Hvilken CA bør I vælge? Misforståelsen om Let's Encrypt

"Vi bruger Let's Encrypt — men burde vi ikke have certifikatet fra en mere troværdig CA?" Det er et af de hyppigste spørgsmål, vi får. Det korte svar er nej: Let's Encrypt er ikke mindre sikkert eller mindre troværdigt end en certifikat-udsteder der koster penge. Den lange forklaring afslører en udbredt misforståelse om, hvad man egentlig betaler for.

Er Let's Encrypt sikkert? Misforståelsen om at "gratis = mindre sikkert"

Det er en af de mest udbredte myter om TLS. Den bygger på en intuition fra fysiske varer — dyrere er bedre — som ikke gælder for certifikater. En browser stoler enten på en CA's root-certifikat, eller også gør den ikke. Der findes ingen mellemvej, ingen "mere troværdig" tier. Let's Encrypts rødder (ISRG Root X1/X2) ligger i alle store root-stores: Chrome, Firefox, Safari, Edge, iOS, Android, Windows og macOS. Et DV-certifikat fra Let's Encrypt giver præcis samme kryptering og samme hængelås som et certifikat til flere tusind kroner.

Faktisk peger historikken den modsatte vej. De CA'er, der er blevet underkendt af browserne, har næsten alle været store, dyre "premium"-udbydere: Symantec (underkendt af Google og Mozilla i 2018 efter omfattende fejludstedelser) og Entrust (underkendt af Chrome i 2024 efter gentagne compliance-brud). Let's Encrypt har til sammenligning en ren historik. Pris er ikke et mål for tillid.

De tre valideringsniveauer

Den reelle forskel mellem certifikater er ikke "billig vs. dyr", men hvad CA'en verificerer inden udstedelse:

Niveau	Hvad verificeres	Synligt for besøgende	Wildcard
DV (Domain Validation)	Kontrol over domænet	Nej (samme hængelås)	Ja
OV (Organization Validation)	Domæne + at organisationen findes	Kun i certifikatets detaljer	Ja
EV (Extended Validation)	Grundig juridisk verificering af firmaet	Ikke længere (badge fjernet ~2019)	Typisk nej

Bemærk den vigtigste ændring: EV viser ikke længere firmanavnet i adresselinjen. Alle store browsere fjernede det "grønne firmanavn" omkring 2019, fordi studier viste at brugerne ikke lagde mærke til det. Det tillidsmærke, man tidligere betalte for, er reelt forsvundet.

De store CA'er — for og imod

Let's Encrypt — gratis, DV, 90 dages levetid, fuld ACME-automatisering. For: allestedsnærværende, gratis, automation-first, ren historik. Imod: kun DV, ingen support-SLA, kort levetid kræver ACME-automatisering.
ZeroSSL — gratis + betalt, DV/OV/EV, ACME-understøttelse. For: ACME og OV/EV-muligheder, support-tiers. Imod: begrænsninger på gratis-tier.
Google Trust Services — gratis, DV, ACME (via Google Cloud). For: drevet af Google, fuld automatisering. Imod: kun DV, og lettest at bruge inden for GCP-økosystemet.
Buypass (norsk/EU) — gratis + betalt, ACME, EU-baseret. For: europæisk CA, ACME, god hvis EU-suverænitet vægter. Imod: mindre udbredt end de globale.
DigiCert — premium, OV/EV, warranty, enterprise-support. For: stærk i enterprise-udbud, menneskelig support, OV/EV. Imod: dyrt; teknisk ingen ekstra browser-tillid frem for DV.
Sectigo (tidl. Comodo) — bredt udvalg DV/OV/EV, billigere end DigiCert. For: fleksibelt produktudvalg, konkurrencedygtig pris. Imod: blandet brand-historik fra Comodo-tiden.
GlobalSign / Entrust — etablerede enterprise-CA'er med OV/EV samt IoT- og dokumentsignering. For: bred portefølje, EU-tilstedeværelse. Imod: dyrt — og Entrust er et håndgribeligt eksempel på at "etableret og dyr" ikke garanterer tillid (underkendt af Chrome i 2024).

Hvornår en betalt CA faktisk giver mening

Der findes reelle grunde — de handler bare aldrig om "mere sikkerhed":

Udbuds- eller enterprise-krav der eksplicit forlanger OV (firmanavn i certifikatet).
Compliance i regulerede brancher (finans, sundhed, visse offentlige miljøer).
Warranty og support-SLA hvis I skal kunne ringe til nogen når det brænder.
eIDAS / QWAC ved konkrete EU-regulatoriske krav som PSD2. En niche.

Bonus: lås fast hvem der må udstede for jeres domæner

Uanset hvilken CA I vælger, bør I begrænse hvilke CA'er der overhovedet må udstede certifikater for jeres domæner. Det gøres med en CAA-record i jeres DNS — en simpel beskyttelse mod at en hvilken som helst CA (eller en angriber) udsteder et certifikat i jeres navn.

Konklusion

For langt de fleste — inklusive wildcard-certifikater — er Let's Encrypt det rigtige valg: lige så sikkert, lige så troværdigt, gratis og bygget til automatisering. Den eneste reelle grund til at vælge en anden CA er et konkret krav fra en kunde, et udbud eller en lovgivning — ikke en generel fornemmelse af at noget dyrere er mere troværdigt. Og fordi hele branchen bevæger sig mod kortere certifikat-levetider, bliver automatisering vigtigere end selve CA-valget.

Og uanset hvilken CA I bruger, er det vigtige det samme: at I ved, hvor jeres certifikater er, hvornår de udløber, og om der dukker uventede certifikater op for jeres domæner. Det er præcis det CertControl overvåger — på tværs af alle CA'er.

Ofte stillede spørgsmål

Er Let's Encrypt sikkert nok til produktion?

Ja. Let's Encrypt er lige så sikkert og lige så bredt betroet som enhver betalt CA — rødderne ligger i alle store browsere og styresystemer. Forskellen på en gratis og en betalt CA er valideringsniveau (DV vs. OV/EV) og support, ikke kryptering eller tillid.

Er et betalt certifikat mere sikkert end et gratis?

Nej. Kryptering og browser-tillid er identisk. Et betalt OV/EV-certifikat tilføjer verificering af jeres organisation i certifikatets detaljer — ikke stærkere sikkerhed. EV viser ikke længere firmanavn i browseren.

Hvornår bør vi vælge en betalt CA?

Når et konkret krav forlanger det: et udbud eller en enterprise-kunde der kræver OV, compliance i en reguleret branche, behov for warranty eller support-SLA, eller eIDAS/QWAC. Ellers er Let's Encrypt det rette valg.

Kan jeg få et wildcard-certifikat fra Let's Encrypt?

Ja — gratis, via en DNS-01 challenge. Husk at et wildcard samler alle underdomæner under én privat nøgle, så vurder blast-radius inden I bruger det bredt.

Se platformen Book demo

Hvilken CA bør I vælge? Let's Encrypt vs. betalte certifikat-udstedere