Wat is Let's Encrypt?
Let's Encrypt is een non-profit Certificate Authority (CA) opgericht in 2014 door onder meer de Electronic Frontier Foundation en Mozilla. Sinds 2016 productie-grade en sinds 2018 mainstream. In 2026 dekt Let's Encrypt ~60% van het wereldwijde HTTPS-verkeer.
Het certificaat is technisch identiek aan dat van DigiCert, GlobalSign of Comodo (Sectigo). Zelfde encryptie-algoritmes (RSA-2048 of ECC), zelfde browser-trust, zelfde HTTPS-padlock in Chrome/Safari/Firefox. Het verschil is uitsluitend financieel en operationeel: gratis + 90-dagen geldigheid + DNS- of HTTP-validatie.
Werkt het voor MKB? Ja — met deze 3 voorwaarden
Voorwaarde 1: Auto-renewal moet betrouwbaar werken
Let's Encrypt-certificaten zijn 90 dagen geldig. Dit is bewust kort — dwingt automatisering af. Maar als auto-renewal niet werkt, gaat je site na 90 dagen offline met een SSL-foutmelding.
Goede platforms (Vercel, Netlify, Cloudflare Pages) doen dit automatisch en betrouwbaar. NL shared-hosts (TransIP, Versio, Antagonist) ook. Zelf-beheerde VPS is het risico-punt — je moet certbot installeren en cronjob configureren. Eén verkeerde cron = certificaat verloopt = klant in paniek.
Check: bezoek ssllabs.com/ssltest en kijk wanneer je certificaat expired. Als het korter dan 30 dagen is, monitor de renewal actief.
Voorwaarde 2: Wildcard vs single-domain
Standaard Let's Encrypt-certificaten dekken één of meer specifieke domeinen (designcheck.nl, www.designcheck.nl). Voor wildcard-certificaten (*.designcheck.nl) is DNS-validatie verplicht (TXT-record toevoegen tijdens renewal). Dit kan automatisch via DNS-API's (Cloudflare, Vercel), maar bij oudere registrars handmatig — wat kapot kan gaan.
Check: heb je veel subdomeinen (shop.example.nl, blog.example.nl, beta.example.nl)? Dan wildcard-certificaat overwegen. Anders single-domain volstaat.
Voorwaarde 3: Enterprise/firewall-compatibiliteit
Sommige enterprise-firewalls (oude SonicWall, Cisco-omgevingen) vertrouwen Let's Encrypt niet automatisch. Dit is zeldzaam in 2026 maar komt voor bij bezoekers uit conservatieve corporate-omgevingen. Voor MKB-sites met B2B-klanten in zorg/overheid: check je analytics op SSL-fouten.
Voor 95% van MKB-sites is dit irrelevant. Voor de overige 5% kan een paid OV/EV-certificaat (€100-€500/jaar) een veilige fallback zijn.
DV, OV, EV — wat is het verschil?
| Type | Validatie | Prijs/jaar | Voor MKB? |
|---|---|---|---|
| DV (Domain) | Domein-eigenaar | €0 (Let's Encrypt) | Ja, standaard |
| OV (Organization) | KvK + identiteit | €50-€200 | Soms B2B |
| EV (Extended) | Uitgebreid onderzoek | €200-€500 | Zelden |
Sinds Chrome en Safari de "groene balk" met bedrijfsnaam (specifiek voor EV) in 2019 hebben afgeschaft, is er voor MKB nog amper visueel voordeel aan duurdere certificaten. Voor banken en webshops die >€100K omzet per maand draaien soms nog ja, voor 95% van MKB nee.
Veelgemaakte SSL-fouten op MKB-sites
1. HTTP en HTTPS niet redirecten
Site is bereikbaar op zowel http://example.nl als https://example.nl. Dit veroorzaakt duplicate-content-issues bij Google en is een security-risico. Configureer een 301-redirect van HTTP naar HTTPS via je host (Vercel/Netlify doen dit automatisch) of via .htaccess (Apache) / nginx.conf.
2. Mixed content (HTTPS-pagina laadt HTTP-resources)
Pagina is HTTPS, maar bevat <img src="http://...">. Chrome geeft waarschuwing, blokkeert sommige resources. Fix: alle resources naar HTTPS verwijzen of relatieve URLs (//example.nl/...).
3. Expired certificaat door auto-renewal-falen
Cron-job kapot, DNS-validatie mislukt, of disk vol bij je host. Resultaat: certificaat verloopt, site geeft browser-warning, bezoekers vluchten. Voorkomen: monitor met UptimeRobot of ssllabs.
4. Verkeerde redirect-chain
http://example.nl → https://example.nl → https://www.example.nl. Drie redirects = 3x extra round-trip = trage site. Fix: één redirect direct naar finale URL.
Hoe wij dit doen bij DC-rebuilds
Bij elke DC-rebuild configureren wij SSL standaard via Let's Encrypt op de gekozen host. Automatische renewal getest. HSTS-header gezet (vertelt browsers altijd HTTPS te gebruiken). Mixed-content audit op alle pagina's. CAA-record gezet (alleen Let's Encrypt mag voor jouw domein certificaten uitgeven).
Voor zorg- of financiële klanten met OV/EV-vereisten regelen we paid certificaten via Sectigo of GlobalSign. Zie ook: DNS uitleg, CDN voor MKB. Hulp nodig? Gratis audit. Wat een SSL-fout je kost: verliescalculator. Lokaal: DesignCheck Mijdrecht.
FAQ — SSL gratis voor MKB
Is een gratis SSL-certificaat veilig genoeg voor mijn MKB-site?
Wat is het verschil tussen DV, OV en EV SSL?
Moet ik mijn SSL elke 90 dagen vernieuwen?
Heeft HTTPS impact op SEO?
DV, OV en EV — wat zijn de verschillen?
Niet alle SSL-certificaten zijn gelijk. DV (Domain Validation) is het meest voorkomende type en bevestigt alleen dat de aanvrager controle heeft over het domein. Let's Encrypt levert exclusief DV-certificaten, automatisch en gratis, met een geldigheidsduur van 90 dagen. Voor 95 procent van de MKB-sites is dit het juiste antwoord — een bezoeker ziet hetzelfde slotje, dezelfde groene URL-balk, en dezelfde versleuteling als bij een duur certificaat. OV (Organization Validation) bevestigt ook dat de organisatie achter het domein een echte juridische entiteit is — de CA controleert KvK-uittreksels en belt soms een receptie. Kost 100 tot 300 euro per jaar.
EV (Extended Validation) gaat een stap verder met diepgaande verificatie en kostte vroeger 500 tot 1500 euro per jaar. De praktische meerwaarde is verdwenen: sinds 2019 tonen Chrome en Safari geen aparte groene EV-balk meer, dus bezoekers zien geen verschil met een DV-certificaat. Voor MKB-sites is EV daarom in 2026 weggegooid geld. De enige situaties waarin OV of EV nog zin heeft: financiële instellingen die regulatoire eisen moeten halen, of B2B-leveranciers die een specifieke procurement-checklist moeten afvinken. Voor alle anderen is Let's Encrypt zonder uitzondering de juiste keuze.
Let's Encrypt in de praktijk — automatisering en valkuilen
De grote kracht van Let's Encrypt zit in automatische verlenging. Een certificaat is 90 dagen geldig, maar het hoort om de 60 dagen automatisch te worden vernieuwd door certbot, acme.sh, of de ingebouwde renewal in je hostingplatform. Vercel, Netlify en Cloudflare doen dit allemaal transparant — je merkt er niets van. Bij DirectAdmin- of Plesk-hosts moet je in het control panel één keer de Let's Encrypt-knop indrukken, daarna draait de cronjob automatisch. De valkuil is dat handmatige interventies (een DNS-record dat tijdelijk uitstaat tijdens een migratie, een rate-limit overschrijden door te vaak proberen) de verlenging laten falen — en dan staat je site op een dinsdagochtend opeens op "certificate expired".
Voorkomen is simpel: zet uptime-monitoring op die ook de certificaatgeldigheid checkt. Uptimerobot, Better Stack en BetterUptime doen dit gratis voor één site. Krijg je een waarschuwing dat het certificaat over 14 dagen verloopt, dan heb je twee weken om uit te zoeken wat er mis is met de verlenging. Plan ook altijd een handmatige renewal-test in voor je een grote migratie doet — als die mislukt weet je tenminste dat er iets stuk is voor het automatische proces het ook merkt.
Door Lorenzo Ruisi — DesignCheck Mijdrecht. Laatst bijgewerkt 16 mei 2026.