Hvad er et TLS/SSL-certifikat? Komplet forklaring

Et TLS-certifikat (ofte stadig kaldt et SSL-certifikat) er den lille datafil der gør hængelåsen i browseren mulig. Det binder en offentlig nøgle til et domænenavn og lader klienter bekræfte, at de taler med den rigtige server over en krypteret forbindelse. Her er hvad det indeholder, hvordan det skaber tillid, og hvorfor det altid har en udløbsdato.

Kort fortalt

Et TLS/SSL-certifikat gør to ting på én gang: det krypterer trafikken mellem browser og server, og det autentificerer serveren — altså beviser at domænet er det, det udgiver sig for. Uden certifikatet kunne en mellemmand aflytte eller manipulere forbindelsen uden at nogen opdagede det.

Hvad et certifikat indeholder

Subject — domænet/domænerne certifikatet dækker (fx example.com eller flere via en SAN-liste).
Offentlig nøgle — den ene halvdel af nøgleparret; den private nøgle forbliver hemmelig på serveren.
Issuer — den Certificate Authority (CA) der har udstedt og signeret certifikatet.
Gyldighedsperiode — et not before og not after tidspunkt. Efter not after er certifikatet udløbet.
Signatur — CA'ens kryptografiske underskrift, som binder det hele sammen i en certifikat-kæde op til en betroet root.

Hvordan tilliden opstår

Browseren stoler ikke på serveren direkte — den stoler på CA'en der har signeret certifikatet. CA'ens root ligger i browserens og styresystemets root store. Når serveren præsenterer sit certifikat, følger klienten kæden fra serverens certifikat op til en betroet root og kontrollerer hver signatur undervejs. Hvilket valideringsniveau certifikatet har — DV, OV eller EV — afgør hvad CA'en har verificeret inden udstedelse. Du kan selv vælge mellem flere CA'er; se vores guide til at vælge den rette CA.

SSL eller TLS — hvad hedder det?

SSL er den gamle protokol; TLS er efterfølgeren og det der faktisk bruges i dag. Branchen siger stadig "SSL-certifikat" af vane, men teknisk set er det et TLS-certifikat. Vi forklarer forskellen i SSL vs TLS.

Hvorfor certifikater udløber

Et certifikat er en tidsbegrænset påstand om identitet. Korte levetider begrænser skaden hvis en nøgle lækkes, og tvinger nøgler til at blive roteret jævnligt. Levetiderne bliver stadig kortere, hvilket gør automatisering vigtigere end nogensinde. Det er også derfor et udløbet certifikat er en af de hyppigste — og mest undgåelige — årsager til nedetid.

Sådan hjælper CertControl

CertControl finder alle jeres TLS-certifikater — på tværs af servere, load balancers, CDN'er og interne systemer — og advarer i god tid før de udløber. I slipper for regneark og for at opdage et udløbet certifikat samtidig med jeres kunder.

Ofte stillede spørgsmål

Er SSL og TLS det samme?

I praksis ja. SSL er den ældre protokol, TLS er efterfølgeren. "SSL-certifikat" og "TLS-certifikat" refererer til det samme i dag — det korrekte navn er TLS.

Hvor får jeg et TLS-certifikat?

Fra en Certificate Authority. Mange CA'er som Let's Encrypt, ZeroSSL og Buypass udsteder gratis DV-certifikater via ACME-automatisering. Se vores guide til at vælge den rette CA.

Hvorfor udløber mit certifikat?

Alle certifikater har en fast gyldighedsperiode for at begrænse risikoen ved en lækket nøgle. Når det udløber, skal det fornyes — helst automatisk, så I undgår nedetid.

Se platformen Book demo