Defaults.Exposed

Defaults.Exposed › Zprávy

Vypršelé, self-signed, neplatné: Zpráva o chybách certifikátů (2026)

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání napříč 197 miliony domén, které předkládají certifikát TLS. „Neplatný“ = certifikát neprojde ověřením (vypršel, je podepsaný sám sebou, špatný název hostitele nebo nedůvěryhodný řetězec). Viz jak hodnotíme.

Mít certifikát není totéž jako mít platný: 8.57% certifikátů na webu neprojde ověřením. Z 197 milionů domén, které předkládají certifikát TLS, 16,920,535 má takový, kterému prohlížeče nedůvěřují — a každá z nich zobrazuje návštěvníkům celostránkové bezpečnostní varování místo webu. V éře bezplatných, automaticky obnovovaných certifikátů je rozbitý certifikát téměř vždy opravitelná chyba, nikoli problém s náklady.

Co je s těmito certifikáty doopravdy špatně

Certifikát neprojde ověřením z několika důvodů — vypršel, je podepsaný sám sebou, byl vydán pro jiný název hostitele, nebo pochází z nedůvěryhodného řetězce. Zdaleka nejlépe identifikovatelnou kategorií ve sčítání je podepsaný sám sebou:

ProblémDomény
Certifikát přítomen, ale neplatný (z jakéhokoli důvodu)16,920,535 (8.57%)
— z toho podepsané samy sebou3,378,080 (20.0% z neplatných)

Certifikát podepsaný sám sebou je takový, který si doména vydala sama — šifruje provoz, ale nic nedokazuje, takže ho prohlížeče odmítají. Je běžný na zařízeních, interních nástrojích a staging prostředích, která se omylem dostala na veřejný internet. Zbývající neplatné certifikáty jsou většinou vypršelé nebo mají neshodu názvu hostitele.

Proč je rozbitý certifikát horší než žádné HTTPS

Web bez HTTPS dostane nenápadný štítek „Nezabezpečeno“. Web s rozbitým certifikátem dostane celostránkovou červenou mezistránku — „Vaše připojení není soukromé“ — kterou většina návštěvníků neproklikne dál. Je to nejtvrdší signál důvěry, jaký prohlížeč zobrazuje, a spustí se ještě před načtením vašeho obsahu. Pro firmu jsou to zavřené dveře ve chvíli prvního kontaktu.

Lze tomu i předejít: protože bezplatné certifikační autority a automatizovaná obnova nyní vydávají drtivou většinu certifikátů, platný certifikát nic nestojí a obnovuje se sám. Těch 8.57% s rozbitými certifikáty jsou téměř všechno mezery v konfiguraci, nikoli v rozpočtu.

Jak opravit chybu certifikátu

  1. Vypršel? Zautomatizujte obnovu (ACME / Let’s Encrypt), aby už nikdy nevypršel. Opravit chyby certifikátu.
  2. Podepsaný sám sebou? Nahraďte ho bezplatným certifikátem vydaným certifikační autoritou — certifikáty podepsané samy sebou budou v prohlížečích vždy varovat.
  3. Špatný název hostitele? Vydejte ho znovu tak, aby pokrýval přesně názvy, které obsluhujete (včetně www).
  4. Ověřte, že je řetězec úplný a důvěryhodný, a poté to potvrďte opětovnou kontrolou.

Často kladené otázky

Proč se certifikát stane neplatným? Nejčastěji vypršel, je podepsaný sám sebou, byl vydán pro jiný název hostitele, nebo pochází z nedůvěryhodného řetězce. K 2026-06-29 8.57% certifikátů neprojde ověřením z jednoho z těchto důvodů.

Co je certifikát podepsaný sám sebou? Takový, který si server vydal sám místo toho, aby ho získal od důvěryhodné certifikační autority. Šifruje, ale neprokazuje žádnou identitu, takže ho prohlížeče odmítají. 3,378,080 domén takový předkládá.

Je rozbitý certifikát horší než žádné HTTPS? Ano — rozbitý certifikát spustí celostránkové varování prohlížeče, které web zablokuje, zatímco prosté HTTP dostane mírnější vložený štítek „Nezabezpečeno“.

Kolik stojí oprava? Nic. Platné certifikáty jsou zdarma (Let’s Encrypt a další) a obnovují se automaticky. Jde o opravu konfigurace.

Zkontrolujte, zda je váš certifikát platný

Certifikát, který prohlížeče odmítají, vás právě teď připravuje o návštěvníky. Zkontrolujte ten svůj zdarma a soukromě.

Zkontrolujte svou doménu → · Opravit chyby certifikátu → · Kdo vydává certifikáty webu? → · Proč můj web hlásí „Nezabezpečeno“? → · Pouze agregovaná data. Data uložena a zpracována v EU.