Defaults.Exposed › Rapporter
Utgångna, självsignerade, ogiltiga: rapporten om certifikatfel (2026)
Publicerad 2026-06-29
Siffror per 2026-06-29 · metodik v7. Aggregerade censusdata över de 197 miljoner domäner som uppvisar ett TLS-certifikat. “Ogiltigt” = certifikatet klarar inte valideringen (utgånget, självsignerat, fel värdnamn eller en obetrodd kedja). Se hur vi betygsätter.
Att ha ett certifikat är inte detsamma som att ha ett giltigt: 8.57% av webbens certifikat klarar inte valideringen. Av de 197 miljoner domäner som uppvisar ett TLS-certifikat har 16,920,535 ett som webbläsare inte litar på — och var och en av dem visar besökare en helsidesvarning om säkerhet i stället för webbplatsen. I en tid med gratis certifikat som förnyas automatiskt är ett trasigt certifikat nästan alltid ett åtgärdbart misstag, inte ett kostnadsproblem.
Vad som faktiskt är fel med dessa certifikat
Ett certifikat klarar inte valideringen av en handfull skäl — utgånget, självsignerat, utfärdat för ett annat värdnamn, eller från en obetrodd kedja. Den klart mest identifierbara kategorin i censusen är självsignerat:
| Problem | Domäner |
|---|---|
| Certifikat finns men är ogiltigt (oavsett skäl) | 16,920,535 (8.57%) |
| — varav självsignerade | 3,378,080 (20.0% av de ogiltiga) |
Ett självsignerat certifikat är ett som domänen utfärdat åt sig själv — det krypterar trafik men bevisar ingenting, så webbläsare avvisar det. Det är vanligt på enheter, interna verktyg och staging-miljöer som av misstag exponerats mot det öppna internet. Resterande ogiltiga certifikat är mestadels utgångna eller har värdnamn som inte stämmer.
Varför ett trasigt certifikat är värre än ingen HTTPS
En webbplats utan HTTPS får en diskret etikett “Inte säker”. En webbplats med ett trasigt certifikat får en helsidesröd interstitial — “Din anslutning är inte privat” — som de flesta besökare inte klickar förbi. Det är den hårdaste förtroendesignal en webbläsare visar, och den utlöses innan ditt innehåll laddas. För ett företag är det en stängd dörr i samma stund som den första kontakten.
Det går också att undvika: eftersom gratis CA:er och automatiserad förnyelse nu utfärdar den stora majoriteten av certifikaten kostar ett giltigt certifikat ingenting och förnyar sig självt. De 8.57% med trasiga certifikat är nästan alla konfigurationsluckor, inte budgetluckor.
Så åtgärdar du ett certifikatfel
- Utgånget? Automatisera förnyelsen (ACME / Let’s Encrypt) så att det aldrig löper ut igen. Åtgärda certifikatfel.
- Självsignerat? Ersätt det med ett gratis CA-utfärdat certifikat — självsignerade certifikat varnar alltid i webbläsare.
- Fel värdnamn? Utfärda det på nytt och täck exakt de namn du betjänar (inklusive
www). - Verifiera att kedjan är fullständig och betrodd, och bekräfta sedan med en omkontroll.
Vanliga frågor
Varför blir ett certifikat ogiltigt? Oftast har det löpt ut, är självsignerat, utfärdades för ett annat värdnamn, eller kommer från en obetrodd kedja. Per 2026-06-29 klarar 8.57% av certifikaten inte valideringen av ett av dessa skäl.
Vad är ett självsignerat certifikat? Ett som servern utfärdade åt sig själv i stället för att hämta det från en betrodd CA. Det krypterar men bevisar ingen identitet, så webbläsare avvisar det. 3,378,080 domäner uppvisar ett.
Är ett trasigt certifikat värre än ingen HTTPS? Ja — ett trasigt certifikat utlöser en helsidesvarning i webbläsaren som blockerar webbplatsen, medan ren HTTP får en mildare inline-etikett “Inte säker”.
Hur mycket kostar det att åtgärda? Ingenting. Giltiga certifikat är gratis (Let’s Encrypt med flera) och förnyas automatiskt. Det är en konfigurationsåtgärd.
Kontrollera att ditt certifikat är giltigt
Ett certifikat som webbläsare avvisar kostar dig besökare just nu. Kontrollera ditt gratis och privat.
Kontrollera din domän → · Åtgärda certifikatfel → · Vem utfärdar webbens certifikat? → · Varför säger min webbplats “Inte säker”? → · Endast aggregerade data. Data lagras och behandlas i EU.