Defaults.Exposed › Fikser › TLS-sertifikathelse

Slik fikser du TLS-sertifikathelse

SSL/TLS-sertifikatet ditt er det digitale ID-kortet som beviser at en besøkende faktisk snakker med nettstedet ditt — ikke en etterligner — og driver hengelåsen i nettleseren. Denne sjekken ser på om sertifikatet er gyldig og betrodd, ikke i ferd med å utløpe, og bygget med sterk, moderne kryptografi.

Bunnlinjen for virksomheten din: Et ødelagt eller utløpt sertifikat erstatter nettstedet ditt med en fullskjerm rød «Tilkoblingen din er ikke privat»-advarsel i alle nettlesere. De fleste besøkende forlater umiddelbart og kommer ikke tilbake — nettsalg stopper, påmeldinger stopper, og tilkoblingen som skulle være privat kan avlyttes stille.

Hva dette kan koste deg

• Sertifikatet ditt utløper stille i helgen; innen mandag treffer alle besøkende en fullsides sikkerhetsadvarsel, kassen og kontaktskjemaene er døde, og du taper salg for hver time det tar å legge merke til og fornye.
• En kunde som betaler over kafé- eller hotell-WiFi får en advarsel om at sertifikatet ditt ikke stemmer med domenet — de antar at siden er falsk eller hacket, avbryter kjøpet, og forteller andre at det «så mistenkelig ut».
• Et større selskaps IT-team kjører en sikkerhetssjekk før kontrakt, ser et selvunderskrevet eller ikke-betrodd sertifikat, og flagger deg som en risiko — avtalen staller over noe som koster ingenting å fikse.
• Sertifikatet bruker en utdatert signeringsmetode eller en svak nøkkel; moderne nettlesere begynner å vise advarsler om det, og en sikkerhetsrevisjon nedsetter deg for kryptografi som har stått utenfor den anbefalte listen i årevis.
• Du tar kortbetalinger og betalingsleverandøren din reviderer deg; en svak nøkkel eller et utløpt sertifikat bryter betalingssikkerhetsreglene og nettbutikken din er frosset til det er korrigert.

Hvorfor det er viktig. Sertifikatet er den enkelt mest synlige delen av nettstedets sikkerhet — når det er sunt er det usynlig, og når det bryter tar det hele nettstedet ned med en skremmende advarsel som driver kunder rett til konkurrenter. Sertifikatutløp er den største årsaken til uventede nettstedsbrudd, og det er helt og holdent forebyggbart. Å få et gyldig sertifikat er gratis, og å holde det sunt handler mest om å la det fornye seg automatisk.

Hva dette er, i enkle ord

Når noen besøker nettstedet ditt, må to ting skje for at de skal føle seg trygge med å taste inn et passord eller et kortnummer. Først må tilkoblingen være kryptert slik at fremmede ikke kan lese den. For det andre — og dette er delen folk glemmer — må besøkerens nettleser være sikker på at det virkelig er ditt nettsted i den andre enden, og ikke en etterligner som har satt opp en overbevisende falsk. Det som gjør begge jobber er TLS-sertifikatet ditt (ofte kalt «SSL-sertifikat»).

Tenk på det som et manipulasjonssikkert ID-kort for domenet ditt. En anerkjent autoritet utsteder det, det er stemplet med domenenavnet ditt og en utløpsdato, og det bærer den kryptografiske nøkkelen som krypterer tilkoblingen. Når alt sjekker ut, viser nettleseren hengelåsen og siden laster normalt. Når noe er galt med ID-kortet, gjør nettleseren det motsatte av å berolige den besøkende — den kaster opp en fullskjermsadvarsel som sier, i praksis, «dette nettstedet er kanskje ikke trygt.»

Denne sjekken ser på helsetilstanden til det ID-kortet på tvers av fire ting som hver uavhengig bryter det:

• Er det gyldig og betrodd? — utstedt av en anerkjent autoritet, samsvarer med nøyaktig domenet ditt, ikke selvunderskrevet, og ikke utløpt.
• Er det i ferd med å utløpe? — fordi et sertifikat som forfaller tar hele siden ned.
• Er det signert med en sterk metode? — gamle signaturalgoritmer kan forfalskes.
• Er nøkkelen sterk nok? — en svak nøkkel kan i prinsippet brytes.

Den gode nyheten på forhånd: å få et sunt sertifikat er gratis, og å holde det sunt handler mest om å la det fornye seg automatisk slik at intet menneske trenger å huske det.

Hva dette kan koste deg

• Helgebrudd. Et sertifikat treffer stille utløpsdatoen sent på en fredag. Fornyelsen som skulle kjøre, kjørte ikke (en server ble flyttet, et skript gikk i stykker, ingen la merke til det). Innen lørdag morgen ser alle besøkende — og alle Google-søkeroboter — en fullsides rød advarsel i stedet for hjemmesiden din. Butikken er stengt og du vet det ikke engang. Den tekniske fiksen tar minutter; de tapte helgesalgene og kundene som bestemte at du «hadde gått konkurs» kommer ikke tilbake.

• Den forlatte kassen. En kunde kjøper fra telefonen på hotell-WiFi. Sertifikatet ditt stemmer ikke helt med domenet de brukte (si at det dekker butikk.dittmerke.com, men ikke bare dittmerke.com de brukte). Nettleseren advarer dem om at siden «kan etterligne» din. For en ikke-teknisk kjøper leses det som svindel — de lukker fanen, og du vet aldri at salget eksisterte.

• Den stoppede kontrakten. Et større prospekts sikkerhetsteam kjører en rutinesjekk før de signerer. Den kommer tilbake og viser et selvunderskrevet eller ikke-betrodd sertifikat på ett av subdomenene dine. Selv om alt annet er fint, gjør det ene røde flagget en rask godkjenning om til et frem-og-tilbake som forsinker avtalen — over et problem som koster ingenting å fikse.

• Den sakte-tempo-advarselen. Sertifikatet ditt er teknisk gyldig men signert med SHA-1, en gammel metode nettlesere har faset ut. Én nettlesers oppdatering og en andel besøkende begynner å se advarsler du ikke kan reprodusere på din egen oppdaterte maskin. Supporthenvendelser drypper inn om at siden «ser ødelagt ut» og du finner ikke ut hvorfor.

• Samsvarsfeilen. Du tar kortbetalinger. Under en ny revisjon flagger leverandørens sjekker en svak nøkkel eller et sertifikat som løp ut. Kortsikkerhetsregler krever sterk, gjeldende kryptering — så nettbetalingene dine suspenderes til du utsteder på nytt, og fryser inntekter på verst tenkelig tidspunkt.

Hva det faktisk er (de fire delene)

Et sertifikat kan ha dårlig helse på fire distinkte måter, og denne siden dekker alle. Hver er en separat sjekk under panseret, men for deg er det alle «er sertifikatet mitt OK?»

1. Gyldig og betrodd

Dette er den store — og den eneste delen av sertifikathelse som er en kritisk, toppvekts-sjekk. Et sertifikat er «gyldig og betrodd» bare når alle disse er sanne:

• Det ble utstedt av en anerkjent sertifikatmyndighet som nettlesere allerede stoler på (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, og så videre).
• Det samsvarer med nøyaktig domenet besøkeren bruker — inkludert underdomener.
• Det er ikke selvunderskrevet — dvs. ikke ett du utstedte til deg selv.
• Det er for øyeblikket innenfor datointervallet — ikke utløpt, og ikke (merkelig nok, men det skjer) datert til å starte i fremtiden.
• Tillitskjeden er intakt — autoriteten som signerte det er selv betrodd, helt opp.

Hvis noe ett av disse feiler, viser nettleserne den fryktede «Tilkoblingen din er ikke privat»-siden, og denne sjekken feiler hardt. Bra ser ut som: et sertifikat fra en anerkjent autoritet, som dekker alle domener og underdomener du faktisk bruker, komfortabelt innenfor datoene.

2. Ikke i ferd med å utløpe

Hvert sertifikat har en hard sluttdato. Gratis varer vanligvis 90 dager; betalte ofte et år. Etter datoen forsvinner tillit umiddelbart — det er ingen respittid. Denne sjekken måler hvor mange dager som er igjen og hvordan det samvirker med hvem som utstedte det:

• Hvis det allerede er utløpt, eller utløper om under 7 dager, behandles det som kritisk — et tegn på at fornyelsen har feilet.
• Hvis det utløper innen 30 dager og ikke er auto-administrert, er det en advarsel om å fornye nå.
• Hvis det er fra en automatisk-fornyende leverandør (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL og lignende) med minst en uke igjen, består det — fordi det forventes å fornye seg selv før fristen.
• God margen (90+ dager, eller auto-administrert) er en ren bestått.

Bra ser ut som: et auto-administrert sertifikat som fornyer seg selv uten at noen rører det. Den eneste pålitelige måten å aldri ha et utløpsbrudd på er å gjøre en maskin, ikke et menneske, ansvarlig for fornyelse.

3. Sterk signaturalgoritme

Hvert sertifikat er «signert» ved hjelp av en kryptografisk algoritme som lar nettlesere oppdage manipulasjon. Gamle algoritmer — MD5 og SHA-1 — har vist seg å kunne forfalskes. Denne sjekken består når sertifikatet bruker en sterk, moderne signatur: SHA-256 eller sterkere (SHA-384, SHA-512), moderne ECDSA, eller Ed25519/Ed448. MD5 og SHA-1 feiler. Bra ser ut som: SHA-256 eller bedre — som er standard på alle gratis og moderne sertifikater, så dette er sjelden et problem på noe utstedt de siste årene.

4. Sterk nøkkel

Sertifikatet bærer en kryptografisk nøkkel som gjør selve krypteringen. Hvis den nøkkelen er for kort, kan moderne datakraft — gitt nok ressurser — knekke den, og lar en angriper etterligne siden din eller dekryptere trafikk. De aksepterte minimumene er 2048-bit RSA eller 256-bit elliptisk kurve (EC). Denne sjekken bestås ved disse størrelsene eller over, og feiler under dem. Bra ser ut som: 2048-bit (eller 4096-bit) RSA, eller en 256-bit EC-nøkkel som P-256 — igjen standarden på moderne gratis sertifikater.

Slik fikser du det (gratis, ~15 minutter)

Send denne seksjonen til den som driver nettstedet eller webhotellet — fiksen er gratis. Et gyldig, sterkt, automatisk-fornyende sertifikat koster ingenting gjennom Let’s Encrypt eller noe moderne vertsskap. Vi tar bare betalt for å overvåke at det forblir sunt over tid, ikke for å fikse det.

Steg 1 — Få (eller erstatt) sertifikatet med et gratis, betrodd ett. Dette ene steget fikser gyldighet, signatur og nøkkelstyrke på én gang, fordi moderne gratis sertifikater bruker SHA-256 og sterke nøkler som standard.

• Cloudflare: i SSL/TLS → Oversikt, sett modusen til Full (Strict). Cloudflare utsteder og auto-fornyer et betrodd edge-sertifikat for deg; sørg for at opprinnelsesserveren din også har et gyldig sertifikat slik at «Strict» fungerer.
• Google Workspace / Microsoft 365-hosting eller en hvilken som helst cPanel-vert: se etter SSL/TLS-status og kjør AutoSSL. Det klargjør og fornyer gratis sertifikater automatisk.
• Nettstedsbyggere (Squarespace, Wix, Shopify, moderne WordPress-verter): SSL er vanligvis på som standard — bekreft at det er aktivert i domene-/sikkerhetsinnstillingene, og at det dekker både dittmerke.com og www.dittmerke.com.
• Din egen Linux-server (Nginx/Apache): installer Let’s Encrypt med Certbot — sudo certbot --nginx -d dittmerke.com -d www.dittmerke.com (eller --apache). For en moderne EC-nøkkel, legg til --key-type ecdsa. List hvert vertsnavn du betjener med -d slik at sertifikatet matcher alle.

Steg 2 — Gjør fornyelse automatisk slik at det aldri utløper igjen. Dette er steget som forhindrer helgebrudd-scenariet.

• På en Let’s Encrypt-server, bekreft at fornyelsestimeren er aktiv og test den: sudo certbot renew --dry-run. Certbot installerer vanligvis en automatisk timer; hvis ikke, legg til en daglig cron-jobb: 0 3 * * * certbot renew --quiet.
• På Cloudflare, cPanel AutoSSL og administrerte/nettstedsbygger-verter håndteres fornyelse for deg — det er ingenting å planlegge.

Steg 3 — Sørg for at det dekker de riktige navnene. Den vanligste «gyldig men advarsel»-årsaken er navnefeilsamsvar. Sertifikatet må dekke alle vertsnavn kunder faktisk bruker — bare domenet, www, og eventuelle underdomener som butikk. eller app.. Når du genererer et sertifikat, inkluder hvert ett (et jokertegn som *.dittmerke.com dekker alle underdomener i ett).

Steg 4 — Hvis bare signatur eller nøkkelstyrke er flagget, utsteder bare på nytt. Du trenger ikke kjøpe noe: generer et nytt sertifikat (Steg 1) og det nye vil bruke SHA-256 og en sterk nøkkel automatisk.

Steg 5 — Verifiser, og sjekk deretter her på nytt. Bekreft datoer, utsteder og nøkkel med en rask kommando, og kjør deretter denne sjekken på nytt.

Vanlige feil

• Behandle «vi installerte SSL én gang» som ferdig. Sertifikater utløper på en klokke. Uten auto-fornyelse er spørsmålet ikke om det løper ut, men når — vanligvis på det mest ubeleilige tidspunktet.
• Dekke www, men ikke bare domenet (eller omvendt). Begge må være på sertifikatet, ellers kaster én av dem en navnefeilsamsvar-advarsel. Samme felle fanger nye underdomener lagt til senere.
• La et selvunderskrevet sertifikat stå på et «test»-underdomene som faktisk er offentlig. Det krypterer, så det føles trygt — men nettlesere (og sikkerhetsskannere) behandler det som ikke-betrodd, og det er et klassisk revisjonsrødt flagg.
• Anta at betalt betyr tryggere. Et gratis Let’s Encrypt-sertifikat er nøyaktig like betrodd og kryptert som et dyrt. Å betale mer gjør ikke en sterkere hengelås.
• Fornye sertifikatet, men glemme å laste inn serveren på nytt. Et nytt sertifikat som sitter på disken gjør ingenting til nettserveren lastes inn på nytt for å plukke det opp — en overraskende vanlig årsak til «jeg fornyet det, men det viser fortsatt utløpt.»
• Auto-fornyelse som stille feilet. En fornyerjobb kan gå i stykker (en flyttet fil, en DNS-endring, en blokkert port) og fortsette å «lykkes» stille. Å overvåke utløpsdatoen — ikke bare fornyerjobben — er det som faktisk fanger dette før det slår til.

FAQ