WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Hoever van tevoren moeten certificaatverlooopwaarschuwingen afgaan?

Voor MKB zijn 30 dagen een verstandig minimum voor primaire waarschuwingen, met een extra dichterbij gelegen waarschuwing als het niet is opgelost. De sleutel is voldoende tijd overlaten voor menselijke escalatie als automatisering faalt.

Is Let's Encrypt voldoende voor productiebedrijven?

Meestal wel. De operationele kwaliteit van verlenging, ketenbeheer en verificatie telt meer dan het marketingprestige van de certificaatuitgever voor de meeste webapplicaties.

Elimineren CDN's het certificaatverloooprisico?

Nee. Ze verminderen de operationele last, maar u heeft nog steeds een hostnaam-inventaris, verlengingszichtbaarheid en validatie nodig dat CDN- en origin-configuraties afgestemd blijven.

Wat moet ik controleren na een verlenging?

Controleer live verloopdata, ketengeldigheid, HTTP-naar-HTTPS-redirects, browservertrouwen, belangrijke geauthenticeerde paden en eventuele API- of callback-endpoints die afhankelijk zijn van HTTPS.

TLS-certificaatverlooopgids — Monitoring- en verlengingsrunbook

Waarom certificaatverloop een bestuursniveau-risico is

TLS-certificaten zijn makkelijk te negeren omdat ze vaak maandenlang stilletjes werken. Wanneer ze verlopen, is het resultaat onmiddellijk vertrouwensverlies: browserwaarschuwingen, falende API's, mislukte logins, onderbroken betalingsstromen en supporttickets van gebruikers die denken dat de site is gehackt.

Voor MKB-bedrijven is certificaatverloop meestal geen cryptografieprobleem. Het is een eigenaarschapsprobleem. Niemand weet welke domeinen bestaan, wie DNS beheert, welk team de CDN of load balancer bezit, of verlenging is geautomatiseerd, of hoe een succesvolle uitrol na uitgifte wordt geverifieerd.

Daarom is de juiste instelling operationeel in plaats van puur technisch. Certificaatgezondheid hoort bij uw terugkerende websitebetrouwbaarheidscontroles, naast redirects, headers, cookies, blootgestelde assets en uptime. Een geldig certificaat is niet genoeg als de verkeerde keten wordt geserveerd, een verouderde edge-cache actief blijft, of een vergeten subdomein nog een oud certificaat toont.

Monitoringbaseline die elk team zou moeten hebben

Begin met een compleet inventaris van publieke hostnamen: rootdomein, www, productsubdomeinen, klantenportalen, API's, statuspagina's en eventuele legacy-endpoints die nog bereikbaar zijn via oude documentatie of gebruikersbladwijzers. Certificaten drijven af omdat teams alleen het hoofddomein monitoren terwijl randoppervlakken worden vergeten.

Uw baseline zou verloophorizoncontroles, uitgeverzichtbaarheid, SAN-dekking, redirectvalidatie en ketencorrectheid moeten omvatten. Als u beheerde infrastructuur gebruikt, verifieer welke laag daadwerkelijk TLS termineert: CDN, reverse proxy, ingress, applicatieserver of een mix. Eigenaarschap is onmogelijk als de architectuur onduidelijk is.

Waarschuwen voor verloop met voldoende marge voor menselijke interventie, niet pas wanneer er nog zeven dagen over zijn.
Elke productiehostnaam volgen, niet alleen het marketingdomein.
HTTP-naar-HTTPS-redirects verifieren na elke verlenging of infrastructuurwijziging.
Bevestigen dat de volledige certificaatketen correct wordt geserveerd in alle omgevingen en regio's.
Documenteren wie verantwoordelijk is voor verlenging, DNS-wijzigingen, CDN-uitrol en post-verlengingsvalidatie.

Een praktisch verlengingsrunbook

Een goed verlengingsrunbook is kort, saai en makkelijk uit te voeren onder druk. Het identificeert de certificaatbron, het automatiseringsmechanisme, het handmatige fallbackpad, de validatie-endpoints en de rollback- of escalatiestappen als uitgifte mislukt.

Als u automatische verlenging gebruikt, test het volledige pad voordat u het nodig heeft. Teams nemen vaak aan dat automatisering werkt omdat het maanden geleden eenmalig werkte, om vervolgens te ontdekken dat DNS-permissies zijn veranderd, ACME-challenges worden geblokkeerd door een firewall, of een load balancer nog de vorige bundel serveert.

Valideer na verlenging van buiten uw netwerk. Controleer de live certificaatdata, uitgever en keten vanaf het publieke internet, niet alleen vanaf een intern dashboard. Als u een CDN gebruikt, verifieer ook edge-propagatie. Veel incidenten worden veroorzaakt door gedeeltelijk verlengde infrastructuur waar een regio of proxy verouderd bleef.

Wat te verifieren na een verlenging

Post-verlengingsvalidatie moet de gebruikerservaring bevestigen, niet alleen de technische uitgifte. Browse de hoofdsite, geauthenticeerde oppervlakken en API-endpoints. Bevestig dat er geen vertrouwenswaarschuwingen, mixed content-regressies of kapotte callbacks naar externe diensten zijn die certificaatverwachtingen te agressief vastzetten.

Dit is ook het juiste moment om aangrenzende controles te inspecteren. Een certificaatverlengingsvenster is vaak wanneer teams ontbrekend HSTS, zwakke ciphers, inconsistente redirects of verouderd domein-inventaris opmerken. Als u al regelmatige WarDek-scans uitvoert, wordt het verlengingsevenement een checkpoint binnen een breder betrouwbaarheidsproces in plaats van een geisoleerde paniek.

Het sterkste patroon is certificaatmonitoring koppelen aan geplande beveiligingsscans en eigenaarschapsreviews. Wanneer het domeininventaris verandert, moet het TLS-inventaris ook veranderen. Wanneer een subdomein wordt afgebouwd, moeten het certificaat en de monitoring bewust worden gedecommissioneerd in plaats van achtergelaten.

Faalpatronen om te elimineren

De klassieke fout is een vergeten subdomein dat niemand bezit totdat gebruikers erop stuiten. De tweede is overmatige afhankelijkheid van een enkele engineer of een enkel leveranciersportaal. De derde is aannemen dat certificaatautomatisering gelijk staat aan volledige HTTPS-hygiene, wat niet klopt als redirects, headers of edge-configuraties inconsistent zijn.

Vermijd het opslaan van certificaatoperaties als stamkennis. Onderhoud een gedeeld runbook, eigenaarschapskaart en validatiechecklist. Als een productiedomein bestaat, zou iemand moeten weten waarom het bestaat, hoe het wordt verlengd en hoe het team succes bevestigt.