EV SSL-certificaten: Het Beveiligingsequivalent van een Gouden Toilet

Gepubliceerd: door Dallas Kashuba
EV SSL-certificaten: Het Beveiligingsequivalent van een Gouden Toilet thumbnail

Als dit 2010 was, zou ik je vertellen om een Extended Validation (EV) SSL-certificaat te kopen.

Toen zorgden EV-certificaten ervoor dat de adresbalk groen werd, de wettelijke naam van het bedrijf in de URL-balk werd weergegeven, en er een zichtbaar hangslot werd getoond dat de authenticiteit van een site bevestigde.

Screenshot van Thawte EV SSL-certificaat weergegeven in verschillende browsers

Maar het is niet 2010. En EV SSL’s zijn nu echt helemaal dood.

Vandaag de dag is betalen voor een SSL alsof je een gouden toilet koopt. Hetzelfde resultaat, veel duurder.

Wat EV-Certificaten Eigenlijk Deden (en Waarom Het Belangrijk Was)

De basis Domein Validatie (DV) certificaten die je vandaag ziet, verifiëren alleen een domein dat je beheert. Iedereen kan een van deze certificaten krijgen.

Extended Validation-certificaten vereisen uitgebreide bedrijfsverificatie. Denk aan juridische documenten, telefoongesprekken, adresbevestiging en bewijs dat je bedrijf echt bestaat en operationeel is.

Het proces kan dagen of weken duren en omvat menselijke verificatie bij elke stap.

Het eindresultaat was dat je bedrijfsnaam in de browser werd weergegeven zoals dit voorbeeld van Comodo (dat een grote SSL-certificaataanbieder is).

Zij-aan-zij weergave van de browser UI vóór en na de visuele veranderingen van EV SSL — de bedrijfsnaam en groene balk zijn verdwenen, vervangen door een eenvoudige URL-weergave.

Maar zoals je nu ziet, toont zelfs Comodo geen kenmerken van een EV SSL.

Ontvang inhoud rechtstreeks in uw inbox

Meld u nu aan om alle laatste updates rechtstreeks in uw inbox te ontvangen.

Wat Maakt EV SSL Certificaten Nu Een Slechte Keuze?

Het belangrijkste dat EV-certificaten waardevol maakte, waren de visuele indicatoren. En browsers waren de drijvende kracht achter hun verwijdering.

De Verandering Die EV-Certificaten Doodde

Enige tijd na 2015 werden SSL-certificaten de standaard voor websites.

Het hangslotsymbool werd meer een verwachting dan een teken van vertrouwen.

Om redundantie te elimineren, verwijderde Chrome de groene kleur URL-balk in 2018 en verving het hangslotsymbool door het stemicoon in 2023. Firefox elimineerde EV-indicatoren in 2019, en andere browsers volgden dit voorbeeld.

Elke website zonder een geldig SSL-certificaat werd gemarkeerd als “Niet Veilig.”

Mensen moesten op “Geavanceerd” en “Toch doorgaan naar site (onveilig)” klikken voordat ze zo’n website konden bekijken.

Naast elkaar van browser UI voor en na de visuele veranderingen van EV SSL — de bedrijfsnaam en groene balk zijn verdwenen, vervangen door een eenvoudige URL-weergave.

Hiermee is de waardepropositie van EV SSL-certificaten verdampt. Toch zie je nog steeds bedrijven die ze verkopen alsof er niets veranderd is!

Browsers Hebben Ook Gevonden Dat EV Niet Helpt

De verwijdering van visuele aanwijzingen was niet willekeurig. Het was onderbouwd door onderzoek.

De groene URL-balk zou waardevol lijken in de close-up screenshots.

Maar toen Google’s beveiligingsteam onderzocht of de dure verificatie echte veiligheidsvoordelen bood, ontdekten ze dat “de EV UI gebruikers niet beschermt zoals bedoeld.”

Gebruikers nemen geen verschillende beveiligingsbeslissingen als EV-indicatoren aanwezig of afwezig zijn. Mozilla bereikte soortgelijke conclusies na hun eigen onderzoek.

De conclusie? Uitgaven aan EV-certificaten leidden niet tot betere bescherming tegen daadwerkelijke bedreigingen, zoals phishing of kwaadaardige websites.

De Meeste Gebruikers Zien Nooit Meer EV-Informatie

Toen Chrome 77 en Firefox 70 ergens in 2018 werden uitgebracht, werd ook het laatste beetje EV-informatie verborgen.

Voorbeeld van een geldig SSL-certificaat in actie — de browser bevestigt dat de verbinding veilig is, vaak weergegeven met een hangslotsymbool.

De bedrijfsnaam, de status van uitgebreide validatie, de geverifieerde bedrijfsinformatie — alles was onder het pictogram van de muzieknoot geplaatst en vereiste dat gebruikers klikten om de certificaatdetails te bekijken.

Dus, de meerderheid van de gebruikers zou nooit de EV-details zien die zogenaamd de premium prijzen rechtvaardigden.

Een Certificaat Is Een Certificaat — Ze Bieden Allemaal Dezelfde Versleuteling

De taak van een SSL-certificaat is het versleutelen van gegevens die van de browser van een bezoeker naar de server van het bedrijf reizen. Dit zorgt ervoor dat kwaadwillenden de gegevens niet kunnen bespioneren.

Visuele vergelijking van onveilige (HTTP) versus veilige (HTTPS) verbindingen — toont hoe SSL-certificaten gegevens tijdens de overdracht beschermen.

ELK SSL-certificaat kan gegevens op dezelfde manier versleutelen.

De encryptiealgoritmen zijn identiek: RSA-2048 voor sleuteluitwisseling, SHA-256 voor digitale handtekeningen, AES voor symmetrische encryptie.

De browser maakt precies dezelfde beveiligde tunnel, ongeacht welke certificaatautoriteit het certificaat heeft uitgegeven of hoeveel je ervoor hebt betaald.

Of je nu een gratis SSL-certificaat gebruikt of een uitgebreid validatiecertificaat van 500 dollar, de daadwerkelijke beveiliging die de gegevens van je gebruikers beschermt, is precies hetzelfde.

Met EV-certificaten betaal je alleen geld voor het extra papierwerk zonder enig extra voordeel.

Wat Is Een Betere Optie In 2025 En Daarna?

Let’s Encrypt heeft de SSL-markt volledig op zijn kop gezet door certificaten gratis, geautomatiseerd en net zo veilig te maken als dure alternatieven. Nu kan iedereen met een domein een SSL-certificaat krijgen.

Let’s Encrypt Domineert De Markt Om Een Reden

Let’s Encrypt, de gratis aanbieder van domeinvalidatiecertificaten, beheerst 63% van de gehele SSL-certificaatmarkt. De rest van de markt wordt gedeeld tussen andere DV- en EV-SSL-aanbieders.

Het bedrijf heeft tegen 2020 meer dan een miljard certificaten uitgegeven.

Stabiele toename in SSL-adoptie: Deze grafiek benadrukt de explosieve groei in dagelijks uitgegeven SSL-certificaten door Let's Encrypt van 2016 tot 2025.
Bron

En nu geeft Let’s Encrypt meer dan 7 miljoen nieuwe certificaten per dag uit.

Automatisering Is Beter Dan Handmatige Processen

Terwijl de SSL-industrie dure certificaten verkocht met handmatige verificatieprocessen die dagen of weken duurden, introduceerde Let’s Encrypt automatisering en efficiëntie.

Het ACME-protocol maakt het mogelijk om certificaten te uitgeven, installeren en vernieuwen zonder menselijke tussenkomst, vaak binnen enkele minuten in plaats van dagen.

Deze automatisering zorgde voor beveiliging samen met gemak. SSL-certificeringsinstanties (CA) kunnen nu gebruikmaken van korter geldige certificaten (bijvoorbeeld 90 dagen).

Zelfs als een aanvaller toegang krijgt tot de privésleutel van een CA (de sleutel die een browser vertelt dat het een geldig certificaat is), zal deze slechts 90 dagen geldig zijn, waarna een nieuwe sleutel wordt gegenereerd en de vorige sleutels als ongeldig worden beschouwd.

Als 90 dagen veel klinken, zijn SSL-providers al stappen aan het ondernemen om dit verder te verminderen.

Korte Levensduur Maakt Handmatige Verificatie Bijna Onmogelijk

De SSL-industrie gaat naar nog kortere geldigheidsperioden voor certificaten.

De maximale levensduur wordt verwacht op 200 dagen in 2026, 100 dagen in 2027 en 47 dagen in 2029 te zijn.

Stel je voor dat je elke 47 dagen door het handmatige verificatieproces van EV gaat — met juridische documenten, telefoongesprekken en bedrijfsverificatie. De administratieve overhead zou alleen al verpletterend zijn, waardoor ze het niet meer waard zouden zijn.

Dat verklaart waarschijnlijk waarom er in 2025 slechts 21.000 websites zijn met een EV-certificaat.

Domeinvalidatie (DV) Certificaten Zijn Meestal Alles Wat Je Nodig Hebt

Domeinvalideringscertificaten (of ze nu gratis of betaald zijn) bieden verschillende voordelen ten opzichte van dure EV-certificaten.

  • Identieke encryptie: Je gebruikers krijgen dezelfde beveiliging
  • Automatische vernieuwing: Geen risico op uitval door verlopen
  • Snellere implementatie: Minuten in plaats van dagen of weken
  • Geen administratieve overhead: Geen papierwerk, telefoongesprekken, of bedrijfsverificatie
  • Toekomstbestendig: Ontworpen voor de kortere certificaatlevensduur die in 2029 komt

Gratis DV SSL-certificaten zoals Let’s Encrypt en CloudFlare bieden hetzelfde beschermingsniveau als andere certificaten. Als dat alles is wat je nodig hebt, kies dan voor een gratis certificaat.

Voor grote organisaties of e-commercebedrijven die klantenondersteuning, langere verloopdata en veiligheidszegels voor het opbouwen van vertrouwen nodig hebben, is een professioneel ondertekend DV SSL-certificaat zinvol.

Gebruiken Grote Bedrijven EV Certificaten En Heeft Iemand Ze Daadwerkelijk Nodig?

Als EV-certificaten echt noodzakelijk waren voor beveiliging en vertrouwen, zou je verwachten dat de grootste bedrijven ze zouden gebruiken.

Zij doen het niet.

Zelfs Amazon, Netflix En Walmart Gebruiken Gratis Certificaten

Troy Hunt, de maker van Have I Been Pwned deelde een tweet toen Chrome voor het eerst begon met experimenteren met het verwijderen van de EV-indicator uit de browser in de eerste helft van 2018.

Deze tweet benadrukt de afname van de zichtbaarheid van EV SSL—de verschuiving van Chrome om geen organisatienamen meer in de adresbalk te tonen, duidt op een bredere beweging naar vereenvoudigde, enkel-slotindicatoren.
Bron

Amazon, Netflix, Walmart, eBay, Target, Best Buy: ondernemingen met onbeperkte beveiligingsbudgetten, teams van experts en miljoenen klanten die dagelijks gevoelige informatie invoeren — ze gebruiken allemaal standaard Domain Validation-certificaten.

Wanneer Shopify en Amazon miljarden in transacties verwerken met gratis SSL-certificaten, waarvan beweren EV-certificaatleveranciers je precies te beschermen dat een gratis certificaat niet kan?

Deze bedrijven beknibbelen niet op beveiliging. Ze gebruiken gewoon certificaten die dezelfde encryptie bieden zonder de onnodige documentatie overhead en kosten.

Is Het Financieel Zinvol Om Te Betalen Voor EV Certificaten?

De economie van EV-certificaten klopt niet als je kijkt naar wat je daadwerkelijk krijgt.

Je Betaalt Voor Industrie Eigenbelang

Het Certificate Authority Browser Forum stelt industriestandaarden op, maar het is in wezen een coalitie van certificaataanbieders die regels maken om duurdere certificaten te verkopen.

Een redditor die beweerde te hebben gewerkt voor een certificaatautoriteit beantwoordde de vraag: “Wat is het nut van high-end SSL-certificaten?”

Ze zeiden dat er geen verschil is tussen een high-end SSL en een gewone. Het is gewoon een manier voor certificeringsautoriteiten om je meer certificaten te verkopen.

Deze Reddit-opmerking benadrukt een groeiend scepticisme: velen zien SSL-certificaten—vooral de premium versies—meer als winstbejag dan bescherming, met weinig praktisch verschil in beveiliging.

Dit creëert duidelijke belangenconflicten wanneer dezelfde bedrijven die dure certificaten verkopen de regels schrijven over wanneer dure certificaten “noodzakelijk” zijn.

Die Miljoen-Dollar Garanties Zijn Marketingtrucs

EV-certificaten worden geleverd met garanties, gewoonlijk tussen de $10.000 en $2 miljoen, afhankelijk van het type certificaat. Deze garanties beschermen je vermoedelijk als de certificaatautoriteit fouten maakt die leiden tot beveiligingsinbreuken.

Maar volgens experts zoals Troy Hunt waren deze garanties altijd al marketingtrucs.

Scott Helme, de oprichter van Report URI, heeft ook drie scenario’s genoemd die door deze garanties worden gedekt.

Verklaring van Scott Helme, de oprichter van Report URI, over certificaatgaranties

Maar geen van deze scenario’s leidt daadwerkelijk tot het indienen van een claim. Ten eerste kan een certificaat niet worden uitgegeven zonder geldige informatie, dus het eerste punt is direct ongeldig. De tweede en derde zijn eveneens ongegrond.

Ik zou aanraden om zowel Scotts artikel als Troys artikel te lezen om een duidelijker begrip te krijgen van waarom ook ik deze als marketingtrucs beschouw.

Heb Je Soms Een EV-Certificaat Nodig?

Ondanks alles waar we het hierboven over gehad hebben, hebben EV-certificaten toch enige nut.

Hier zijn een paar specifieke situaties waarin je terug zou moeten vallen op EV-certificaten.

  • Financiële Instellingen Onder Strikte Regelgevende Eisen: Sommige nalevingskaders, zoals PCI DSS of specifieke bankvoorschriften, vereisen EV-certificaten. Als je regelgever dit vereist, heb je geen keuze.
  • Verouderde IT-apparaten: Sommige oudere systemen, vooral bedrijfshardware uit het begin van de jaren 2000, herkennen de rootcertificaten van Let’s Encrypt niet. Dit wordt steeds zeldzamer naarmate oude systemen worden vervangen.
  • Bedrijfsbeleid Dat Specifieke Certificaattypen Vereist: Sommige grote bedrijven hebben intern beleid dat EV-certificaten vereist voor publiek toegankelijke sites. Dit gaat meestal meer over bedrijfsrisicobeheer dan over daadwerkelijke beveiliging.
  • Codeondertekening en documentondertekening: Let’s Encrypt geeft alleen DV-certificaten uit. Als je software downloads of documenten ondertekent, heb je certificaten nodig van traditionele certificaatautoriteiten.

Voor de overgrote meerderheid van websites zoals blogs, e-commerce winkels, SaaS applicaties, marketingwebsites en de meeste zakelijke websites, biedt een EV-certificaat geen zinvol voordeel ten opzichte van gratis alternatieven.

Moet Je Gewoon Gratis Certificaten Nemen En Verdergaan?

Naar mijn mening is het antwoord een volmondig JA. Sterker nog, voor 99% van de websites is het antwoord ja.

Hier is waarom:

De Markt Heeft Al Besloten

Domeinvalideringscertificaten vormen het grootste deel van de markt.

Cirkeldiagram dat aantoont dat het meeste SSL-gebruik afkomstig is van standaard- of gratis opties zoals Let's Encrypt, met een klein deel voor betaalde certificaten.

Volgens BuiltWith zijn er vanaf juni 2025 meer dan 258 miljoen SSL-certificaten op het internet. De meerderheid is gratis, geautomatiseerd en biedt uitstekende beveiliging.

Opmerking: Je zult merken dat SSL Standaard hier het grootste aandeel heeft. Echter, Let’s Encrypt verkoopt ook SSL Standaard certificaten. Dus, hoewel het apart wordt getoond, zou ik ze als één entiteit beschouwen.

Investeer Je Geld In Beveiliging Die Echt Belangrijk Is

De tijd en het geld dat je bespaart, kunnen worden besteed aan beveiligingsmaatregelen die echt belangrijk zijn: betere hosting infrastructuur, beveiligingsmonitoring, regelmatige back-ups, webapplicatie-firewalls of penetratietests.

De meeste hostingproviders — zoals DreamHost — bieden nu eenklikintegratie van Let’s Encrypt. Als die van jou dat niet doet, is het misschien tijd om een hostingprovider te vinden die begrijpt dat het 2025 is, niet 2010.

Stop Met Piekeren, Een DV SSL Is Alles Wat Je Nodig Hebt

Extended Validation-certificaten zijn dure oplossingen voor problemen die grotendeels gratis opgelost kunnen worden. Ik doel niet op de streng gereguleerde industrieën die EV SSLs nodig hebben — voor de rest van de wereld zou een DV SSL moeten volstaan.

De versleuteling is identiek, browsers hebben de visuele indicatoren verwijderd, en zelfs de grootste bedrijven gebruiken ze niet.

Hier is wat je eigenlijk zou moeten doen:

  • Log in op je hosting controlepaneel
  • Activeer gratis SSL met één klik
  • Je bent klaar!

Jouw gebruikers krijgen dezelfde versleuteling die Amazon en Shopify beschermt.

Als je host geen gratis SSL aanbiedt, moet je overstappen naar een hostingprovider zoals DreamHost die dat wel doet!

Bespaar je geld voor beveiliging die er echt toe doet: back-ups, monitoring, of een webapplicatie firewall.

Die zullen je website veel beter beschermen dan jaarlijks honderden uit te geven voor premium papierwerk.

Als je de technische details liever overlaat aan een professional, hebben we je gedekt met onze professionele websitebeheerdiensten!

Professionele Diensten – Websitebeheer

Wij Regelen Het Technische Gedoe

Breng prestaties en betrouwbaarheid van ondernemingsniveau naar je website. Laat de backend aan de experts over – jij concentreert je op je bedrijf.

Zie Meer
Foto van Dallas Kashuba

Dallas Kashuba