BasisHost

Premium SSL/TLS Deep Audit: Hoe Werkt Het?

De Premium SSL/TLS Deep Audit analyseert de complete cryptografische configuratie van uw webserver: certificaat-keten, ondersteunde TLS-versies, cipher suites, kwetsbaarheden en best practices. Het levert een rapport vergelijkbaar met SSL Labs, maar in begrijpelijk Nederlands en met concrete aanbevelingen.

Wat is de Premium SSL/TLS Deep Audit?

De Premium SSL/TLS Deep Audit is een grondige, geautomatiseerde analyse van de SSL/TLS-configuratie van uw website. De tool maakt verbinding met uw server, inspecteert het certificaat, controleert welke protocollen en cipher suites worden aangeboden en toetst dit aan de actuele Mozilla- en NCSC-richtlijnen.

U ontvangt een totaalscore van 0 tot 100 en een letter-grade (A+ tot F) plus deelscores per categorie. Zo ziet u in één oogopslag of er kwetsbaarheden zijn (zwakke ciphers, TLS 1.0/1.1, ontbrekende OCSP-stapling, etc.) en wat de prioriteit is om aan te pakken.

De 5 categorieën

1

Certificaat-keten (25 punten)

De audit valideert het server-certificaat en de complete chain naar een trusted root: geldigheid, vervaldatum, key-size, ondertekenings-algoritme (SHA-256 vs SHA-1), Subject Alternative Names, en of de chain compleet is.

Een ontbrekende intermediate of een chain-of-trust fout veroorzaakt browser-waarschuwingen voor sommige bezoekers, vaak alleen op specifieke devices. De audit detecteert dit voordat uw klanten erover klagen.

2

Protocol-versies (25 punten)

Welke TLS-versies accepteert uw server? TLS 1.0 en 1.1 zijn deprecated (PCI-DSS, NCSC) en moeten uitgeschakeld zijn. TLS 1.2 is minimum, TLS 1.3 wordt aanbevolen.

De audit controleert ook of SSLv2/SSLv3 nog actief zijn (kritieke kwetsbaarheid) en of u gevoelig bent voor downgrade-aanvallen.

3

Cipher suites & key exchange (25 punten)

Iedere geconfigureerde cipher wordt getoetst op forward secrecy, sleutellengte, modus (GCM vs CBC) en bekende kwetsbaarheden (BEAST, POODLE, Sweet32, ROBOT).

De audit signaleert zwakke ciphers (RC4, 3DES, NULL, EXPORT) en evalueert de cipher-volgorde. De aanbeveling sluit aan op de Mozilla «intermediate» of «modern» baseline.

4

OCSP, HSTS & security headers (15 punten)

Een goede TLS-config is meer dan ciphers: OCSP-stapling versnelt validatie, HSTS dwingt HTTPS af, en headers als Content-Security-Policy en X-Frame-Options voegen verdediging-in-diepte toe.

De audit controleert HSTS (incl. preload-eligibility), OCSP-stapling, certificate transparency en relevante security headers.

5

Compliance & best practices (10 punten)

Tot slot toetst de audit aan publieke baselines: PCI-DSS 4.0 voor betalingsverkeer, NCSC 2.0 voor Nederlandse overheidsrichtlijnen, en de Mozilla SSL Configuration Generator.

U krijgt per baseline een pass/fail-overzicht en concrete config-snippets voor Nginx, Apache en Caddy.

Wat wordt er gecontroleerd?

De Deep Audit voert ruim 25 individuele controles uit. Hieronder de belangrijkste:

  • Certificaat: geldigheid, expiry-datum, key-size (RSA ≥ 2048, EC ≥ 256), SHA-256 signing.
  • Chain-of-trust: complete chain, geen self-signed/expired intermediates.
  • SAN-coverage: alle gehoste hostnames in Subject Alternative Names.
  • TLS-versies: TLS 1.2/1.3 ingeschakeld, TLS 1.0/1.1/SSLv3 uit.
  • Cipher suites: alleen forward-secret AEAD ciphers (AES-GCM, ChaCha20-Poly1305).
  • Cipher-volgorde: server-preferred met sterkste eerst.
  • Forward secrecy: ECDHE/DHE op alle ciphers.
  • OCSP-stapling: ingeschakeld en correct geretourneerd.
  • HSTS: aanwezig met max-age ≥ 6 maanden, includeSubDomains, preload-ready.
  • Security headers: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
  • Bekende kwetsbaarheden: BEAST, POODLE, Sweet32, ROBOT, Heartbleed, DROWN.
  • Compliance: PCI-DSS 4.0, NCSC 2.0 en Mozilla intermediate baseline.

Resultaten interpreteren

Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:

  • Totaalscore (0-100) met letter-grade A+ t/m F.
  • Categorie-breakdown per onderdeel (chain, protocollen, ciphers, headers, compliance).
  • Per-check tabel met status (ok/waarschuwing/fout) en uitleg per controle.
  • Geprioriteerd actieplan — eerst de kritieke kwetsbaarheden, daarna de hardening tips.
  • Server-config snippets voor Nginx, Apache en Caddy om de aanbevelingen direct toe te passen.
  • Compliance-overzicht per baseline (PCI-DSS, NCSC, Mozilla).
  • Downloadbaar PDF-rapport in NL of EN, klaar om te delen.

Een score van 90+ duidt op een uitstekende configuratie. Onder de 70 zijn er waarschijnlijk kwetsbaarheden die direct aandacht verdienen — lees in dat geval eerst de «kritiek»-bevindingen voordat u door het rapport bladert.

Wat zit er in het rapport?

Premium SSL/TLS Deep Audit — €69

De Premium SSL/TLS Deep Audit levert een compleet, professioneel rapport. Het rapport bevat:

  • Volledige scan van certificaat, protocollen en cipher suites
  • Compliance-toets tegen PCI-DSS 4.0, NCSC 2.0 en Mozilla intermediate
  • Server-config snippets voor Nginx, Apache en Caddy
  • Geprioriteerd actieplan met kritieke kwetsbaarheden bovenaan
  • Downloadbaar PDF-rapport (NL/EN) om te delen met uw hoster of devops
  • 3 herhalingen om resultaat te verifiëren na configuratie-wijzigingen

Veelgestelde vragen

Wat is het verschil met de gratis SSL Checker?

De gratis SSL Checker toont alleen of het certificaat geldig is en wanneer het verloopt. De Premium Deep Audit analyseert daarnaast cipher suites, TLS-versies, OCSP-stapling, HSTS, bekende kwetsbaarheden en compliance — vergelijkbaar met SSL Labs, maar met config snippets en in het Nederlands.

Hoe lang duurt de scan?

Doorgaans tussen 30 en 90 seconden, afhankelijk van hoeveel TLS-versies en cipher suites uw server aanbiedt. Tijdens de scan wordt geen verkeer naar uw site geleid; we openen alleen een handvol TLS-handshakes.

Werkt het ook voor mail- of API-servers?

Ja. De audit ondersteunt elke TLS-eindpunt, inclusief mailservers (poort 465/587/993/995) en API-eindpunten op niet-standaard poorten. Vermeld de poort in het host:poort-formaat.

Wat als ik een Cloudflare-proxy gebruik?

De audit analyseert dan de Cloudflare-edge config (TLS naar de bezoeker). Voor de origin-config kunt u tijdelijk een directe DNS-record gebruiken (bv. origin.uwdomein.nl) en die scannen.

Bekijk een voorbeeldrapport

Zie vooraf wat u krijgt: een volledig uitgewerkt SSL/TLS Deep Audit rapport met scores, aanbevelingen en uitleg in begrijpelijke taal.

Download voorbeeld-PDF
Premium — €69
SSL/TLS Deep Audit

Diepgaande SSL/TLS-analyse met config snippets, kwetsbaarheids-detectie en compliance-toets aan PCI-DSS, NCSC en Mozilla.

Bestel de Premium SSL/TLS Deep Audit
Start gratis proefperiode 14 dagen gratis · geen contract
Aanvragen