Defaults.Exposed › Rettelser › TLS-certifikats helbred

Sådan retter du TLS-certifikats helbred

Dit SSL/TLS-certifikat er det digitale ID-kort, der beviser, at en besøgende virkelig taler med din hjemmeside — og ikke en efterligner — og driver låsen i browseren. Dette tjek kigger på, om det certifikat er gyldigt og betroet, ikke ved at udløbe, og bygget med stærk, moderne kryptografi.

Det korte svar for din virksomhed: Et defekt eller udløbet certifikat erstatter din hjemmeside med en fuld-skærms rød 'Din forbindelse er ikke privat'-advarsel i enhver browser. De fleste besøgende forlader øjeblikkeligt og vender ikke tilbage — onlinesalg stopper, tilmeldinger stopper, og den forbindelse der skulle være privat, kan stille opsnappedes.

Hvad dette kan koste dig

• Dit certifikat udløber stille i en weekend; ved mandag rammer enhver besøgende en fuldside sikkerhedsadvarsel, din checkout og kontaktformularer er døde, og du mister salg for enhver time det tager at bemærke og forny.
• En kunde der betaler via café- eller hotel-Wi-Fi, får en advarsel om, at dit certifikat ikke matcher dit domæne — de antager, at din side er falsk eller hacket, opgiver købet og siger til andre, at det 'så shady ud'.
• En større klients IT-team kører en sikkerhedsscan inden kontrakt, ser et selvsigneret eller upålideligt certifikat og markerer dig som en risiko — aftalen staller over noget der koster ingenting at fikse.
• Dit certifikat bruger en forældet signeringsmetode eller en svag nøgle; moderne browsere begynder at vise advarsler på det, og en sikkerhedsrevision markerer dig for kryptografi der har været ude af anbefalingerne i årevis.
• Du tager kortbetalinger, og din betalingsudbyder re-auditerer dig; en svag nøgle eller et udløbet certifikat bryder betalingssikkerhedsreglerne, og din online checkout er frosset til det er korrigeret.

Hvorfor det betyder noget. Certifikatet er det mest synlige element af din hjemmesides sikkerhed — når det er sundt er det usynligt, og når det bryder, tager det hele din side ned med en skræmmende advarsel der driver kunder direkte til konkurrenterne. Certifikatudløb er den primære årsag til uventede hjemmeside-nedbrud, og det er fuldt ud forebyggeligt. At få et gyldigt certifikat er gratis, og at holde det sundt er primært et spørgsmål om at lade det fornye sig automatisk.

Hvad dette er på klart dansk

Når nogen besøger din hjemmeside, skal to ting ske for at de føler sig trygge ved at taste en adgangskode eller et kortnummer. Først skal forbindelsen være krypteret så fremmede ikke kan læse den. For det andet — og det er den del folk glemmer — skal besøgendes browser være sikker på, at det virkelig er din hjemmeside i den anden ende, og ikke en efterligner der har opsat en overbevisende kopi. Det, der udfører begge opgaver, er dit TLS-certifikat (ofte kaldet et “SSL-certifikat”).

Tænk på det som et manipulationssikkert ID-kort til dit domæne. En anerkendt myndighed udsteder det, det er stemplet med dit domænenavn og en udløbsdato, og det bærer den kryptografiske nøgle, der krypterer forbindelsen. Når alt tjekker ud, viser browseren låsen og din side indlæser normalt. Når noget er galt med ID-kortet, gør browseren det modsatte af at berolige din besøgende — den smider en fuldskærmsadvarsel op der i det væsentlige siger “denne side er muligvis ikke sikker.”

Dette tjek ser på helbredet af det ID-kort på tværs af fire ting, der hver uafhængigt bryder det:

• Er det gyldigt og betroet? — udstedt af en anerkendt myndighed, der matcher dit præcise domæne, ikke selvsigneret, og ikke udløbet.
• Er det ved at udløbe? — fordi et certifikat der udløber tager hele din side ned.
• Er det signeret med en stærk metode? — gamle signaturalgoritmer kan forfalskes.
• Er dets nøgle stærk nok? — en svag nøgle kan i princippet knækkes.

Den gode nyhed på forhånd: at få et sundt certifikat er gratis, og at holde det sundt handler primært om at lade det fornye sig automatisk så intet menneske skal huske det.

Hvad dette kan koste dig

• Weekend-nedbruddet. Et certifikat rammer stille sin udløbsdato sent en fredag. Fornyelsen der var sat til at køre, kørte ikke (en server blev flyttet, et script brød, ingen bemærkede det). Lørdag morgen ser enhver besøgende — og enhver Google-crawler — en fuldside rød advarsel i stedet for din forside. Din butik er lukket og du ved det ikke engang.

• Den forladte checkout. En kunde handler fra sin telefon på hotel-Wi-Fi. Dit certifikat dækker ikke præcis det domæne de tastede. Browseren advarer dem om, at siden “kan udgive sig for at være” din. For en ikke-teknisk køber lyder det som svindel — de lukker fanen, og du ved aldrig, at salget eksisterede.

• Den haltende kontrakt. Et større prospects sikkerhedsteam kører en rutinescanning inden underskrift. Den kommer tilbage med et selvsigneret eller upålideligt certifikat på et af dine subdomæner. Selv om alt andet er fint, forvandler det enkelte røde flag en hurtig godkendelse til en udveksling der forsinker aftalen — over et problem der koster ingenting at fikse.

• Den langsomme-bevægende advarsel. Dit certifikat er teknisk gyldigt, men signeret med SHA-1, en gammel metode browsere har udfaset. En browserupdate senere begynder en del af dine besøgende at se advarsler du ikke kan gengive på din egen opdaterede maskine.

• Compliance-fejlen. Du tager kortbetalinger. Under en re-audit markerer din udbyders tjek en svag nøgle eller et certifikat der udløb. Kortsikkerhedsregler kræver stærk, aktuel kryptering — så dine online betalinger suspenderes.

Hvad det faktisk er (de fire dele)

Et certifikat kan være usundt på fire distinkte måder, og denne side dækker dem alle. Hver er et separat tjek under motorhjelmen, men for dig er de alle “er mit certifikat OK?“

1. Gyldigt og betroet

Dette er det store — og den eneste del af certifikat-helbred der er et kritisk, top-vægtet tjek. Et certifikat er “gyldigt og betroet” kun når alle disse er sande:

• Det blev udstedt af en anerkendt certifikatmyndighed som browsere allerede stoler på (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon osv.).
• Det matcher det præcise domæne den besøgende bruger — inklusive subdomæner.
• Det er ikke selvsigneret.
• Det er i øjeblikket inden for sit datovindue — ikke udløbet.
• Dets tillids-kæde er intakt.

Fejler nogen af disse, viser browsere den frygtede “Din forbindelse er ikke privat”-side.

2. Ikke ved at udløbe

Hvert certifikat har en hard slutdato. Gratis certifikater varer typisk 90 dage; betalte ofte et år. Efter datoen fordamper tillid øjeblikkeligt — der er ingen nådeperiode. Dette tjek måler, hvor mange dage der er tilbage:

• Allerede udløbet, eller udløber inden for under 7 dage — kritisk.
• Udløber inden for 30 dage og er ikke auto-administreret — advarsel om at forny nu.
• Fra en auto-fornyende udbyder (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL og lignende) med mindst en uge tilbage — det består.
• Masser af rum (90+ dage, eller auto-administreret) — rent bestå.

Godt ser ud som: et auto-administreret certifikat der fornyer sig selv uden at nogen rører ved det.

3. Stærk signaturalgoritme

Hvert certifikat er “signeret” ved brug af en kryptografisk algoritme. Gamle algoritmer — MD5 og SHA-1 — er vist at kunne forfalskes. Dette tjek består, når certifikatet bruger en stærk, moderne signatur: SHA-256 eller stærkere (SHA-384, SHA-512), moderne ECDSA eller Ed25519/Ed448. MD5 og SHA-1 fejler.

4. Stærk nøgle

Certifikatet bærer en kryptografisk nøgle. Er den for kort, kan moderne computerkraft — givet tilstrækkelige ressourcer — knække den. De accepterede minimumer er 2048-bit RSA eller 256-bit elliptic-curve (EC).

Sådan fikser du det (gratis, ~15 minutter)

Overrækk dette afsnit til den der kører din hjemmeside eller hosting — fikset er gratis. Et gyldigt, stærkt, auto-fornyende certifikat koster ingenting via Let’s Encrypt eller enhver moderne host. Vi opkræver kun betaling for at overvåge, at det forbliver sundt over tid.

Trin 1 — Hent (eller erstat) certifikatet med et gratis, betroet et. Dette ene trin fikser gyldighed, signatur og nøglestyrke på én gang, fordi moderne gratis certifikater bruger SHA-256 og stærke nøgler som standard.

• Cloudflare: i SSL/TLS → Overview, sæt tilstanden til Full (Strict). Cloudflare udsteder og auto-fornyer et betroet edge-certifikat for dig.
• Google Workspace / Microsoft 365 hosting eller enhver cPanel-host: kig efter SSL/TLS Status og kør AutoSSL.
• Site builders (Squarespace, Wix, Shopify, moderne WordPress-hosts): SSL er som regel slået til som standard — bekræft det er aktiveret i dine domæne/sikkerhedsindstillinger.
• Din egen Linux-server (Nginx/Apache): installer Let’s Encrypt med Certbot — sudo certbot --nginx -d ditdomæne.com -d www.ditdomæne.com.

Trin 2 — Gør fornyelse automatisk så det aldrig udløber igen.

• På en Let’s Encrypt-server, bekræft at fornyelses-timeren er aktiv og test den: sudo certbot renew --dry-run.
• På Cloudflare, cPanel AutoSSL og managed/site-builder-hosts håndteres fornyelse for dig.

Trin 3 — Sørg for at det dækker de rigtige navne. Certifikatet skal dække enhver hostname, kunder faktisk bruger — det bare domæne, www og alle subdomæner som shop. eller app..

Trin 4 — Hvis kun signatur eller nøglestyrke flages, genudsted blot. Generer et frisk certifikat (Trin 1) og det nye vil bruge SHA-256 og en stærk nøgle automatisk.

Almindelige fejl

• At behandle “vi installerede SSL engang” som færdigt. Certifikater udløber på et ur. Uden auto-fornyelse er spørgsmålet ikke om det udløber, men hvornår — som regel på det mindst bekvemme tidspunkt.
• At dække www men ikke det bare domæne (eller omvendt). Begge skal være på certifikatet.
• At lade et selvsigneret certifikat stå på et “test”-subdomæne der faktisk er offentligt. Det krypterer, så det føles sikkert — men browsere (og sikkerhedsscannere) behandler det som upålideligt.
• At antage betalt er mere sikkert. Et gratis Let’s Encrypt-certifikat er præcis lige så betroet og krypteret som et dyrt.
• At fornye certifikatet men glemme at genindlæse serveren. Et nyt certifikat der ligger på disken gør ingenting, før webserveren genindlæses for at hente det.
• Auto-fornyelse der stille fejlede. Et fornyelsesjobet kan bryde og fortsætte med at “lykkes” stille. Overvågning af udløbsdatoen — ikke blot fornyelsesjobet — er det der faktisk fanger dette inden det bider.

FAQ