Et SSL certifikat er en digital legitimation, der bekræfter et websites identitet og hjælper med at beskytte data mellem brugerens browser og serveren. Det gør forbindelsen krypteret, så følsomme oplysninger som login, kontaktformularer og betalingsdata er sværere at opfange.
I dag bruges betegnelsen SSL certifikat stadig i daglig tale, selv om den tekniske standard i praksis er TLS. SSL er den ældre teknologi, mens TLS er den moderne og sikre efterfølger. Derfor dækker ordet ofte både gamle og nuværende løsninger.
På et website er certifikatet med til at aktivere HTTPS og skabe tillid hos både brugere og søgemaskiner. Et gyldigt certifikat viser, at forbindelsen er beskyttet, og at domænet er kontrolleret.
Når en besøgende åbner en hjemmeside med HTTPS, opretter browser og server først en sikker forbindelse. Det sker ved hjælp af et SSL-certifikat, som viser, hvem serveren er, og gør det muligt at starte kryptering af de data, der sendes frem og tilbage. Uden et gyldigt webcertifikat kan browseren ikke have tillid til forbindelsen, og derfor er certifikatet en grundlæggende forudsætning for HTTPS.
Certifikatet er udstedt af en certifikatmyndighed, som bekræfter, at domænet eller virksomheden bag hjemmesiden er kontrolleret. Browseren bruger denne information til at tjekke, om den taler med den rigtige server og ikke en falsk kopi. Når identiteten er bekræftet, aftaler browseren og serveren, hvordan forbindelsen skal krypteres, så uvedkommende ikke kan læse indholdet undervejs.
Det er især vigtigt, når brugere sender følsomme oplysninger. Hvis en person logger ind eller udfylder en kontaktformular, beskytter HTTPS data som adgangskoder, e-mailadresser og beskeder mod aflytning og manipulation. Krypteringen gør indholdet ulæseligt for andre, mens identitetskontrollen mindsker risikoen for svindel. Derfor handler HTTPS ikke kun om den lille hængelås i browseren, men om sikker dataoverførsel mellem rigtige parter.
Valg af SSL-certifikat handler ikke kun om kryptering, men også om hvor grundigt ejeren af webstedet bliver kontrolleret. Alle tre typer aktiverer HTTPS, men de adskiller sig i validering, signalværdi og anvendelse. Derfor bør valget afhænge af, hvor meget tillid sitet skal skabe hos brugeren.
DV (Domain Validation) er den enkleste model. Her valideres det kun, at ansøgeren kontrollerer domænet. Der bliver normalt ikke kontrolleret virksomhed, identitet eller juridiske oplysninger. DV bruges ofte til blogs, mindre websites, kampagnesider og andre løsninger, hvor behovet primært er kryptering og hurtig udstedelse.
OV (Organization Validation) går et skridt videre. Certifikatudstederen kontrollerer både domænet og virksomheden bag. Det giver et stærkere tillidssignal end DV, fordi der faktisk er foretaget en organisationskontrol. OV passer typisk til virksomhedssider, kundeportaler og offentlige informationssider, hvor brugerne skal kunne se, at der står en reel organisation bag løsningen.
EV (Extended Validation) er den mest omfattende validering. Her bliver domæne, virksomhed og en række formelle virksomhedsoplysninger verificeret mere indgående. EV vælges ofte til banker, større netbutikker, finansielle tjenester og andre websites med høje krav til troværdighed. Kort sagt er DV nok til simple sites, OV er velegnet til de fleste virksomheder, og EV er relevant, når tillid og dokumenteret identitet vejer tungest.
Processen begynder med at vælge den løsning, der passer til sitet og behovet for validering. Mange websites kan bruge et almindeligt domænevalideret certifikat, mens virksomheder i nogle tilfælde vælger mere omfattende validering. Der findes både betalte certifikater og gratis muligheder som Let’s Encrypt, der ofte er tilstrækkelige til almindelige hjemmesider, blogs og webshops.
Næste trin er typisk at oprette en CSR (Certificate Signing Request) på serveren eller i kontrolpanelet hos hostingudbyderen. En CSR indeholder blandt andet domænenavn og oplysninger om den, der anmoder om certifikatet. Når anmodningen er sendt til certifikatudstederen, skal ejerskabet af domænet bekræftes. Det sker som regel via DNS, e-mail eller en fil, der placeres på webserveren.
Når domænet er valideret, udstedes certifikatet. Derefter installeres det på den server, hvor hjemmesiden kører, sammen med den tilhørende private nøgle og eventuelle mellemliggende certifikater. Til sidst aktiveres HTTPS i opsætningen, så trafikken bliver krypteret. Det er også god praksis at teste, om certifikatet er korrekt installeret, og om fornyelse er sat op, da certifikater udløber og skal erstattes løbende.
Når et SSL-certifikat udløber, reagerer browseren typisk med en tydelig advarsel om, at forbindelsen ikke er sikker. Det kan få brugere til at forlade siden med det samme, fordi tilliden til webstedet bryder sammen. For virksomheder betyder det ikke kun dårlig brugeroplevelse, men også risiko for tab af henvendelser, salg og troværdighed.
Fejl opstår ikke kun ved udløb. Et certifikat kan også være fejlkonfigureret, installeret forkert eller ikke matche domænet, for eksempel hvis det er udstedt til et andet navn end det, brugeren besøger. I de tilfælde vil browseren ofte vise sikkerhedsfejl, selv om certifikatet formelt set stadig er gyldigt. Det samme gælder, hvis mellemcertifikater mangler, eller hvis serverens opsætning er mangelfuld.
Derfor er løbende drift vigtig. Certifikater bør overvåges og fornyes i god tid, helst med automatisk fornyelse, så man undgår afbrydelser og manuelle fejl. Et gyldigt certifikat er ikke nok i sig selv; det skal også være korrekt installeret og passe til det domæne eller de domæner, det beskytter.
En sikker forbindelse er i dag en helt grundlæggende del af et troværdigt website. Når siden bruger HTTPS, bliver data mellem bruger og server krypteret, og det reducerer risikoen for aflytning og manipulation. Det har stor betydning på sider med login, kontaktformularer, betaling eller andre følsomme oplysninger.
For SEO er HTTPS et kendt, men relativt lille rangeringssignal. Et SSL-certifikat løfter derfor ikke alene en side til topplaceringer, hvis indhold, relevans og teknisk kvalitet halter. Til gengæld forventer søgemaskiner, at moderne websites er sikre, og usikre sider kan sende negative kvalitetssignaler.
Den største effekt ses ofte i brugeroplevelsen. Browsere advarer tydeligt mod usikre forbindelser, og sådanne advarsler kan få både nye og tilbagevendende besøgende til at forlade siden med det samme. Et gyldigt certifikat styrker derfor tillid, tryghed og sandsynligheden for, at brugeren bliver på siden og gennemfører sin handling.
Hvad koster et SSL certifikat?
Prisen varierer fra gratis til flere tusinde kroner om året. Det afhænger især af certifikattypen, hvor mange domæner der skal dækkes, og om virksomheden vælger domænevalidering eller mere omfattende validering.
Kan man få et gratis SSL certifikat?
Ja, gratis SSL certifikater findes og er ofte tilstrækkelige til blogs, mindre websites og mange standardløsninger. De giver kryptering på linje med betalte certifikater, men omfatter typisk ikke samme niveau af support, garanti eller udvidet virksomhedsvalidering.
Er SSL og TLS det samme?
Ikke helt. SSL er den ældre betegnelse, mens TLS er den moderne og teknisk korrekte protokol, men i praksis bruger mange stadig ordet SSL certifikat som fælles betegnelse.
Hvordan tjekker man, om et website har et gyldigt certifikat?
Det kan normalt ses på hængelåsen i browserens adresselinje. Her kan man kontrollere, om forbindelsen er sikker, hvem certifikatet er udstedt til, og om det stadig er gyldigt.
Hvad sker der, hvis et certifikat udløber?
Når et SSL certifikat udløber, vil browseren typisk advare brugerne om, at forbindelsen ikke er sikker. Det kan skade både tillid, konverteringer og i nogle tilfælde websiteejers drift, hvis tjenester eller formularer bliver afvist.
Dækker ét certifikat alle undersider og subdomæner?
Ikke nødvendigvis. Nogle certifikater dækker kun ét domæne, mens andre kan omfatte flere domæner eller alle subdomæner via et wildcard-certifikat.
Et SSL certifikat bruges til at oprette en sikker forbindelse mellem en brugers browser og en webserver. Det gør dataudvekslingen krypteret, så oplysninger som login, formularindhold og betalingsdata er bedre beskyttet mod aflytning.
Certifikatet bruges også til at bekræfte, at browseren er forbundet til det rigtige domæne. Det er derfor en central del af HTTPS og af den tillid, brugeren møder i browseren.
HTTPS kræver et gyldigt certifikat for at kunne etablere en sikker forbindelse. Uden certifikatet kan browseren ikke kontrollere webstedets identitet eller aktivere den normale kryptering på en troværdig måde.
Hvis der mangler et gyldigt certifikat, vil mange browsere vise en sikkerhedsadvarsel. Det kan få brugere til at forlade siden, før de overhovedet læser indholdet.
Man får typisk et SSL certifikat gennem sin hostingudbyder, et kontrolpanel eller en certifikatmyndighed. Mange vælger en gratis løsning som Let’s Encrypt, mens andre køber et certifikat med mere support eller en højere valideringstype.
Normalt skal man først dokumentere kontrol over domænet. Derefter udstedes certifikatet og kan installeres på serveren eller aktiveres direkte i hostingsystemet.
Installationen afhænger af servertypen og hostingmiljøet. På mange webhoteller kan certifikatet aktiveres med få klik, mens man på egen server ofte skal installere certifikatfilen, den private nøgle og eventuelle mellemcertifikater.
Når certifikatet er installeret, bør man teste, at HTTPS virker korrekt, og at siden viderestiller fra HTTP til HTTPS. Det er også vigtigt at kontrollere, at certifikatet passer til det domæne, der bruges.
Forskellen ligger i, hvor grundigt ejeren bliver kontrolleret, før certifikatet udstedes. DV bekræfter kun kontrol over domænet, OV omfatter også kontrol af organisationen, og EV kræver en mere omfattende virksomhedsvalidering.
Krypteringen er ikke i sig selv bedre i EV end i DV. Forskellen handler primært om identitetskontrol og det tillidsniveau, certifikatet skal signalere.
Ja, der findes gratis SSL certifikater, og de er ofte tilstrækkelige til almindelige hjemmesider, blogs og mange webshops. Den mest kendte løsning er Let’s Encrypt, som bruges bredt i både små og store opsætninger.
Gratis certifikater giver normalt den nødvendige kryptering, men de kommer typisk uden den samme support og uden udvidet validering. For mange websites er det dog en fuldt brugbar løsning.
Når et certifikat udløber, vil browseren som regel markere siden som usikker og vise en advarsel til brugeren. Det kan føre til tab af trafik, færre henvendelser og lavere tillid til webstedet.
I praksis bør certifikater fornyes i god tid eller håndteres med automatisk fornyelse. Ellers kan selv et velfungerende website pludselig fremstå som usikkert.
Ja, indirekte. HTTPS er et kendt rangeringssignal, men det er normalt et mindre signal sammenlignet med indholdskvalitet, relevans og teknisk performance.
Den praktiske effekt er ofte større på brugeradfærd end på placeringer alene. Hvis en side vises som usikker i browseren, kan det skade tilliden og få flere brugere til at forlade siden hurtigt.
Det kan normalt ses i browserens adresselinje, hvor forbindelsen bør være markeret som sikker med HTTPS. Ved at klikke på hængelåsen eller sikkerhedsoplysningerne kan man ofte se, hvem certifikatet er udstedt til, og hvornår det udløber.
Hvis browseren viser en advarsel om usikker forbindelse, kan det skyldes et udløbet certifikat, forkert domænenavn eller en fejl i installationen.
Ikke altid. Et almindeligt certifikat dækker typisk kun ét specifikt domæne eller værtsnavn, for eksempel www.eksempel.dk.
Hvis man vil beskytte mange subdomæner, kan man bruge et wildcard-certifikat eller et certifikat med flere domæner. Det rigtige valg afhænger af, hvordan sitet og de tilhørende tjenester er sat op.