Let's Encrypt: gratis SSL-certificaat instellen
Gepubliceerd op 3 juli 2026 7 min leestijd
Let's Encrypt geeft gratis SSL-certificaten uit voor https. Ontdek hoe het werkt, hoe automatische verlenging werkt en hoe je het instelt in Plesk.
Let's Encrypt is een gratis, geautomatiseerde certificaatautoriteit waarmee je jouw website beveiligt met een SSL-certificaat. Zo bereiken bezoekers je site via een versleutelde https-verbinding in plaats van gewoon http. In dit artikel lees je wat Let's Encrypt is, hoe gratis SSL-certificaten werken, hoe de automatische verlenging in elkaar zit en hoe je het instelt, onder andere in Plesk.
Wat is Let's Encrypt?
Let's Encrypt is een certificaatautoriteit, afgekort CA. Dat is een organisatie die digitale certificaten uitgeeft waarmee een website aan bezoekers een versleutelde en betrouwbare verbinding kan bieden. Wat Let's Encrypt bijzonder maakt, is dat het volledig gratis en geautomatiseerd werkt.
Achter Let's Encrypt zit de non-profitorganisatie ISRG (Internet Security Research Group). De dienst is sinds 2015 publiek beschikbaar en beveiligt inmiddels honderden miljoenen websites. Let's Encrypt wordt betaald uit donaties en sponsoring, niet uit de verkoop van certificaten.
Let's Encrypt geeft alleen zogeheten Domain Validated-certificaten uit, kortweg DV. Bij een DV-certificaat controleert de CA of jij zeggenschap hebt over het domein, en niet wie je als organisatie bent. Voor vrijwel elke website, webshop of webapplicatie is dat precies wat je nodig hebt: een geldig slotje en een versleutelde verbinding.
Hoe werken gratis SSL-certificaten?
Een SSL-certificaat, technisch eigenlijk een TLS-certificaat, doet twee dingen tegelijk. Het versleutelt het verkeer tussen de browser van je bezoeker en je server, en het bevestigt dat de bezoeker echt met jouw domein verbonden is. De browser laat dit zien met een slotje, en het webadres begint met https.
Dat een certificaat van Let's Encrypt gratis is, zegt niets over de kwaliteit ervan. De versleuteling is even sterk als bij een betaald certificaat. Het verschil zit in wat er wordt gecontroleerd en in extra's zoals uitgebreide validatie of garanties, niet in de beveiliging van de verbinding zelf.
Houd wel voor ogen wat een DV-certificaat niet doet. Het beveiligt de verbinding, maar het is geen keurmerk voor het bedrijf achter een website. Het slotje betekent versleuteld, niet automatisch betrouwbaar.
Hoe werkt Let's Encrypt? Het ACME-protocol
Let's Encrypt kan alleen gratis en op grote schaal werken omdat alles geautomatiseerd is. Dat gebeurt met het ACME-protocol (Automatic Certificate Management Environment). ACME is een open standaard waarmee software een certificaat kan aanvragen, de validatie doorlopen en het certificaat installeren zonder dat er een mens aan te pas komt.
Op je server draait daarvoor een ACME-client. Bekende voorbeelden zijn Certbot en acme.sh, maar ook controlepanelen zoals Plesk en cPanel hebben een ACME-client ingebouwd. Bij LJPc regelt Plesk dit voor je, dus in de praktijk hoef je hier zelf niets voor te installeren.
Domeinvalidatie: HTTP-01 en DNS-01
Voordat Let's Encrypt een certificaat uitgeeft, moet je bewijzen dat je het domein beheert. Dat gaat via een validatie, meestal op een van deze twee manieren:
- HTTP-01: de ACME-client zet een uniek bestand op een vast pad op je webserver. Let's Encrypt haalt dat bestand op om te controleren dat jij de server beheert. Het pad ziet er zo uit:
http://jouwdomein.nl/.well-known/acme-challenge/<token>
- DNS-01: je plaatst een tijdelijk TXT-record in je DNS, op de naam _acme-challenge. Deze methode is verplicht voor wildcard-certificaten en werkt ook als je server niet publiek bereikbaar is.
_acme-challenge.jouwdomein.nl. TXT "<validatiewaarde>"
Voor de HTTP-01-validatie moet je domein via een A-record naar het juiste IP-adres van je server wijzen. Klopt dat niet, dan kan Let's Encrypt de validatie niet uitvoeren en mislukt de aanvraag.
Geldigheid en automatische verlenging
Een certificaat van Let's Encrypt is op dit moment 90 dagen geldig. Die korte looptijd is een bewuste keuze. Ze beperkt de schade als een sleutel ooit uitlekt en dwingt beheerders om de verlenging te automatiseren.
Handmatig elke drie maanden een nieuw certificaat aanvragen is onhandig en foutgevoelig. Daarom hoort verlenging vanzelf te gaan. De ACME-client kijkt regelmatig hoeveel dagen een certificaat nog geldig is en vernieuwt het ruim op tijd, doorgaans wanneer ongeveer twee derde van de looptijd voorbij is.
De geldigheidsduur van certificaten wordt de komende jaren stapsgewijs korter, niet alleen bij Let's Encrypt maar in de hele sector. Let's Encrypt biedt daarnaast al zeer kortlopende certificaten van zes dagen aan. Automatische verlenging wordt daardoor alleen maar belangrijker: staat het eenmaal goed ingesteld, dan merk je van die kortere looptijden niets.
Let's Encrypt instellen in Plesk
LJPc hosting werkt met het controlepaneel Plesk, waarin Let's Encrypt is ingebouwd. Het aanvragen en verlengen van certificaten loopt via Plesk en gaat grotendeels vanzelf. Je hebt dus geen losse software of diepgaande technische kennis nodig. De namen in het scherm kunnen per Plesk-versie iets verschillen, maar de stappen komen op het volgende neer:
- Log in op Plesk en ga naar Websites & domeinen.
- Kies het domein dat je wilt beveiligen en open SSL/TLS-certificaten.
- Kies de optie om een gratis certificaat van Let's Encrypt te installeren.
- Geef aan wat je wilt beveiligen, bijvoorbeeld het domein met en zonder www, en eventueel webmail.
- Bevestig de aanvraag. Plesk regelt de validatie en installeert het certificaat.
Na installatie is je site via https bereikbaar. Zet daarna een doorverwijzing van http naar https aan, zodat bezoekers altijd op de beveiligde versie uitkomen. In Plesk kan dat met de ingebouwde instelling of met de extensie SSL It!, die ook opties biedt voor HSTS en OCSP-stapling.
Wat er op LJPc-hosting automatisch gebeurt
Staat SSL voor je domein aan, dan wordt een certificaat automatisch aangevraagd, geïnstalleerd en op tijd verlengd. Voordat een certificaat wordt uitgegeven, controleert het systeem eerst of je domein via het A-record en, voor IPv6, het AAAA-record naar de juiste server wijst. Wijst je domein nog ergens anders heen, dan slaagt de aanvraag pas als dat in orde is.
Wildcard-certificaat
Wil je met een enkel certificaat in één keer al je subdomeinen beveiligen, bijvoorbeeld *.jouwdomein.nl? Dan heb je een wildcard-certificaat nodig. Let's Encrypt geeft die uit, maar alleen via de DNS-01-validatie. Plesk moet daarvoor je DNS kunnen beheren, of je plaatst het gevraagde TXT-record zelf.
Let's Encrypt en het CAA-record
Met een CAA-record bepaal je in je DNS welke certificaatautoriteiten een certificaat voor jouw domein mogen uitgeven. Een CAA-record is niet verplicht, maar als je er een gebruikt, moet je Let's Encrypt daarin toestaan. De waarde die je daarvoor opneemt, is letsencrypt.org.
jouwdomein.nl. CAA 0 issue "letsencrypt.org"
Heb je geen CAA-record, dan mag elke publiek vertrouwde CA een certificaat uitgeven, waaronder Let's Encrypt, en werkt de aanvraag gewoon. Sluit je CAA-record Let's Encrypt juist uit, dan wordt de aanvraag geweigerd.
Veelvoorkomende problemen
Loopt het instellen of verlengen vast, dan komt dat meestal door een van deze oorzaken:
| Probleem | Oorzaak | Oplossing |
|---|---|---|
| Validatie mislukt (HTTP-01) | Het domein wijst niet naar de juiste server of het validatiebestand is onbereikbaar. | Controleer of het A-record naar het juiste IP-adres wijst en of de site over http bereikbaar is. |
| Certificaat wordt niet verlengd | De automatische verlenging lukt niet, bijvoorbeeld door een gewijzigd DNS- of A-record. | Controleer of het domein nog naar de juiste server wijst en of de verlenging in Plesk aanstaat. |
| Aanvraag geweigerd | Een CAA-record staat Let's Encrypt niet toe. | Voeg de waarde letsencrypt.org toe aan je CAA-record, of verwijder het record. |
| Wildcard lukt niet | Een wildcard-certificaat vereist DNS-01-validatie. | Laat Plesk je DNS beheren of plaats het gevraagde TXT-record handmatig. |
| Browser toont nog een waarschuwing | De site laadt onderdelen nog via http (mixed content) of stuurt niet door naar https. | Zet de doorverwijzing naar https aan en laad alle afbeeldingen en scripts via https. |
Kom je er niet uit, of twijfel je of je certificaat goed staat? Neem gerust contact op met onze support, dan kijken we met je mee.
Veelgestelde vragen
Is Let's Encrypt echt gratis?
Ja. Let's Encrypt geeft SSL-certificaten volledig gratis uit, zonder verborgen kosten. De dienst wordt gerund door de non-profitorganisatie ISRG en betaald uit donaties en sponsoring.
Hoe lang is een Let's Encrypt-certificaat geldig?
Een Let's Encrypt-certificaat is op dit moment 90 dagen geldig. Omdat de verlenging automatisch gaat, hoef je zelf niets bij te houden. De geldigheidsduur wordt de komende jaren korter, wat automatische verlenging nog belangrijker maakt.
Moet ik een Let's Encrypt-certificaat handmatig verlengen?
Nee. Een ACME-client, zoals die in Plesk, verlengt het certificaat automatisch ruim voordat het verloopt. Handmatig verlengen is alleen nodig als de automatische verlenging faalt, bijvoorbeeld door een fout in je DNS.
Wat is het verschil tussen Let's Encrypt en een betaald SSL-certificaat?
De versleuteling is bij beide even sterk. Let's Encrypt geeft Domain Validated-certificaten uit, die alleen controleren of je het domein beheert. Betaalde certificaten kunnen daarnaast de identiteit van je organisatie verifiëren of een garantie bieden. Voor de meeste websites is een gratis certificaat van Let's Encrypt voldoende.
Ondersteunt Let's Encrypt wildcard-certificaten?
Ja. Let's Encrypt geeft wildcard-certificaten uit waarmee je in één keer al je subdomeinen beveiligt. Dat kan alleen via de DNS-01-validatie, waarbij je een TXT-record in je DNS plaatst.
Moet ik mijn CAA-record aanpassen voor Let's Encrypt?
Alleen als je een CAA-record gebruikt. Heb je er een, voeg dan de waarde letsencrypt.org toe zodat Let's Encrypt certificaten mag uitgeven. Zonder CAA-record hoef je niets te doen en werkt de aanvraag gewoon.