SSL-certificaat Verlopen? Zo Controleer, Verleng en Voorkom Je Het
Verlopen SSL-certificaat? Zo controleer, verleng en herstel je het — plus automatisch monitoren en de kortere geldigheidsduur die in 2026 aankomt.
Jean-Pierre Broeders
Security & DevOps Expert
Een verlopen SSL-certificaat is een van die problemen die je niet ziet aankomen — totdat je hele website ineens plat ligt en bezoekers een rode waarschuwing krijgen. Het vervelende: het is volledig te voorkomen. In dit artikel lees je waarom SSL-certificaten verlopen (en steeds sneller), hoe je controleert of een certificaat is verlopen, hoe je het per platform verlengt, wat je doet als het al te laat is, en hoe je het voortaan automatisch monitort.
Het nightmare scenario: je SSL-certificaat is verlopen
Het is maandagochtend. Je klant belt panisch: "De website werkt niet! Er staat een Engelse foutmelding!"
Je opent de site en ziet het: "Your connection is not private". Je SSL-certificaat is verlopen.
Dit overkomt meer mensen dan je denkt, en de gevolgen zijn groot:
- Klantvertrouwen — bezoekers haken meteen af bij een waarschuwingsscherm
- SEO-impact — een onbereikbare of onveilige site schaadt je posities in Google
- Omzetverlies — niemand rekent af op een site die "niet veilig" heet te zijn
- Reputatieschade — je merk wordt geassocieerd met onbetrouwbaarheid
Waarom verlopen SSL-certificaten (en waarom steeds sneller)
SSL/TLS-certificaten hebben bewust een beperkte geldigheidsduur. Hoe korter een certificaat geldig is, hoe minder lang een gestolen of misbruikt certificaat schade kan aanrichten. Daarom is de maximale levensduur de afgelopen jaren flink ingekort: van 39 maanden, naar 825 dagen, naar de huidige maximaal ~398 dagen (13 maanden).
En het wordt nog korter. Het CA/Browser Forum heeft in 2025 een traject vastgelegd waarbij de maximale geldigheid stapsgewijs daalt tot 47 dagen in 2029. De praktische conclusie is simpel: handmatig verlengen is geen houdbaar plan meer. Wie nu nog op een kalenderherinnering vertrouwt, loopt straks elke zes weken risico.
In de praktijk gaat het vooral mis door:
- Te veel domeinen — hoe houd je overzicht over tientallen of honderden certificaten?
- Te weinig zicht — certificaten waarschuwen je niet proactief dat ze bijna verlopen
- Automatische verlengingen die falen — door DNS-problemen, configuratiefouten, een onbereikbare validatie-endpoint of betalingsproblemen
- Vergeten wildcard-certificaten —
*.jouwdomein.nlis zo over het hoofd gezien - Development- en staging-omgevingen —
test.jouwdomein.nlstaat zelden in iemands agenda
Een certificaat dat gisteren nog werkte, kan vandaag verlopen zijn. En het ergste: meestal zijn je klanten de eersten die het merken, niet jij.
De risico's van een verlopen certificaat
Een verlopen certificaat is veel meer dan een cosmetische waarschuwing in de browser:
- Man-in-the-middle-aanvallen — zonder geldig certificaat is versleuteld verkeer makkelijker te onderscheppen
- Verlies van data-integriteit — bezoekers hebben geen garantie meer dat ze écht met jouw server praten
- Steeds agressievere browserwaarschuwingen — moderne browsers blokkeren de toegang vaak volledig in plaats van een te negeren waarschuwing te tonen
- PCI-compliance — voor webshops kan een verlopen certificaat directe non-compliance betekenen
Security is hierin geen losstaand onderwerp. Certificaatbeheer hoort thuis in je bredere beveiligingsaanpak — zie ook onze API security best practices voor de andere kant van diezelfde medaille.
Hoe controleer je of een SSL-certificaat is verlopen?
Je hoeft niet te wachten tot een bezoeker de fout meldt. Controleren kan in seconden:
- Via de browser — klik op het hangslot in de adresbalk en bekijk "certificaat geldig tot".
- Via de command line met OpenSSL — ideaal voor scripts en snelle checks:
# Bekijk de geldigheidsdatums van een certificaat
echo | openssl s_client -connect jouwdomein.nl:443 -servername jouwdomein.nl 2>/dev/null | openssl x509 -noout -dates
Je krijgt dan een notBefore- en notAfter-datum te zien. Die laatste is je deadline.
- Via een online SSL-checker — handig om in één keer de volledige certificaatketen en configuratie te controleren.
Tip: wil je weten over hoeveel dagen een certificaat verloopt? Gebruik
-checkend. Het commandoopenssl x509 -checkend 604800geeft een exit-code terug die aangeeft of het certificaat binnen 7 dagen (604800 seconden) verloopt — perfect voor een monitoringscript.
SSL-certificaat verlengen: stap voor stap per platform
De manier waarop je een SSL-certificaat verlengt hangt af van je setup. De drie meest voorkomende scenario's:
Let's Encrypt met Certbot
De meeste moderne servers gebruiken het gratis Let's Encrypt. Certbot regelt verlenging automatisch, maar controleer of de timer écht draait:
# Test of automatische verlenging werkt (zonder echt te vernieuwen)
sudo certbot renew --dry-run
# Status van de geplande verlenging
systemctl list-timers | grep certbot
Let's Encrypt-certificaten zijn 90 dagen geldig en worden standaard vanaf 30 dagen voor expiratie vernieuwd. Faalt de dry-run? Dan faalt je echte verlenging straks ook — los het nú op.
Nginx
Na een verlenging moet Nginx het nieuwe certificaat inladen. Test eerst de configuratie en herlaad daarna zonder downtime:
sudo nginx -t && sudo systemctl reload nginx
Apache
sudo apachectl configtest && sudo systemctl reload apache2
Handmatige certificaten (cPanel of CA-portaal)
Gebruik je een betaald certificaat? Genereer een nieuwe CSR, bestel de verlenging bij je Certificate Authority, en installeer het nieuwe certificaat plus de bijbehorende intermediate-certificaten. Vergeet de keten niet — een ontbrekend intermediate-certificaat geeft op veel apparaten dezelfde foutmelding als een verlopen certificaat.
Wat te doen als je certificaat al verlopen is
Te laat? Geen paniek — herstellen kan vaak binnen een kwartier:
- Bevestig de oorzaak. Draai de OpenSSL-check hierboven om zeker te weten dat het écht expiratie is en geen keten- of naamprobleem.
- Forceer een verlenging. Bij Certbot:
sudo certbot renew --force-renewal. Bij een betaald certificaat: bestel direct een nieuwe en installeer die. - Herlaad je webserver zodat het nieuwe certificaat actief wordt (
reload, niet alleen vervangen op schijf). - Leeg caches en CDN. Diensten als Cloudflare cachen certificaatinformatie; forceer een refresh aan de edge.
- Verifieer publiek met een externe SSL-checker, niet alleen lokaal — lokale caches kunnen je een vals gevoel van veiligheid geven.
SSL-certificaten automatisch monitoren: de echte oplossing
Verlengen los je incidenteel op. Het structurele antwoord is monitoring, zodat je nooit meer afhankelijk bent van geheugen of toeval. Mijn advies:
- Gelaagde alerts — waarschuwingen op minimaal 30, 14 en 7 dagen voor expiratie
- Meerdere notificatiekanalen — e-mail én Slack én SMS voor de echt kritieke gevallen
- Centraal overzicht — welke certificaten heb je, en welke verlopen binnenkort?
- Automatisch verlengen waar het kan — laat je CA of Certbot het werk doen
- Monitor óók je development-domeinen — alle hostnames, inclusief
test.jouwdomein.nl
Dit past naadloos in een bredere DevOps-monitoringstack: net zoals je cronjobs monitort, hoor je je certificaten te monitoren.
Daarom heb ik CertGuard gebouwd — het monitort al mijn certificaten automatisch en waarschuwt me ruim voordat er iets verloopt. Met de aankomende kortere geldigheidsduur is dat geen luxe meer, maar noodzaak.
Quick win: controleer al je domeinen vandaag
Wacht niet op de volgende crisis. Loop vandaag nog je domeinen langs:
# Controleer de expiratiedatum van één domein
echo | openssl s_client -connect jouwdomein.nl:443 -servername jouwdomein.nl 2>/dev/null | openssl x509 -noout -dates
Zie je iets dat verlopen is of binnenkort verloopt? Fix het nu, voordat je klanten het merken. Een verlopen SSL is een makkelijk te voorkomen probleem met grote gevolgen.
Veelgestelde vragen over verlopen SSL-certificaten
Hoe lang is een SSL-certificaat geldig? Op dit moment maximaal ongeveer 398 dagen (13 maanden). Die periode wordt de komende jaren stapsgewijs ingekort tot 47 dagen in 2029, wat automatische verlenging vrijwel verplicht maakt.
Wat gebeurt er als mijn SSL-certificaat verloopt? Browsers tonen een waarschuwing als "Your connection is not private" en blokkeren vaak de toegang volledig. Bezoekers haken af, je SEO en omzet lijden eronder, en webshops riskeren PCI-non-compliance.
Kan ik een verlopen SSL-certificaat nog verlengen?
Een verlopen certificaat verleng je niet meer; je vraagt een nieuw certificaat aan of forceert een vernieuwing (bijvoorbeeld certbot renew --force-renewal) en herlaadt daarna je webserver.
Hoe controleer ik wanneer mijn SSL-certificaat verloopt?
Klik op het hangslot in je browser, of gebruik openssl s_client op de command line om de notAfter-datum op te vragen. Voor meerdere domeinen is geautomatiseerde monitoring de enige schaalbare oplossing.
Verlengt Let's Encrypt automatisch?
Ja, Certbot vernieuwt Let's Encrypt-certificaten standaard automatisch vanaf 30 dagen voor expiratie — mits de timer draait en de validatie slaagt. Test dit met certbot renew --dry-run.
Meer tips over SSL en security? Neem contact op of probeer CertGuard voor automatische certificaatmonitoring.
