Hvad er en Certificate Authority (CA)?

En Certificate Authority (CA) er den betroede tredjepart der udsteder TLS-certifikater og garanterer at en offentlig nøgle hører til et bestemt domæne. Browsere og styresystemer stoler på en håndfuld CA-roots — og det er den tillid, hele HTTPS hviler på.

Hvad en CA gør

En CA verificerer en ansøgers kontrol over et domæne (og evt. organisation), og udsteder derefter et signeret certifikat. Signaturen er CA'ens garanti: "vi har kontrolleret dette, og nøglen hører til dette domæne." Hvor grundig kontrollen er, afhænger af valideringsniveauet (DV, OV, EV).

Roots og intermediates

CA'er udsteder sjældent direkte fra deres root. I stedet bruger de intermediate-certifikater: rooten signerer en intermediate, og intermediaten signerer jeres certifikat. Det danner en certifikat-kæde, som klienten følger op til en betroet root. Rooten holdes offline og beskyttet, fordi den er roden til al tillid.

Hvorfor browsere stoler på CA'er

Hver browser og hvert styresystem har en root store — en kurateret liste over CA-roots de stoler på. For at komme ind i den skal en CA leve op til strenge krav (CA/Browser Forum) og revideres løbende. Det er en eksklusiv klub, og medlemskab kan trækkes tilbage.

Når en CA mister tilliden

Hvis en CA udsteder forkert eller bryder reglerne, kan browserne fjerne dens root. Det er sket for store, etablerede CA'er — fx Symantec (2018) og Entrust (2024). Lektien: en CA's troværdighed handler om compliance-historik, ikke om pris. Vi uddyber i hvilken CA I bør vælge. I kan også styre hvilke CA'er der overhovedet må udstede for jeres domæner med en CAA-record.

Sådan hjælper CertControl

CertControl viser hvilken CA der har udstedt hvert af jeres certifikater, holder øje med kæden og advarer om udløb — så I altid ved hvem der står bag jeres tillid, og hvornår der skal fornyes.

Ofte stillede spørgsmål

Hvad er forskellen på en root og en intermediate CA?

Rooten er øverst i tillidskæden og holdes offline. Intermediates signeres af rooten og bruges til den daglige udstedelse, så rooten ikke eksponeres.

Kan enhver blive en CA?

Nej. En offentligt betroet CA skal optages i browsernes root stores efter strenge krav og løbende revision via CA/Browser Forum.

Er en dyr CA mere troværdig?

Nej. Browser-tilliden er den samme. Flere af de CA'er der er blevet underkendt, var store, dyre udbydere. Compliance-historik betyder mere end pris.

Se platformen Book demo