Defaults.Exposed

Defaults.Exposed › Raporty

Wygasłe, samopodpisane, nieprawidłowe: raport o błędach certyfikatów (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisu obejmujące 197 milionów domen prezentujących certyfikat TLS. „Nieprawidłowy” = certyfikat nie przechodzi walidacji (wygasły, samopodpisany, błędna nazwa hosta lub niezaufany łańcuch). Zobacz jak oceniamy.

Posiadanie certyfikatu to nie to samo co posiadanie ważnego: 8,57% certyfikatów w sieci nie przechodzi walidacji. Spośród 197 milionów domen prezentujących certyfikat TLS 16 920 535 mają taki, któremu przeglądarki nie ufają — a każda z nich pokazuje odwiedzającym całostronicowe ostrzeżenie bezpieczeństwa zamiast witryny. W erze darmowych, automatycznie odnawianych certyfikatów uszkodzony certyfikat to niemal zawsze naprawialny błąd, a nie problem kosztowy.

Co tak naprawdę jest nie tak z tymi certyfikatami

Certyfikat nie przechodzi walidacji z kilku powodów — wygasł, jest samopodpisany, został wydany dla innej nazwy hosta lub pochodzi z niezaufanego łańcucha. Zdecydowanie najłatwiej identyfikowalną kategorią w spisie jest samopodpisany:

ProblemDomeny
Certyfikat obecny, ale nieprawidłowy (dowolny powód)16 920 535 (8,57%)
— w tym samopodpisane3 378 080 (20,0% nieprawidłowych)

Certyfikat samopodpisany to taki, który domena wystawiła sama sobie — szyfruje ruch, ale niczego nie potwierdza, dlatego przeglądarki go odrzucają. Jest powszechny na urządzeniach, w narzędziach wewnętrznych i środowiskach testowych, które przypadkowo zostały udostępnione w publicznym internecie. Pozostałe nieprawidłowe certyfikaty to przeważnie wygasłe lub z niezgodną nazwą hosta.

Dlaczego uszkodzony certyfikat jest gorszy niż brak HTTPS

Witryna bez HTTPS otrzymuje dyskretną etykietę „Niezabezpieczona”. Witryna z uszkodzonym certyfikatem otrzymuje całostronicowy czerwony ekran przejściowy — „Twoje połączenie nie jest prywatne” — którego większość odwiedzających nie kliknie, by przejść dalej. To najostrzejszy sygnał zaufania, jaki pokazuje przeglądarka, i pojawia się, zanim załaduje się Twoja treść. Dla firmy to zamknięte drzwi w momencie pierwszego kontaktu.

Da się tego też uniknąć: skoro darmowe urzędy certyfikacji i automatyczne odnawianie wydają obecnie zdecydowaną większość certyfikatów, ważny certyfikat nic nie kosztuje i odnawia się sam. Te 8,57% z uszkodzonymi certyfikatami to niemal w całości luki w konfiguracji, a nie w budżecie.

Jak naprawić błąd certyfikatu

  1. Wygasł? Zautomatyzuj odnawianie (ACME / Let’s Encrypt), by już nigdy nie wygasł. Napraw błędy certyfikatu.
  2. Samopodpisany? Zastąp go darmowym certyfikatem wydanym przez urząd certyfikacji — certyfikaty samopodpisane zawsze będą ostrzegać w przeglądarkach.
  3. Błędna nazwa hosta? Wydaj go ponownie, obejmując dokładnie te nazwy, które obsługujesz (w tym www).
  4. Sprawdź, czy łańcuch jest kompletny i zaufany, a następnie potwierdź ponowną kontrolą.

Najczęściej zadawane pytania

Dlaczego certyfikat staje się nieprawidłowy? Najczęściej wygasł, jest samopodpisany, został wydany dla innej nazwy hosta lub pochodzi z niezaufanego łańcucha. Na dzień 2026-06-29 8,57% certyfikatów nie przechodzi walidacji z jednego z tych powodów.

Czym jest certyfikat samopodpisany? Takim, który serwer wystawił sam sobie, zamiast uzyskać go od zaufanego urzędu certyfikacji. Szyfruje, ale nie potwierdza tożsamości, dlatego przeglądarki go odrzucają. 3 378 080 domen prezentuje taki.

Czy uszkodzony certyfikat jest gorszy niż brak HTTPS? Tak — uszkodzony certyfikat wywołuje całostronicowe ostrzeżenie przeglądarki blokujące witrynę, podczas gdy zwykły HTTP otrzymuje łagodniejszą etykietę w linii „Niezabezpieczona”.

Ile kosztuje naprawa? Nic. Ważne certyfikaty są darmowe (Let’s Encrypt i inne) i odnawiają się automatycznie. To poprawka konfiguracji.

Sprawdź, czy Twój certyfikat jest ważny

Certyfikat, który przeglądarki odrzucają, kosztuje Cię odwiedzających już teraz. Sprawdź swój za darmo i prywatnie.

Sprawdź swoją domenę → · Napraw błędy certyfikatu → · Kto wydaje certyfikaty w sieci? → · Dlaczego moja witryna mówi „Niezabezpieczona”? → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.