Mijn Website Zegt 'Niet Veilig' — Zo Los Je Het Op

Je opent je eigen website en in de adresbalk staat "Niet veilig". Of erger: een bezoeker stuurt je een screenshot met die melding. Dat is geen cosmetisch probleem. Browsers blokkeren actief formulieren op onveilige pagina's en Google rankt je site lager.

Het goede nieuws: je kunt dit in 15 minuten oplossen. Meestal gratis.

Wat betekent 'Niet veilig'?

Wanneer je browser "Niet veilig" toont, betekent dat precies een ding: je website draait op HTTP in plaats van HTTPS. Het verschil is een SSL-certificaat (officieel TLS-certificaat, maar iedereen noemt het nog SSL).

HTTP stuurt alles in platte tekst. Wachtwoorden, formuliergegevens, creditcardnummers — alles is leesbaar voor iedereen die het netwerkverkeer onderschept. Dat kan op een openbaar wifi-netwerk in een paar seconden.

HTTPS versleutelt de verbinding tussen de browser en je server. Een SSL-certificaat bewijst dat de website echt is en niet nagemaakt. Browsers tonen een slotje in de adresbalk.

Sinds 2018 markeren Chrome, Firefox, Safari en Edge alle HTTP-websites als "Niet veilig". Dat was een bewuste keuze: gebruikers moeten weten wanneer hun gegevens onbeschermd zijn.

Waarom dit urgent is

Dit is geen waarschuwing die je volgende maand kunt oppakken. Er zijn drie directe gevolgen.

Bezoekers haken af

Uit onderzoek blijkt dat 84% van online shoppers een aankoop afbreekt als ze zien dat de verbinding niet veilig is. Voor een contactformulier is het niet anders: niemand vult zijn gegevens in op een website die de browser als onveilig bestempelt.

Google straft je af

Google gebruikt HTTPS als rankingfactor sinds 2014. Zonder HTTPS scoor je lager in zoekresultaten. Bij gelijke content wint de HTTPS-variant altijd.

AVG-overtreding

De AVG schrijft in Artikel 32 voor dat je "passende technische maatregelen" moet nemen om persoonsgegevens te beschermen. HTTPS is de absolute minimumstandaard. Als je een contactformulier, inlogpagina of bestelproces hebt op een HTTP-website, verwerk je persoonsgegevens zonder versleuteling. Dat is een overtreding.

Meer over AVG-verplichtingen voor je website lees je in de AVG checklist voor ondernemers.

Stap-voor-stap: SSL-certificaat installeren

De aanpak hangt af van je hostingprovider, maar het principe is overal hetzelfde: activeer een SSL-certificaat en forceer HTTPS.

Stap 1: Check of je hoster gratis SSL aanbiedt

De meeste Nederlandse hostingproviders bieden gratis SSL via Let's Encrypt. Log in op je hostingpaneel en zoek naar:

• DirectAdmin: "SSL Certificates" of "Let's Encrypt"
• cPanel: "SSL/TLS Status" of "Let's Encrypt"
• Plesk: "Websites & Domains" → je domein → "SSL/TLS Certificates"
• TransIP: Controlpanel → je domein → "SSL" (gratis Let's Encrypt bij alle pakketten)
• Antagonist: DirectAdmin → "SSL Certificates" → "Free & automatic certificate"
• Versio: DirectAdmin → "SSL Certificates"
• Strato: Pakketbeheer → "Beveiliging" → "SSL"

Bij de meeste hosters is het een kwestie van een knop indrukken. Het certificaat wordt automatisch aangevraagd en geinstalleerd. Dat duurt maximaal een paar minuten.

Stap 2: Forceer HTTPS

Een SSL-certificaat installeren is niet genoeg. Je moet je website ook dwingen om HTTPS te gebruiken. Anders blijft de HTTP-versie bereikbaar en toont de browser nog steeds "Niet veilig" voor bezoekers die via de oude URL binnenkomen.

Via je hostingpaneel:

De meeste hosters hebben een optie "Force HTTPS" of "SSL Redirect". Schakel die in. Klaar.

Via .htaccess (Apache):

Als je hoster die optie niet heeft, voeg dit toe aan het .htaccess-bestand in je webroot:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Via Nginx:

server {
    listen 80;
    server_name jouwdomein.nl www.jouwdomein.nl;
    return 301 https://$server_name$request_uri;
}

Stap 3: Test of het werkt

Open je website in een incognito-venster en typ bewust http://jouwdomein.nl in de adresbalk. Als alles goed is ingesteld, word je automatisch doorgestuurd naar https://jouwdomein.nl en zie je een slotje.

Controleer ook subpagina's. Het komt voor dat de homepage wel op HTTPS werkt maar dat diepere pagina's dat niet doen.

CMS-specifieke instructies

WordPress

WordPress heeft na het installeren van een SSL-certificaat twee extra stappen nodig.

1. Pas de site-URL aan:

Ga naar Instellingen → Algemeen. Verander zowel "WordPress-adres (URL)" als "Site-adres (URL)" van http:// naar https://.

2. Installeer een redirect-plugin (optioneel):

Als je geen toegang hebt tot .htaccess, gebruik dan de plugin "Really Simple Security" (voorheen Really Simple SSL). Met meer dan 9 miljoen actieve installaties is het de populairste SSL-plugin voor WordPress. De plugin biedt 1-klik SSL-activatie inclusief een ingebouwde Mixed Content Fixer die onveilige URLs automatisch herschrijft. Na activatie hoef je niks te configureren.

3. Controleer mixed content:

WordPress slaat interne links en afbeeldingen op met absolute URLs in de database. Als je site op HTTP draaide, staan er overal http://-verwijzingen. Gebruik de plugin "Better Search Replace" om in de database http://jouwdomein.nl te vervangen door https://jouwdomein.nl.

Shopify

Shopify regelt SSL automatisch via Let's Encrypt. Als je een eigen domein hebt gekoppeld, installeert Shopify binnen maximaal 48 uur een SSL-certificaat. Je hoeft niks te doen.

Werkt het niet? Controleer of je DNS-instellingen correct zijn. Shopify heeft een A-record en CNAME nodig die naar hun servers wijzen. De exacte waarden staan in je Shopify-admin onder "Domains".

Wix en Squarespace

Beide platforms bieden standaard HTTPS op alle sites. Bij Wix is SSL gratis inbegrepen en kan het niet worden uitgeschakeld — elke Wix-website is automatisch beveiligd. Als je op een van beide platforms "Niet veilig" ziet, is er waarschijnlijk iets mis met je domein-DNS. Controleer in je domeininstellingen of het domein correct is gekoppeld.

Zelf gebouwde websites

Als je website op een eigen server draait (VPS, dedicated server), moet je het certificaat zelf installeren. De makkelijkste manier is Certbot, de officiele client van Let's Encrypt:

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d jouwdomein.nl -d www.jouwdomein.nl

Certbot configureert Nginx automatisch en stelt een cronjob in om het certificaat elke 60 dagen te vernieuwen.

Mixed content: de stille saboteur

Je hebt SSL geinstalleerd, HTTPS geforceerd en je ziet een slotje. Maar op sommige pagina's staat er toch een waarschuwing. Dat is mixed content.

Mixed content betekent dat je HTTPS-pagina elementen laadt via HTTP. Denk aan:

• Afbeeldingen met http://-URLs
• Externe scripts (jQuery, fonts, analytics) via HTTP
• CSS-bestanden via HTTP
• Iframes die HTTP-pagina's laden

Browsers blokkeren actief "active mixed content" (scripts, iframes) en tonen een waarschuwing bij "passive mixed content" (afbeeldingen). In beide gevallen verdwijnt het slotje.

Zo vind je mixed content

1. Open je website in Chrome
2. Druk op F12 om DevTools te openen
3. Ga naar het tabblad "Console"
4. Zoek naar waarschuwingen die beginnen met "Mixed Content"
5. Die meldingen vertellen je precies welke bestanden via HTTP worden geladen

Zo los je mixed content op

• Interne links en afbeeldingen: Vervang http:// door https:// in je CMS of database
• Externe scripts: Controleer of de aanbieder HTTPS ondersteunt (dat doet iedereen tegenwoordig) en pas de URL aan
• Hardcoded URLs in thema-bestanden: Doorzoek je thema op http:// en vervang door https:// of door protocol-relatieve URLs (//)
• CDN-bestanden: Als je een CDN gebruikt, schakel HTTPS in op je CDN-configuratie

Voor meer over websitebeveiliging, bekijk de security checklist voor kleine bedrijven en de uitleg over SSL-certificaten.

Wat als je hoster geen SSL aanbiedt?

Sommige goedkope of oudere hostingpakketten bieden geen SSL. Dat komt steeds minder voor, maar het bestaat nog. Je hebt drie opties.

Optie 1: Cloudflare als tussenlaag

Maak een gratis Cloudflare-account aan en wijs je domein naar Cloudflare's nameservers. Cloudflare biedt gratis SSL via hun "Flexible" of "Full" modus. Je website krijgt HTTPS zonder dat je hoster iets hoeft te ondersteunen.

Let op: "Flexible SSL" versleutelt alleen de verbinding tussen bezoeker en Cloudflare, niet tussen Cloudflare en je server. "Full SSL" versleutelt beide verbindingen. Gebruik altijd "Full" als je hoster SSL ondersteunt.

Optie 2: Upgrade je hostingpakket

Bij de meeste hosters is SSL beschikbaar op een duurder pakket. Bij TransIP, Antagonist en Versio is SSL gratis bij alle pakketten. Een overstap kost weinig moeite en bespaart je problemen.

Optie 3: Stap over naar een andere hoster

Als je hoster in 2026 nog geen gratis SSL aanbiedt, is het tijd om te wisselen. Let's Encrypt bestaat sinds 2014. Elke serieuze hostingprovider ondersteunt het.

HTTPS en de AVG

De relatie tussen HTTPS en de AVG is niet optioneel. Artikel 32 van de AVG verplicht je om "passende technische en organisatorische maatregelen" te nemen om persoonsgegevens te beschermen. De Autoriteit Persoonsgegevens (AP) beschouwt versleuteling als een basisvereiste.

Concreet: als je website een contactformulier, inlogscherm, bestelproces of nieuwsbrief-inschrijving heeft en die draait op HTTP, dan verwerk je persoonsgegevens zonder adequate bescherming. De AP kan je daarvoor aanspreken. Dat is geen theorie: een orthodontistenpraktijk kreeg een boete van €12.000 van de AP omdat hun patiëntenwebsite onbeveiligd was.

Dit geldt ook voor websites die "alleen een contactformulier" hebben. Een naam en e-mailadres zijn persoonsgegevens. Die onversleuteld verzenden is een risico dat je niet hoeft te nemen, zeker niet als de oplossing gratis is.

Lees meer over waarom HTTPS een AVG-vereiste is.

Veelgestelde problemen na het instellen van SSL

De website laadt niet meer

Controleer of je certificaat correct is geinstalleerd. Ga naar SSL Labs en vul je domein in. De test toont fouten in je certificaatketen.

Veelvoorkomende oorzaak: het intermediaire certificaat ontbreekt. Je hoster kan dat voor je oplossen.

Het slotje verschijnt niet op alle pagina's

Dat is mixed content. Zie het hoofdstuk hierboven. Gebruik de Chrome DevTools Console om de oorzaak te vinden.

De website laadt langzaam na HTTPS

HTTPS voegt minimale overhead toe (een paar milliseconden voor de TLS-handshake). Als je website merkbaar trager is, ligt het niet aan SSL. Controleer of je server HTTP/2 ondersteunt, dat compenseert de overhead ruimschoots.

Het certificaat verloopt steeds

Let's Encrypt-certificaten zijn 90 dagen geldig. Ze moeten automatisch vernieuwd worden. Als dat niet gebeurt, check of de automatische vernieuwing aanstaat in je hostingpaneel. Bij Certbot kun je testen met sudo certbot renew --dry-run.

SSL-foutcodes en hun oplossingen

Zie je een specifieke foutmelding in je browser? Hieronder staan de meest voorkomende SSL-foutcodes en hoe je ze verhelpt.

| Foutcode | Betekenis | Oplossing | |---|---|---| | ERR_CERT_DATE_INVALID | Je certificaat is verlopen | Vernieuw het certificaat via je hostingpaneel. Stel auto-renewal in zodat dit niet opnieuw gebeurt. | | Mixed Content | Je HTTPS-pagina laadt bestanden via HTTP | Wijzig alle interne URLs naar https://. Voeg als tijdelijke maatregel de header Content-Security-Policy: upgrade-insecure-requests toe. | | ERR_CERT_COMMON_NAME_INVALID | Het certificaat hoort bij een ander domein | Vraag een nieuw certificaat aan dat matcht met je domeinnaam (inclusief www-variant). | | ERR_CERT_AUTHORITY_INVALID | Self-signed certificaat dat browsers niet vertrouwen | Vervang het self-signed certificaat door een certificaat van een vertrouwde CA zoals Let's Encrypt. | | Incomplete Chain | Het intermediaire certificaat ontbreekt | Installeer de volledige certificaatketen. Je CA levert naast het servercertificaat ook een intermediate certificaat — beide moeten op je server staan. | | SSL_VERSION_MISMATCH / ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Je server gebruikt een verouderde TLS-versie | Configureer je server voor minimaal TLS 1.2. TLS 1.0 en 1.1 worden door moderne browsers niet meer ondersteund. |

Checklist: alles op een rij

Gebruik deze checklist om te controleren of je website correct is beveiligd:

• [ ] SSL-certificaat is geinstalleerd en actief
• [ ] HTTP wordt automatisch doorgestuurd naar HTTPS (301 redirect)
• [ ] Alle pagina's tonen het slotje, niet alleen de homepage
• [ ] Geen mixed content-waarschuwingen in de browser console
• [ ] Site-URL in je CMS is aangepast naar https://
• [ ] Interne links in content gebruiken https://
• [ ] Google Search Console is bijgewerkt met de HTTPS-URL
• [ ] Sitemap bevat HTTPS-URLs
• [ ] SSL Labs-test toont minimaal een A-rating
• [ ] Automatische certificaatvernieuwing is ingesteld

Laat je website scannen

Een slotje in de adresbalk is stap een. Maar beveiliging is meer dan alleen SSL. Security headers, verouderde software, onveilige formulieren, ontbrekende CSP: er zijn tientallen technische punten die je niet met het blote oog kunt controleren.

Scan je website gratis en krijg binnen twee minuten een volledig beveiligingsrapport. Geen account nodig.

Veelgestelde vragen

Waarom zegt mijn browser 'Niet veilig'?

Je website draait op HTTP in plaats van HTTPS. Dat betekent dat er geen SSL-certificaat actief is en dat gegevens onversleuteld worden verstuurd. Elke browser toont deze waarschuwing sinds 2018 voor alle websites zonder SSL.

Kost een SSL-certificaat geld?

Niet per se. Let's Encrypt biedt gratis SSL-certificaten (90 dagen geldig, automatisch vernieuwbaar). Voor de meeste mkb-websites is dat voldoende — alle certificaattypen bieden identieke 256-bit versleuteling. Wil je toch een betaald certificaat? Reken op: DV (Domain Validation) €8–€50 per jaar, OV (Organization Validation) €90–€250 per jaar, EV (Extended Validation) €130–€1.000+ per jaar. Het verschil zit in de validatieprocedure en garanties, niet in de versleutelingssterkte. De meeste hostingproviders (TransIP, Antagonist, Versio) installeren Let's Encrypt automatisch.

Is HTTPS verplicht onder de AVG?

De AVG vereist "passende technische maatregelen" om persoonsgegevens te beschermen. HTTPS is de minimale standaard die de Autoriteit Persoonsgegevens verwacht. Zonder HTTPS verwerk je data onveilig en loop je risico op een waarschuwing of boete.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.