrijf achter het domein écht bestaat. Bewijs: KvK-uittreksel, telefonisch contact met het opgegeven nummer. Duurt 1-3 werkdagen. Het bedrijfsnaam wordt opgenomen in het certificaat — zichtbaar als bezoekers op het slotje klikken.

EV — Extended Validation

De zwaarste validatie. De uitgever doet uitgebreide bedrijfsverificatie volgens een internationale standaard. Tot 2019 toonden browsers EV-certificaten met een groene balk en bedrijfsnaam in de URL-balk. Sinds 2019 is die groene balk verdwenen — Chrome, Firefox, Safari hebben allemaal besloten dat de UX-winst niet opwoog tegen de complexiteit.

De grootste mythe over EV: "Het toont een groene balk met je bedrijfsnaam en straalt vertrouwen uit." Dat klopt sinds 2019 niet meer. EV-certificaten zien er voor bezoekers identiek uit aan DV-certificaten — beide tonen alleen het slotje. De UX-voordelen die EV verkocht zijn weg, de prijs is gebleven.

Let's Encrypt — wat is het en hoe werkt het?

Let's Encrypt is een non-profit certificate authority (CA) gestart in 2016 door onder meer Mozilla, Google en EFF. Doel: HTTPS gratis en universeel maken. Per begin 2026 levert Let's Encrypt jaarlijks 500+ miljoen certificaten wereldwijd uit — meer dan welke commerciële CA dan ook.

Hoe het werkt:

DV-validatie via een protocol genaamd ACME (Automatic Certificate Management Environment)
Geldigheid: 90 dagen (waarom: zie onder)
Auto-renewal: vrijwel alle hosting biedt automatische verlenging via Certbot of vergelijkbare tools
Wildcard support: ja, sinds 2018 (gratis), via DNS-01 challenge
Multi-domain (SAN): ja, tot 100 domeinen per certificaat

De korte 90-dagen geldigheid is bewust: dwingt automatisering af, beperkt de impact als een private key lekt, en stimuleert de hele industrie om naar kortere geldigheidsduur te gaan. CAs als DigiCert leveren commerciële certificaten inmiddels ook met max 397 dagen, omdat de CA/Browser Forum dat als limiet heeft gesteld.

Hoe installeer je Let's Encrypt?

Op moderne hosting hoef je vrijwel niets te doen — Let's Encrypt is standaard ingebakken:

cPanel: SSL/TLS Status of "AutoSSL" — automatisch geïnstalleerd voor elk domein bij accountcreatie
Plesk: Domains → SSL/TLS Certificates → "Install" voor Let's Encrypt
DirectAdmin: Domain Setup → SSL Certificates → "Free & automatic certificate from Let's Encrypt"
Managed WordPress hosting (Kinsta, WP Engine, SiteGround): standaard aan, zero setup
Eigen VPS/server: Certbot via je package manager. Werkt op Apache, Nginx, of standalone

Voor een typische installatie via Certbot op Ubuntu:

sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d jouwsite.nl -d www.jouwsite.nl

Dat is het. Certbot configureert ook automatisch HTTP → HTTPS redirect en zet auto-renewal op. Daarna nooit meer iets doen — tenzij je certificaat-issuanceregels wijzigen.

Betaalde alternatieven en hun prijzen

Voor wie toch een commercieel certificaat wil overwegen, indicatieve jaarprijzen voor 2026:

DV (Domain Validation): €40-120/jaar bij DigiCert, Sectigo, GeoTrust, GoDaddy
OV (Organization Validation): €100-250/jaar
EV (Extended Validation): €200-600/jaar
Wildcard DV: €100-200/jaar (gratis bij Let's Encrypt)
Wildcard OV: €250-600/jaar

Bij goedkopere resellers (NameCheap, GoGetSSL, SSLs.com) liggen deze prijzen vaak 50% lager dan bij de hoofd-CAs zelf.

Wanneer is Let's Encrypt voldoende?

Voor verreweg de meeste sites is gratis Let's Encrypt prima. Concreet:

Standaard zakelijke websites: brochure-sites, portfolio's, blogs
Webshops tot middelgroot — WooCommerce, Shopify, Magento webshops draaien massaal op Let's Encrypt
Mkb tot grote bedrijven: zelfs Fortune 500 bedrijven gebruiken Let's Encrypt voor delen van hun infrastructuur
Multi-subdomain setups: één wildcard voor *.jouwbedrijf.nl dekt alles, gratis
API endpoints, dev/staging omgevingen: razendsnelle setup en cleanup

De versleuteling van een Let's Encrypt certificaat is identiek aan een €600 EV-certificaat. Dezelfde algoritmes, dezelfde sleutelsterkte, dezelfde browser-trust. Het verschil zit alleen in het validatieproces, niet in de cryptografische bescherming.

Wanneer is betaald zinvol?

Er zijn enkele specifieke scenario's waar betaald wel verstandig is:

1. Compliance-eisen

Sommige certificeringen of frameworks (PCI-DSS in specifieke contexten, bepaalde ISO-implementaties, bank-integraties) eisen of prefereren OV/EV. Niet omdat het veiliger is, maar omdat het de organisatie-identiteit cryptografisch verifieert. Check bij je auditor of compliance-officer.

2. Verzekering bij datalek

Commerciële CAs leveren bij hun OV/EV-certificaten vaak verzekering tegen geld-schade bij certificaatfouten — typisch €500.000-€2.000.000. Voor de meeste sites overbodig (de kans op een geld-claim wegens een SSL-fout is minimaal), maar voor banken en betalingsverwerkers relevant.

3. Wildcards op specifieke setups

Let's Encrypt wildcard vereist DNS-01 challenge. Als je DNS-provider geen API heeft die certbot ondersteunt, en handmatig elke 90 dagen DNS-records updaten geen optie is — dan is een commercieel wildcard met 1 jaar geldigheid praktischer.

4. Custom features

Sommige commerciële CAs bieden gespecialiseerde certificaten: code-signing, S/MIME (mail-encryptie), Adobe-signing. Daar heeft Let's Encrypt geen alternatief voor.

5. SLA en support

Heb je een commercieel SLA nodig waarbij iemand telefonisch reageert binnen X uur als er problemen zijn met je certificaat? Dat krijg je niet bij gratis Let's Encrypt. Bij €500/jaar bij DigiCert wel.

Wildcard certificaten — voor *.jouwsite.nl

Een wildcard certificaat dekt alle subdomeinen van een domein in één keer:

*.jouwsite.nl dekt www.jouwsite.nl, shop.jouwsite.nl, api.jouwsite.nl, etc.
Maar niet jouwsite.nl zelf (root) — daar heb je een aparte vermelding voor nodig
Ook niet meerdere niveaus: *.dev.jouwsite.nl dekt geen foo.bar.dev.jouwsite.nl

Praktische setup met Let's Encrypt:

sudo certbot certonly --manual --preferred-challenges=dns \
  -d "*.jouwsite.nl" -d "jouwsite.nl"

Vereist DNS-01 challenge. Sommige hosters automatiseren dit via plugin (zoals certbot-dns-cloudflare voor Cloudflare-DNS).

Multi-domain (SAN) certificaten

Multi-domain certificaten dekken meerdere onafhankelijke domeinen in één certificaat:

jouwsite.nl
jouwbedrijf.nl
vakantievilla.com

Handig als je meerdere domeinen op dezelfde server host. Let's Encrypt ondersteunt dit gratis tot 100 domeinen per certificaat. Bij Certbot voeg je gewoon meerdere -d flags toe.

Auto-renewal — niet vergeten

Een verlopen certificaat is een offline site. Browsers tonen waarschuwingen die conversies kelderen. De #1 fout met SSL: niet automatisch verlengen.

Hosting-niveau: cPanel/Plesk/DirectAdmin doen dit automatisch — controleer dat AutoSSL of Auto-renewal actief is
Certbot: voegt standaard een cron-job toe (/etc/cron.d/certbot) die elke 12 uur checkt of verlenging nodig is
Test eens met sudo certbot renew --dry-run — probeert renewal zonder echt te wijzigen

Bij betaalde certificaten: zet kalender-reminders 30, 14 en 7 dagen vóór vervaldatum. Geen automatische verlenging tenzij je dat actief regelt.

Tools om je certificaat te testen

SSL Labs Server Test: complete audit van je SSL-config. Krijgt 'A' bij goede setup, 'F' bij grote problemen. Test ook protocol-versies, cipher suites, OCSP stapling
crt.sh: certificate transparency log — toont elk certificaat ooit uitgegeven voor jouw domein. Handig om verdachte uitgiftes te detecteren
Why No Padlock?: detecteert mixed content (HTTP-resources op HTTPS-pagina) — veelvoorkomende oorzaak van "site niet geheel beveiligd" waarschuwing
Browser DevTools → Security tab: snelle check op mixed content en certificaat-info

Veelvoorkomende issues

"Site is niet volledig beveiligd"

Mixed content: je pagina laadt over HTTPS maar bevat HTTP-resources (afbeeldingen, scripts, iframes). Fix: zorg dat alle interne URLs HTTPS gebruiken. Voor WordPress: plugin "Better Search Replace" om alle http://jouwsite.nl in de database naar https://jouwsite.nl te wijzigen.

Certificaat verlopen

Auto-renewal niet werkend. Check: zijn DNS records correct? Heeft je hosting toegang tot poort 80/443 voor Let's Encrypt's HTTP-01 challenge? Op shared hosting: contact support; op eigen server: sudo certbot renew --dry-run draaien.

Subdomein heeft geen certificaat

Wildcard certificaat alleen voor *.jouwsite.nl? Dan dekt 'ie niet jouwsite.nl zelf. Voeg het root-domein expliciet toe aan het certificaat.

Certificaat fout op mobiel/oudere browsers

Mogelijk gebruik je een modern certificate chain die oudere systemen niet kennen. Test op SSL Labs met "Trusted by" sectie. Oplossing: alternative chain serveren (Certbot heeft --preferred-chain optie).

HTTP/2 of HTTP/3 werkt niet

HTTP/2 vereist HTTPS, maar HTTPS impliceert geen HTTP/2. Beide moeten apart aan op server-niveau. Test op KeyCDN's HTTP/2 test.

Mijn advies voor de meeste sites

Als ik morgen vijf nieuwe websites zou opzetten, gebruik ik op alle vijf Let's Encrypt. Geen overweging, geen marketing-overtuiging — gewoon de praktisch beste keuze. Gratis, automatisch, vanaf elke moderne hosting binnen 5 minuten beschikbaar, en cryptografisch identiek aan welk premium certificaat dan ook.

Twijfel je over compliance-eisen of wil je daadwerkelijk EV/OV om bedrijfsmatige redenen — vraag eerst je auditor of jurist of het écht vereist is. In de meeste gevallen kun je ze argumenteren dat moderne DV-certificaten (van Let's Encrypt of betaald) voor 99% van de scenario's voldoen.

Wanneer schakel je hulp in?

Auto-renewal werkt niet en je weet niet waarom — vaak DNS-config of hosting-permissies
Mixed content waar je geen wegwijs in raakt
Site werkt op desktop maar geeft SSL-fouten op specifieke mobiele apparaten
Migratie van betaald certificaat naar Let's Encrypt zonder downtime
Wildcard setup met DNS-API integratie voor automatisering
Custom certificaat (intern bedrijfsnetwerk, code-signing, S/MIME)
SSL Labs grade onder B en je weet niet welke kant op

SSL is een onderwerp waar veel mensen onnodig veel geld aan uitgeven door marketing. De realiteit: voor 95% van de Nederlandse mkb-sites is Let's Encrypt niet alleen acceptabel maar echt de beste keuze. Geen jaarlijkse vernieuwing, geen vergeten herinneringen, geen verlopen certificaten. Gewoon — werkt.