Defaults.Exposed › Åtgärder › TLS-certifikatshälsa

Hur du fixar TLS-certifikatshälsa

Ditt SSL/TLS-certifikat är det digitala ID-kortet som bevisar för en besökare att de verkligen pratar med din webbplats — inte en bedragare — och driver hänglåset i webbläsaren. Den här kontrollen tittar på om certifikatet är giltigt och betrott, inte på väg att gå ut, och byggt med stark, modern kryptografi.

Slutsats för ditt företag: Ett trasigt eller utgånget certifikat ersätter din webbplats med en fullskärms röd 'Din anslutning är inte privat'-varning i varje webbläsare. De flesta besökare lämnar omedelbart och kommer inte tillbaka — online-försäljning stannar, registreringar stannar, och anslutningen som skulle vara privat kan tyst avlyssnas.

Vad detta kan kosta dig

• Ditt certifikat går tyst ut en helg; till måndag träffar varje besökare en helsidesvarning om säkerhet, din kassa och kontaktformulär är döda, och du förlorar försäljning för varje timme det tar att märka och förnya.
• En kund som betalar på café- eller hotell-Wi-Fi får en varning om att ditt certifikat inte matchar din domän — de antar att din webbplats är falsk eller hackad, överger köpet och berättar för andra att det 'såg konstigt ut'.
• En större kunds IT-team kör en säkerhetsskanning innan kontraktet, ser ett självundertecknat eller ej betrott certifikat och flaggar dig som en risk — affären stannar över något som kostar ingenting att åtgärda.
• Ditt certifikat använder en föråldrad signeringsmetod eller en svag nyckel; moderna webbläsare börjar visa varningar om det, och en säkerhetsrevision markerar dig ned för kryptografi som har legat utanför rekommendationslistan i år.
• Du tar kortbetalningar och din betalningsleverantör reviderar dig igen; en svag nyckel eller ett utgånget certifikat bryter betalningssäkerhetsreglerna och din onlinekassa fryses tills det korrigeras.

Varför det spelar roll. Certifikatet är den enda mest synliga delen av din webbplats säkerhet — när det är friskt är det osynligt, och när det bryter tar det ned hela webbplatsen med en skrämmande varning som driver kunder rakt till konkurrenterna. Certifikatets utgång är den vanligaste orsaken till oväntade webbplatsavbrott, och det är helt förebyggbart. Att få ett giltigt certifikat är gratis, och att hålla det friskt handlar mest om att låta det förnya sig automatiskt.

Vad det här är, i klartext

När någon besöker din webbplats måste två saker hända för att de ska känna sig trygga med att skriva in ett lösenord eller ett kortnummer. Först måste anslutningen vara krypterad så att obehöriga inte kan läsa den. För det andra — och det är den delen folk glömmer — måste besökarens webbläsare vara säker på att det verkligen är din webbplats i andra änden, och inte en bedragare som satt upp en övertygande falsk. Det som gör båda jobben är ditt TLS-certifikat (ofta kallat “SSL-certifikat”).

Tänk på det som ett manipuleringssäkert ID-kort för din domän. En erkänd myndighet utfärdar det, det är stämplat med ditt domännamn och ett utgångsdatum, och det bär den kryptografiska nyckel som krypterar anslutningen. När allt kontrolleras visar webbläsaren hänglåset och din webbplats laddas normalt. När något är fel med ID-kortet gör webbläsaren det motsatta av att lugna din besökare — den slänger upp en helskärmsvarning som i praktiken säger, “den här webbplatsen kanske inte är säker.”

Den här kontrollen tittar på hälsan hos det ID-kortet ur fyra aspekter som var och en självständigt kan förstöra det:

• Är det giltigt och betrott? — utfärdat av en erkänd myndighet, matchande din exakta domän, inte självundertecknat och inte utgånget.
• Är det på väg att gå ut? — eftersom ett certifikat som förfaller tar ned hela din webbplats.
• Är det undertecknat med en stark metod? — gamla signeringsalgoritmer kan förfalskas.
• Är dess nyckel tillräckligt stark? — en svag nyckel kan i princip brytas.

Den goda nyheten i förväg: att få ett friskt certifikat är gratis, och att hålla det friskt handlar mest om att låta det förnya sig automatiskt så att ingen människa behöver komma ihåg det.

Vad det här kan kosta dig

• Helgsavbrottet. Ett certifikat når tyst sitt utgångsdatum en fredag sen kväll. Förnyelsen som skulle köras körde inte (en server flyttades, ett skript gick sönder, ingen märkte). Lördag morgon ser varje besökare — och varje Google-crawler — en fullskärms röd varning istället för din hemsida. Din butik är stängd och du vet det inte ens. Den tekniska åtgärden tar minuter; de förlorade helgdagarnas försäljning och kunderna som bestämde sig för att du hade “gått i konkurs” kommer inte tillbaka.

• Det övergivna kassan. En kund köper från sin telefon på hotell-Wi-Fi. Ditt certifikat täcker inte riktigt den domän de använde (säg att det täcker shop.dittföretag.com men inte dittföretag.com utan prefix). Webbläsaren varnar dem att webbplatsen “kan utge sig för att vara” din. För en icke-teknisk köpare läses det som bedrägeri — de stänger fliken, och du vet aldrig att försäljningen existerade.

• Det stoppade kontraktet. En större potentiell kunds säkerhetsteam kör en rutinmässig skanning innan de skriver på. Det kommer tillbaka och visar ett självundertecknat eller ej betrott certifikat på en av dina subdomäner. Även om allt annat är bra förvandlar den enda röda flaggan ett snabbt godkännande till ett fram-och-tillbaka som fördröjer affären — för ett problem som kostar ingenting att åtgärda.

• Den långsamma varningen. Ditt certifikat är tekniskt giltigt men undertecknat med SHA-1, en gammal metod webbläsare håller på att fasa ut. En webbläsaruppdatering senare börjar en andel av dina besökare se varningar som du inte kan återskapa på din egen uppdaterade maskin. Supportärenden strömmar in om att webbplatsen “ser trasig ut” och du kan inte förstå varför.

• Efterlevnadsmisslyckandet. Du tar kortbetalningar. Under en ny granskning flaggar din leverantörs kontroller en svag nyckel eller ett certifikat som löpt ut. Kortssäkerhetsregler kräver stark, aktuell kryptering — så dina onlinebetalningar stängs av tills du återutfärdar, vilket fryser intäkterna vid sämsta möjliga tidpunkt.

Vad det faktiskt är (de fyra delarna)

Ett certifikat kan vara dåligt på fyra distinkta sätt, och den här sidan täcker dem alla. Var och en är en separat kontroll under huven, men för dig är de alla “är mitt certifikat okej?“

1. Giltigt och betrott

Det här är det viktigaste — och den enda delen av certifikatshälsa som är en kritisk, toppviktad kontroll. Ett certifikat är “giltigt och betrott” bara när allt stämmer:

• Det utfärdades av en erkänd certifikatmyndighet som webbläsare redan litar på (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon osv.).
• Det matchar den exakta domän besökaren använder — inklusive subdomäner.
• Det är inte självundertecknat — dvs. inte ett du utfärdade till dig själv.
• Det är för närvarande inom sitt datumfönster — inte utgånget.
• Dess förtroendekedja är intakt — myndigheten som undertecknade det är i sig betrodd.

Om något av dessa misslyckas visar webbläsare den fruktade “Din anslutning är inte privat”-sidan. Bra ser ut som: ett certifikat från en erkänd myndighet, som täcker varje domän och subdomän du faktiskt använder, bekvämt inom sina datum.

2. Inte på väg att gå ut

Varje certifikat har ett hårt slutdatum. Gratis varar typiskt 90 dagar; betalda ofta ett år. Förbi datumet försvinner förtroendet omedelbart — det finns ingen nådeperiod. Den här kontrollen mäter hur många dagar som är kvar och hur det interagerar med vem som utfärdade det:

• Om det redan gått ut, eller går ut om under 7 dagar, behandlas det som kritiskt.
• Om det går ut inom 30 dagar och inte automathanteras, är det en varning att förnya nu.
• Om det är från en automatförnyande leverantör (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL och liknande) med minst en vecka kvar, klarar det sig.
• Gott om marginal (90+ dagar, eller autohanterat) är ett rent godkännande.

Bra ser ut som: ett autohanterat certifikat som förnyar sig självt utan att någon rör det.

3. Stark signaturalgoritm

Varje certifikat “undertecknas” med en kryptografisk algoritm. Gamla algoritmer — MD5 och SHA-1 — har visat sig vara förfalskningsbara. Den här kontrollen klarar sig när certifikatet använder en stark, modern signatur: SHA-256 eller starkare (SHA-384, SHA-512), modern ECDSA, eller Ed25519/Ed448. MD5 och SHA-1 underkänns.

4. Stark nyckel

Certifikatet bär en kryptografisk nyckel som gör den faktiska krypteringen. De accepterade miniminivåerna är 2048-bitars RSA eller 256-bitars elliptisk kurva (EC). Den här kontrollen klarar sig vid dessa storlekar eller däröver.

Så här åtgärdar du det (gratis, ~15 minuter)

Skicka det här avsnittet till den som driver din webbplats eller hosting — åtgärden är gratis. Ett giltigt, starkt, automatförnyande certifikat kostar ingenting via Let’s Encrypt eller en modern värd. Vi tar bara betalt för att övervaka att det förblir friskt över tid, inte för att åtgärda det.

Steg 1 — Skaffa (eller ersätt) certifikatet med ett gratis, betrott. Det här enda steget åtgärdar giltighet, signatur och nyckelstyrka på en gång, för moderna gratis certifikat använder SHA-256 och starka nycklar som standard.

• Cloudflare: i SSL/TLS → Översikt, sätt läget till Full (Strict). Cloudflare utfärdar och automatförnyar ett betrott kantcertifikat åt dig.
• cPanel-webbvärdar: leta efter SSL/TLS-status och kör AutoSSL. Det provisionerar och förnyar gratis certifikat automatiskt.
• Webbplatsbyggare (Squarespace, Wix, Shopify, moderna WordPress-värdar): SSL är vanligtvis aktiverat som standard — bekräfta att det är aktiverat i dina domän/säkerhetsinställningar.
• Din egen Linux-server (Nginx/Apache): installera Let’s Encrypt med Certbot — sudo certbot --nginx -d dittföretag.com -d www.dittföretag.com (eller --apache). Lista varje värdnamn du servar med -d så att certifikatet matchar dem alla.

Steg 2 — Gör förnyelse automatisk så att det aldrig går ut igen. Det här är steget som förhindrar helgsavbrottsscenario.

• På en Let’s Encrypt-server, bekräfta att förnyelsestimern är aktiv och testa den: sudo certbot renew --dry-run.
• På Cloudflare, cPanel AutoSSL och hanterade/webbplatsbyggarvärdar hanteras förnyelse åt dig.

Steg 3 — Se till att det täcker rätt namn. Det vanligaste “giltigt men varnar”-fallet är ett namnmismatch. Certifikatet måste täcka varje värdnamn kunder faktiskt använder — den nakna domänen, www, och eventuella subdomäner som shop. eller app.. En jokertecken som *.dittföretag.com täcker alla subdomäner på en gång.

Steg 4 — Om bara signatur eller nyckelstyrka flaggas, återutfärda bara. Generera ett nytt certifikat (Steg 1) och det nya kommer automatiskt använda SHA-256 och en stark nyckel.

Steg 5 — Verifiera, kontrollera sedan här igen. Bekräfta datum, utfärdare och nyckel, kör sedan om den här kontrollen.

Vanliga misstag

• Behandla “vi installerade SSL en gång” som klart. Certifikat går ut på ett klocka. Utan automatisk förnyelse är frågan inte om det förfaller utan när — vanligtvis vid det minst lämpliga tillfället.
• Täcka www men inte den nakna domänen (eller vice versa). Båda måste finnas på certifikatet, annars ger en av dem en namnmismatchvarning.
• Lämna ett självundertecknat certifikat på en “test”-subdomän som faktiskt är offentlig. Det krypterar, så det känns säkert — men webbläsare (och säkerhetsskannrar) behandlar det som ej betrott.
• Anta att betalt innebär säkrare. Ett gratis Let’s Encrypt-certifikat är exakt lika betrott och krypterat som ett dyrt. Att betala mer gör inte ett starkare hänglås.
• Förnya certifikatet men glömma att ladda om servern. Ett nytt certifikat på disk gör ingenting förrän webbservern laddas om för att hämta det — en förvånansvärt vanlig orsak till “Jag förnyade det men det visar fortfarande som utgånget.”
• Automatisk förnyelse som tyst misslyckades. Ett förnyelsejobb kan gå sönder (en flyttad fil, en DNS-ändring, en blockerad port) och fortsätta “lyckas” tyst. Att övervaka utgångsdatumet — inte bara förnyelsejobbet — är vad som faktiskt fångar det innan det biter.

Vanliga frågor