SSL-certificaat vernieuwen: handleiding en tips

Een verlopen SSL-certificaat is een van de snelste manieren om bezoekers af te schrikken. Browsers tonen grote waarschuwingen en de meeste mensen verlaten je website onmiddellijk. Het vernieuwen van je SSL-certificaat voorkomt dit probleem en is gelukkig vrij eenvoudig als je weet hoe het werkt.

De frequentie van vernieuwing hangt af van je certificaattype. Let's Encrypt certificaten verlopen na 90 dagen, commerciële certificaten na 1-2 jaar. Het goede nieuws is dat moderne hosting vaak automatische vernieuwing biedt. Toch is het belangrijk te begrijpen hoe het proces werkt voor wanneer automatisering faalt.

In dit artikel doorlopen we het complete vernieuwingsproces: van het controleren van je vervaldatum tot het oplossen van veelvoorkomende problemen. Of je nu Let's Encrypt gebruikt of een betaald certificaat hebt, na dit artikel weet je precies wat je moet doen.

Vervaldatum controleren

Via de browser is de snelste methode. Klik op het slotje in de adresbalk, klik op 'Verbinding is beveiligd' en bekijk de certificaatdetails. Hier zie je de vervaldatum.

Via de command line gebruik je OpenSSL:

openssl s_client -connect jouwsite.nl:443 | openssl x509 -noout -dates

Dit toont zowel de uitgiftedatum als de vervaldatum.

Via online tools zoals SSL Labs of SSL Checker kun je elk domein controleren. Dit is handig voor het monitoren van meerdere websites.

Monitoring instellen is de beste optie voor de lange termijn. Diensten zoals UptimeRobot, Pingdom of specifieke SSL-monitoring tools waarschuwen je automatisch wanneer je certificaat bijna verloopt.

Let's Encrypt automatisch vernieuwen

Certbot is de officiële client voor Let's Encrypt en biedt automatische vernieuwing via een cron-job of systemd-timer. Controleer of automatische vernieuwing actief is:

sudo certbot renew --dry-run

Bij cPanel is Let's Encrypt meestal geïntegreerd via de AutoSSL-functie. Deze controleert dagelijks op certificaten die binnen 30 dagen verlopen en vernieuwt ze automatisch.

Bij Plesk vind je SSL-instellingen onder 'Websites & Domains'. De optie 'Keep website secured' zorgt voor automatische vernieuwing.

Problemen met automatische vernieuwing ontstaan vaak door:

• Firewall die poort 80 blokkeert (nodig voor HTTP-01 challenge)
• Gewijzigde DNS-instellingen
• Volle schijfruimte
• Verlopen domeinnaam

Handmatig vernieuwen via Certbot:

sudo certbot renew

Of voor een specifiek domein:

sudo certbot certonly --webroot -w /var/www/html -d jouwsite.nl

Betaald SSL-certificaat vernieuwen

Stap 1: Genereer een nieuwe CSR (Certificate Signing Request). Dit doe je via je server of hostingpaneel. De CSR bevat je domeingegevens en publieke sleutel.

Via OpenSSL:

openssl req -new -newkey rsa:2048 -nodes -keyout nieuwesleutel.key -out nieuwecsr.csr

Bewaar je private key veilig. Zonder deze key is je certificaat waardeloos.

Stap 2: Bestel vernieuwing bij je SSL-provider of reseller. Je hebt de CSR nodig. De meeste aanbieders bieden korting bij vernieuwing.

Stap 3: Doorloop domeinvalidatie. Afhankelijk van je certificaattype is dit een e-mail, DNS-record of HTTP-bestand. OV en EV certificaten vereisen aanvullende bedrijfsverificatie.

Stap 4: Ontvang en installeer het nieuwe certificaat. Je krijgt meestal meerdere bestanden: je certificaat en een CA-bundle (intermediate certificates).

Stap 5: Configureer je webserver met het nieuwe certificaat. De exacte stappen variëren per servertype.

Installatie per servertype

Apache:

SSLCertificateFile /pad/naar/certificaat.crt
SSLCertificateKeyFile /pad/naar/privatekey.key
SSLCertificateChainFile /pad/naar/ca-bundle.crt

Herstart Apache na wijzigingen:

sudo systemctl restart apache2

Nginx:

ssl_certificate /pad/naar/certificaat.crt;
ssl_certificate_key /pad/naar/privatekey.key;

Bij Nginx moet je het certificaat en de CA-bundle vaak samenvoegen:

cat certificaat.crt ca-bundle.crt > combined.crt

Herstart Nginx:

sudo systemctl restart nginx

cPanel: Ga naar SSL/TLS → Manage SSL Sites, selecteer je domein en plak het nieuwe certificaat, private key en CA bundle in de juiste velden.

Plesk: Onder Websites & Domains → SSL/TLS Certificates, upload of plak je nieuwe certificaatbestanden.

Veelvoorkomende problemen oplossen

"Certificate chain incomplete" betekent dat intermediate certificaten missen. Voeg de CA-bundle toe aan je configuratie of combineer certificaten in het juiste formaat.

"Private key doesn't match" ontstaat wanneer je een CSR genereert met een andere key dan waarmee je installeert. Genereer een nieuwe CSR met de juiste private key.

"Certificate not yet valid" kan voorkomen als je server-klok verkeerd staat. Controleer de systeemtijd en synchroniseer met NTP.

Browser blijft oud certificaat tonen door caching. Wis je browsercache, test in incognito-modus of wacht enkele uren tot CDN-caches verversen.

Mixed content waarschuwingen verschijnen als sommige resources nog via HTTP laden. Controleer je HTML op hardcoded HTTP-URLs.

Vernieuwing plannen en automatiseren

Stel herinneringen in ruim voor de vervaldatum. De meeste CA's sturen waarschuwingen, maar vertrouw hier niet blind op. Gebruik je eigen kalender of monitoring.

Documenteer je proces. Noteer welke stappen je uitvoert, waar certificaten en keys worden opgeslagen, en wie verantwoordelijk is. Dit voorkomt paniek bij toekomstige vernieuwingen.

Test na installatie met tools zoals SSL Labs Server Test. Dit controleert niet alleen of je certificaat geldig is, maar ook of je configuratie veilig is.

Overweeg langere geldigheid. Hoewel maximaal 398 dagen (iets meer dan 1 jaar) sinds 2020, vermindert een jaarlijks certificaat het aantal vernieuwingscycli ten opzichte van Let's Encrypt.

Checklist SSL-vernieuwing

Vóór vernieuwing:

• [ ] Controleer huidige vervaldatum
• [ ] Bepaal of je handmatig of automatisch vernieuwt
• [ ] Zorg dat je toegang hebt tot server en DNS
• [ ] Check of domeinregistratie geldig blijft

Tijdens vernieuwing:

• [ ] Genereer nieuwe CSR (indien betaald SSL)
• [ ] Bewaar private key veilig
• [ ] Doorloop validatieproces
• [ ] Maak backup van oude certificaat

Na vernieuwing:

• [ ] Test website in meerdere browsers
• [ ] Controleer op mixed content
• [ ] Verifieer certificaatketen
• [ ] Update monitoring met nieuwe vervaldatum

Kosten en timing

Let's Encrypt is gratis maar vereist vernieuwing elke 60-90 dagen. Automatiseer dit altijd.

Betaalde certificaten kosten €10-500 per jaar afhankelijk van type. Vernieuw ruim voor de vervaldatum om continuïteit te garanderen.

Tip: sommige aanbieders staan toe dat je tot 90 dagen voor verval vernieuwt, waarbij de resterende dagen worden toegevoegd aan je nieuwe certificaat. Zo verlies je geen betaalde dagen.

Meer informatie: WordPress.org documentatie

Veelgestelde vragen

Hoe lang duurt het om dit te implementeren?

De implementatietijd varieert per situatie. Voor eenvoudige configuraties is dit binnen een uur geregeld, complexere setups kunnen enkele uren tot een dag duren.

Wat zijn de kosten?

De kosten zijn afhankelijk van je hosting provider en pakket. Veel basisfuncties zijn gratis inbegrepen, voor geavanceerde functies kunnen extra kosten gelden.

Heb ik technische kennis nodig?

Voor de basis heb je weinig technische kennis nodig. De meeste hosting providers bieden uitgebreide documentatie en support om je te helpen.