Contact
TOOL

SSL / certificaat checker

Inspecteer het SSL-certificaat van een site: uitgever, geldigheidsperiode, alternative names en signature-algoritme. Toont direct hoeveel dagen 't certificaat nog geldig is — voor je bezoekers de bekende rode "Your connection is not private"-melding krijgen.

← Alle tools
Voer een domeinnaam in. Tool maakt een TLS-verbinding op poort 443 en parseert het certificaat.

Wanneer gebruik je deze SSL-checker?

SSL-issues zijn vaak het soort waar bezoekers in paniek raken: "Your connection is not private" in rode letters. De helft van die meldingen is simpel op te lossen, maar pas nadat je weet wat er werkelijk mis is. Concrete situaties:

  • Verlooptijd controlerenVoor klant-portfolio: snel zien welke certs binnen 14 dagen verlopen, zodat je ze kan vernieuwen vóór downtime.
  • Bij browser-waarschuwingBezoekers melden "niet veilig"-waarschuwing. Tool laat zien of het cert verlopen is, mismatch heeft of een chain-probleem.
  • Na nieuwe site/migratieDirect na een hosting-switch verifiëren of het certificaat goed is uitgegeven en de juiste hostname dekt.
  • Subdomein dekkings-checkVerifiëren of een wildcard of multi-SAN certificaat ook een specifiek subdomein (mail, shop, blog) afdekt.
  • Audit voor complianceVoor klanten met ISO 27001 of NEN 7510: controleer signature-algoritme (geen SHA-1) en key-lengte (RSA 2048+).

Hoe lees je het resultaat?

  • Subject CN / Alt Names Voor welke domeinen is dit certificaat geldig. De hostname die je test móét in deze lijst staan, anders waarschuwt de browser.
  • Uitgever (Issuer) Welke Certificate Authority het cert heeft getekend. Let's Encrypt is gangbaar voor MKB; GlobalSign, Sectigo, DigiCert voor enterprise.
  • Geldig tot / dagen Verlooptijd. Let's Encrypt = 90 dagen, hoort ±60 dagen automatisch te vernieuwen. Onder 14 dagen = signaal dat auto-renewal stuk is.
  • Signature algoritme SHA-256 of beter is modern. SHA-1 is sinds 2017 niet meer geaccepteerd door browsers.
  • Public key bits RSA 2048+ of ECC 256+ is goed. RSA 1024 en lager is achterhaald.
  • Chain (intermediate) Of de tussenliggende CA-certs ook geserveerd worden. Mist er één → mobiele browsers en oudere clients haken af, ook al is het cert geldig.

Wat ik vaak tegenkom

Cert geldig, browser geeft toch waarschuwing. 9 van de 10 keer is de intermediate-chain incompleet. Server stuurt alleen het end-entity cert maar niet de Let's Encrypt R3 / GlobalSign R5 intermediate. Desktop-browsers hebben die soms in cache, mobiele clients niet — die zien dus een gebroken chain.

Auto-renewal heeft 90 dagen niet gewerkt. Klant belde over rode browser. Cert was sinds 7 dagen verlopen. Zoekt het uit: ACME-renewal kon de challenge niet plaatsen omdat een Cloudflare-rule (toegevoegd 90 dagen geleden) de /.well-known/ pad blokkeerde.

www.voorbeeld.nl is verzekerd, voorbeeld.nl niet. Wildcards dekken niet de apex (root). Cert van *.voorbeeld.nl dekt blog.voorbeeld.nl maar níét voorbeeld.nl — daar moet een aparte SAN-entry voor zijn.

Veelgestelde vragen

Hoe vaak moet ik mijn SSL-certificaat vernieuwen?

Let's Encrypt-certificaten zijn 90 dagen geldig en horen automatisch elke ±60 dagen vernieuwd te worden door je hosting (cPanel, DirectAdmin, Plesk doen dit standaard). Betaalde DV-certs zijn meestal 1 jaar geldig (sinds 2020 verplicht maximaal 397 dagen).

Als de tool toont dat je nog minder dan 14 dagen geldig bent, is auto-renewal vermoedelijk stuk. Tijd om te debuggen vóór het verloopt.

Wat is het verschil tussen Let's Encrypt en een betaald certificaat?

Cryptografisch helemaal niets — browsers behandelen ze identiek, geen verschil in beveiliging of SEO. Het verschil zit in:

  • Validatie-niveau: DV (domein-controle, gratis) vs. OV/EV (organisatie-validatie, betaald)
  • Warranty bij compromise (€10k–€1M bij betaalde certs)
  • Support en SLA

Voor 95% van NL MKB-sites is gratis Let's Encrypt prima. Lees ook: Let's Encrypt vs. betaald SSL — wanneer maakt het uit?

Mijn certificaat is geldig maar bezoekers krijgen toch een waarschuwing?

Drie veelvoorkomende oorzaken:

  1. Intermediate ontbreekt — de chain is incompleet. Mobiele browsers haken het eerst af.
  2. Hostname-mismatch — je test op www.voorbeeld.nl maar het cert is alleen voor voorbeeld.nl.
  3. Mixed content — de HTML is HTTPS maar laadt afbeeldingen of scripts via HTTP.

Volledige troubleshooting: "Your connection is not private" oplossen.

Wat is een wildcard-certificaat?

Een certificaat dat geldig is voor alle subdomeinen op één niveau — bijv. *.voorbeeld.nl dekt blog.voorbeeld.nl, shop.voorbeeld.nl, etc.

Belangrijke beperkingen: het dekt niet a.b.voorbeeld.nl (dieper niveau) en niet voorbeeld.nl zelf — daar moet een aparte SAN-entry voor zijn (en die wordt vaak vergeten).

Kan ik de TLS-versie en cipher-suites ook checken?

Niet direct in deze tool — die toont vooral het certificaat zelf. Voor TLS-versies, cipher-suites en kwetsbaarheden (Heartbleed, POODLE, etc.) gebruik je SSL Labs — dat geeft een uitgebreide A+ tot F-rating.

Voor security-headers (HSTS, CSP, X-Frame-Options) gebruik je mijn Security Headers Analyzer.

Gerelateerd

TOOLSecurity Headers Analyzer TOOLHTTP-headers viewer KENNISBANKSSL-fout oplossen KENNISBANKLet's Encrypt vs. betaald