ScanZeker.nl: gratis security scan voor jouw domein

Hoe veilig is jouw domein van buitenaf? Die vraag is lastiger te beantwoorden dan het lijkt. Beveiligingsinzichten zitten verspreid over losse tools, technische rapporten en specialistische bronnen. Dat kost tijd en maakt het lastig om snel te zien waar echte aandachtspunten zitten.

Daarom hebben wij ScanZeker.nl gebouwd: een gratis beveiligingsscanner die in circa 30 seconden een compleet beeld geeft van de externe beveiliging van je domein. Zonder account, zonder kosten en zonder opslag van scanresultaten. Vul een domeinnaam in en je ontvangt direct een overzichtelijk rapport met twaalf beveiligingscontroles.

Twee outputs, een scan

Elke scan vult twee complementaire views die je met een klik kunt wisselen. Het beveiligingsrapport toont de score per module met uitleg in zowel begrijpelijke als technische taal en concrete aanbevelingen. De risicokaart brengt subdomeinen, services en risicopaden samen op een interactieve canvas, zodat je in een oogopslag ziet hoe je infrastructuur er van buitenaf uitziet.

De twaalf beveiligingsmodules

ScanZeker voert twaalf onafhankelijke scans uit op je domein. Elke module richt zich op een specifiek aspect van beveiliging en levert een score op met concrete aanbevelingen.

Website Headers (14% van de totaalscore) Security headers vertellen de browser hoe om te gaan met de inhoud van je website. ScanZeker controleert Content Security Policy (inclusief effectiviteitsanalyse op unsafe inline, wildcard bronnen en bekende bypass domeinen), Strict Transport Security met max age en preload, X Content Type Options, X Frame Options, Referrer Policy en Permissions Policy. De scan werkt in drie lagen: eerst een directe HTTP verbinding, bij WAF blokkade een echte browser, en als laatste de Mozilla Observatory als fallback.

SSL/TLS Deep Scan (18% van de totaalscore) De SSL/TLS module controleert niet alleen of je certificaat geldig is, maar beoordeelt de volledige versleutelingsconfiguratie. Protocolondersteuning (TLS 1.0 tot 1.3), forward secrecy, OCSP stapling en bekende kwetsbaarheden als Heartbleed, POODLE, BEAST en ROBOT worden getest via de Qualys SSL Labs API. Bij onbereikbaarheid van SSL Labs wordt een eigen TLS handshake als fallback uitgevoerd.

E-mailbeveiliging (12% van de totaalscore) E-mailspoofing is een van de meest voorkomende aanvalsmethoden bij phishing. ScanZeker controleert SPF (record aanwezigheid en policy), DKIM (selectors en sleutelsterkte) en DMARC (policy en rapportage). Daarnaast worden MX records, MTA STS en TLS RPT gecontroleerd. Voor domeinen die geen mail versturen, wordt een apart scoringmodel toegepast.

DNS Beveiliging (8% van de totaalscore) ScanZeker controleert DNSSEC via meerdere providers (Google en Cloudflare DNS over HTTPS), nameserver redundantie, SOA records, CAA records voor certificaatuitgifte beperking en RPKI route origin validatie. DNSSEC voorkomt dat aanvallers DNS antwoorden kunnen manipuleren, een aanval die lastig te detecteren is maar grote gevolgen kan hebben.

Server Exposure (12% van de totaalscore) Via Shodan worden open poorten en services geidentificeerd, inclusief control panel poorten (cPanel, Plesk, Webmin) en beheerpoorten. Elke door Shodan gerapporteerde poort wordt live geverifieerd via een TCP handshake. Bekende CVE kwetsbaarheden worden verrijkt via de NVD database. Threat intelligence van AbuseIPDB en AlienVault OTX wordt als context versterker gebruikt: een verhoogde abuse score telt pas mee als er ook een open dienst is die concreet misbruikt kan worden.

Technologie Stack (5% van de totaalscore) ScanZeker identificeert webservers, frameworks, CMS systemen en WAF oplossingen via HTTP headers, HTML patronen en cookie fingerprinting. Externe scripts worden geinventariseerd per domein, met controle op Subresource Integrity (SRI) en supply chain risico via trust tiers. Server header informatielek en directory listing worden eveneens beoordeeld.

Domein Beveiliging (2% van de totaalscore) Via WHOIS en RDAP wordt de domeinleeftijd, registrar informatie, DNSSEC ondertekening en privacy bescherming gecontroleerd.

Reputatie Check (2% van de totaalscore) ScanZeker controleert je domein en IP adres tegen Google Safe Browsing, Spamhaus (ZEN en DBL), Barracuda, SURBL, URIBL, SpamCop en de Composite Blocking List. Alleen bronnen met een goede reputatie tellen mee; bekende ruisbronnen worden bewust weggelaten om valse alarmen te voorkomen.

Certificaten (5% van de totaalscore) Alle SSL certificaten die ooit voor je domein zijn uitgegeven worden gecontroleerd via Certificate Transparency logs. Onverwachte certificaten kunnen een teken zijn dat iemand anders zich probeert voor te doen als jouw organisatie.

Subdomeinen en Infrastructuur (8% van de totaalscore) Via drie bronnen (Certificate Transparency, Certspotter en AlienVault OTX) worden subdomeinen ontdekt. Elk subdomein wordt gecontroleerd op bereikbaarheid, gevoelige namen (admin, staging, test) en subdomain takeover risico via dangling CNAMEs. In de deep scan modus worden per subdomein ook TLS configuratie, ontbrekende security headers, login pagina detectie en Shodan host enrichment uitgevoerd.

Datalekken (10% van de totaalscore) Via Have I Been Pwned en HudsonRock Cavalier wordt gecontroleerd of e-mailadressen van je domein voorkomen in bekende datalekken of op computers die besmet zijn geweest met wachtwoord stelende malware. Er wordt onderscheid gemaakt tussen medewerkers en gebruikers, omdat medewerkeraccounts zwaarder wegen voor het organisatierisico.

Cookies en Privacy (4% van de totaalscore) ScanZeker opent je site met een echte browser en meet welke cookies en tracking scripts worden geplaatst voordat een bezoeker toestemming heeft gegeven. Er wordt gecontroleerd op drie niveaus: pre consent compliance (worden niet essentiele cookies geplaatst voor toestemming?), privacy profiel (welke tracking is actief na toestemming?) en cookie hygiene (lifecycle, security flags, third party domeinen).

Mogelijke aanvalspaden

ScanZeker toont niet alleen losse bevindingen. Signalen uit meerdere modules worden gecombineerd tot mogelijke dreigingsscenario's. Gelekte credentials gecombineerd met zwakke e-mail authenticatie en een publiek login endpoint vormt bijvoorbeeld een Account Takeover scenario. Ontbrekende SPF/DMARC in combinatie met geen CSP header wijst op phishing en spoofing risico. Een open database poort met versiedetectie en bijbehorende CVEs wordt gesignaleerd als Server Exploitatie scenario.

Deze aanvalspaden zijn scenario's op basis van observeerbare signalen, geen bevestigde kwetsbaarheden. Ze zijn bedoeld als startpunt voor verificatie door een beveiligingsprofessional.

Hoe de score tot stand komt

De totaalscore is een gewogen gemiddelde van alle modules. Fundamentele beveiligingsmaatregelen wegen het zwaarst: SSL/TLS (18%), Website Headers (14%), E-mail en Server Exposure (elk 12%), Datalekken (10%), DNS en Subdomeinen (elk 8%), en de overige modules lichter. Bovenop de basisscore wordt een beveiligingsimpact correctie toegepast voor bevindingen die zwaarder wegen dan configuratie alleen, zoals direct bereikbare databases of beheerpoorten. Deze correctie kan de score met maximaal 25 punten verlagen.

De score houdt ook rekening met context. Dezelfde observatie kan een andere betekenis hebben afhankelijk van de omgeving. Een beheerpoort op een hostingpaneel weegt anders dan dezelfde poort op een eigen server. Threat intelligence signalen wegen pas zwaar mee als er ook een technisch aanknopingspunt is dat misbruikt kan worden.

De volledige methodologie en bronverantwoording is beschikbaar op https://www.scanzeker.nl/methodologie

Privacy by design

ScanZeker verzamelt geen persoonsgegevens. Er zijn geen cookies, geen analytics, geen accounts. Scanresultaten worden niet opgeslagen. Na het sluiten van de browser is het resultaat verdwenen. Dit is een bewuste keuze: wij willen dat organisaties hun security kunnen controleren zonder drempels en zonder zorgen over privacy.

Van scan naar actie

Een scan is waardevol, maar de echte waarde zit in de opvolging. ScanZeker geeft bij elk onderdeel concrete aanbevelingen in begrijpelijke taal. Per bevinding wordt aangegeven of het iets is dat je zelf kunt aanpassen, dat via je hostingprovider loopt, of dat onderdeel is van je platformkeuze.

Voor organisaties die verder willen, biedt Secure Audit uitgebreide security assessments, penetratietesten en IT-audits. Een ScanZeker scan is een goed startpunt, maar dekt alleen de buitenkant van je digitale aanwezigheid. Interne configuratie, toegangsbeheer, beleid en processen vereisen een diepgaandere beoordeling.

Probeer het zelf

Ga naar https://www.scanzeker.nl, voer je domein in en zie binnen 30 seconden hoe je domein scoort. Het is gratis, het is onafhankelijk, en het geeft je direct inzicht in wat er beter kan.