Tien jaar webbeveiliging: wijzer, maar nog lang niet veilig genoeg

Tien jaar webbeveiliging: wijzer, maar nog lang niet veilig genoeg

Jul 09, 2026 web-security ssl-certificates https security-headers dns-security

Tien Jaar Webbeveiliging: Wat We Hebben Geleerd en Waar We Nog Steeds Tekortschieten

Het web van 2016 voelt inmiddels aan als prehistorie. Instagram had net Stories gelanceerd. Pokémon Go was de coolste app van het moment. En als je je website met HTTPS wilde beveiligen, hoorde je bij een kleine minderheid—vaak bespot als overdreven voorzichtig of onnodig duur.

Tien jaar later is het landschap drastisch veranderd. De vraag is niet meer "moet je HTTPS gebruiken?" maar "waarom zou je het niet doen?" Maar het punt is: vooruitgang blijft vragen om meer.

De Cijfers Spreken Boekdelen

Als je naar de miljoen grootste websites kijkt over het afgelopen decennium, zijn de hoofdlijnen hoopgevend:

  • HTTPS-gebruik: Van ongeveer 6% van de topwebsites in 2015 naar ruim 65% nu
  • HSTS-headers: Een verhoging met factor 22, van 11.000 naar 252.000 sites
  • Content Security Policy (CSP): Een verbazingwekkende groei van 125x, van 1.365 naar 170.000 sites

Dit zijn geen loze statistieken. Toen Chrome in 2017 begon met het markeren van non-HTTPS sites als "Niet Veilig", had het web een collectieve paniekaanval. Maar die druk werkte. Tegenwoordig ben je als site zonder HTTPS steeds meer de uitzondering—zeker in de top van de ranglijsten waar verkeer en reputatie het zwaarst wegen.

Het Goede Nieuws: Basisbeveiliging Is Echt Basisgeworden

De echte winst van tien jaar data is dat de ondergrens fundamenteel is veranderd. Tien jaar geleden werden beveiligingsheaders zoals X-Content-Type-Options en X-Frame-Options door minder dan 5% van de topwebsites gebruikt. Nu liggen die cijfers rond de 30-35%.

Dat is belangrijk, want dit zijn geen glamoureuze functies. Niemand schrijft blogposts over X-Frame-Options (nou ja, bijna niemand). Het is het sanitair van webbeveiliging—het saaie werk dat clickjacking, MIME-type sniffing-aanvallen en andere narigheid voorkomt. Dat dit standaardpraktijk is geworden, laat zien hoe ver de industrie is gekomen in het behandelen van security als infrastructuur, niet als optie.

CSP verdient speciale aandacht. Toezien hoe het groeide van 1.365 naar meer dan 170.000 sites is het cybersecurity-equivalent van een startup die van een garage naar industriestandaard groeit. CSP is genuanceerd om correct te implementeren—je moet je contentbronnen begrijpen, scripts van derden, patronen voor inline code en meer. Dat zoveel teams de moeite hebben genomen om het goed te doen, zegt iets over de maturiteit van de industrie in de aanpak van verdediging in diepte.

Het Slechte Nieuws: We Zijn aan het Platteauën (en Soms Glijden We Terug)

Hier wordt optimisme ingewikkeld. Als je kijkt naar de curve van HTTPS-adoptie de afgelopen jaren, dan is die flink afgevlakt. We hebben de "makkelijke" overwinningen binnen: sites die makkelijk konden overschakelen, blogs die Let's Encrypt gebruikten, bedrijven die het reputatierisico van onveiligheid begrepen.

Wat overblijft zijn de hardnekkige gevallen. Legacy-applicaties die flinke herstructurering zouden vereisen. Interne tools die niemand wil aanraken. Sites van organisaties waar beveiliging nog steeds iemands anders probleem is. Dit is geen kritiek op de vooruitgang van het web—het is gewoon de realiteit dat de laatste 10% van elke adoptiecurve het moeilijkst is.

Zorgelijker is de opkomst en ondergang van bepaalde beschermingen. Extended Validation (EV) certificaten, ooit verkocht als de gouden standaard van vertrouwensindicatoren (herinner je je de groene balk in je browser?), zijn min of meer ingestort. Browserbouwers haalden de onderscheidende interface weg die EV-certificaten zichtbaar maakte voor gebruikers, en zonder die differentiatie was er geen businesscase meer voor premiumprijzen. Van 15.600 piekgebruik naar nog geen 4.000 in 2026. Fascinerend studieobject in hoe gebruikerservaring de beveiligingseconomie vormt.

Nieuwe Spelers: Beveiliging in 2026 en Daarna

De echt interessante data uit recente scans gaat niet over de oude standaarden—het gaat over wat hierna komt.

Post-quantumcryptografie begint in de praktijk te verschijnen. Het is nog niet wijdverspreid, maar we zien de eerste voorzichtige implementaties terwijl de industrie zich voorbereidt op een toekomst waarin quantumcomputers huidige versleuteling kunnen kraken. Dit is de beveiligingswereld die doet wat hij het beste kan: voorbereiden op bedreigingen voordat ze materialiseren.

Cross-origin isolation, ECH (Encrypted Client Hello) en andere privacy-beschermende technologieën zitten in dezelfde vroege adoptiefase. Dit zijn de bouwstenen voor een web dat beter bestand is tegen surveillance en manipulatie.

Cookies krijgen ook hernieuwde aandacht. Nu third-party cookies eindelijk worden afgeschaft in browsers (na jaren van uitstel), is first-party cookie-hygiëne belangrijker dan ooit. Veilige, SameSite-bewuste cookies waren vijf jaar geleden voor veel ontwikkelaars geen prioriteit. Tegenwoordig zijn ze basisvereiste.

Wat Dit Betekent voor Jouw Projecten

Als je vandaag een nieuwe site of applicatie lanceert, is de boodschap uit tien jaar data duidelijk: behandel beveiliging als basisinfrastructuur, niet als achteraf gedachte. HTTPS is geen optie. Beveiligingsheaders zijn geen optie. De tools zijn volwassen geworden, de kosten zijn gedaald, en de gevolgen van het overslaan van deze basisprincipes zijn gegroeid.

Maar stop daar niet. De grens van webbeveiliging is opgeschoven. Let op:

  • Post-quantum gereedheid: Begin na te denken over hoe je infrastructuur moet evolueren
  • Cookie-migratie: Controleer je cookiegebruik voordat third-party restricties toeslaan
  • Privacy-beschermende alternatieven: ECH en vergelijkbare technologieën komen naar een browser bij jou in de buurt

Het web van 2026 is onmeetbaar veiliger dan dat van 2016. Maar beveiliging is geen bestemming—het is een doorlopend gesprek tussen verdedigers en aanvallers, standaardeninstanties en browserbouwers, ontwikkelaars en gebruikers. Dat we dat gesprek nog steeds voeren, nog steeds meten, nog steeds verbeteren? Dat is de echte winst van het afgelopen decennium.

Proost op de volgende tien jaar van een veiliger web—één header, één certificaat en één goed geconfigureerde server tegelijk.


Hulp nodig om je beveiligingsfundamenten op orde te krijgen? NameOcean biedt gratis SSL-certificaten, geautomatiseerd DNS-beheer en hostingomgevingen ingesteld voor moderne beveiligingsstandaarden. De beste tijd om je site te beveiligen was tien jaar geleden. De op één na beste tijd is nu.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN