Vad är ett SSL/TLS-certifikat?
Ett SSL/TLS-certifikat upprättar den krypterade HTTPS-anslutningen mellan din server och besökarnas webbläsare. Det autentiserar också din servers identitet — det bevisar för webbläsaren att den faktiskt pratar med din domän och inte med en bedragare.
När något är fel med ditt certifikat visar webbläsare säkerhetsvarningar, sökmotorer kan sänka din ranking och i vissa fall blockeras anslutningen helt. Automatiserade klienter och API:er som tillämpar strikt certifikatvalidering misslyckas utan tydligt felmeddelande.
Typer av fynd och vad du ska göra
Utgånget certifikat
Certifikatets giltighetstid har passerat. Webbläsare visar en hård varning som hindrar besökare från att fortsätta.
Åtgärd: Förnya eller utfärda om certifikatet omedelbart. Om du använder Let's Encrypt, aktivera automatisk förnyelse via certbot renew i ett cron-schema eller systemd-timer. De flesta managed hostingplattformar förnyar automatiskt — kontrollera att automatisk förnyelse är aktiverad och att ditt hostingkonto är i god status.
Förebygg: Sätt upp övervakning eller kalenderpåminnelser 30 dagar före utgång. Let's Encrypt-certifikat löper ut var 90:e dag och är utformade för automatisk förnyelse.
Självsignerat certifikat
Certifikatet signerades av servern själv snarare än av en betrodd certifikatutfärdare. Webbläsare litar inte på självsignerade certifikat för publika tjänster och visar ett säkerhetsfel.
Åtgärd: Ersätt det självsignerade certifikatet med ett utfärdat av en betrodd CA. Gratis alternativ:
- Let's Encrypt — Gratis, automatiserat, brett stöd. Använd
certboteller din hostingplattforms inbyggda integration. - ZeroSSL — Ett annat gratis, automatiserat alternativ.
Självsignerade certifikat är acceptabla endast för interna tjänster där alla klienter explicit konfigureras att lita på dem.
Svaga cipher suites eller protokollversion
Din server stöder föråldrade TLS-protokollversioner (TLS 1.0, TLS 1.1, SSLv3) eller svaga cipher suites (RC4, DES, export-grade ciphers). Dessa har kända sårbarheter som möjliggör nedgradering eller dekrypteringsattacker.
Åtgärd: Konfigurera din server att använda TLS 1.2 som minimum, med TLS 1.3 som föredraget.
Nginx:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
Apache:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...
Använd Mozilla SSL Configuration Generator för att generera en rekommenderad konfiguration för din server och ditt användningsfall.
Certifikatets värdnamn stämmer inte
Certifikatet är giltigt men utfärdat för ett annat domännamn (t.ex. täcker certifikatet www.dindomän.se men scannen hittade det på mail.dindomän.se).
Åtgärd: Utfärda ett nytt certifikat som täcker rätt värdnamn. Wildcard-certifikat (*.dindomän.se) täcker alla direkta subdomäner och minskar risken för värdnamnskonflikter i din infrastruktur.
Ofullständig certifikatkedja
Servern skickar inte den fullständiga certifikatkedjan (de mellanliggande CA-certifikaten). Vissa klienter kan inte verifiera certifikatet och visar fel.
Åtgärd: Konfigurera din server att skicka den fullständiga kedjan. För Let's Encrypt, använd fullchain.pem (inte bara cert.pem) som certifikatfil:
ssl_certificate /etc/letsencrypt/live/dindomän.se/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/dindomän.se/privkey.pem;
Verifiera din fullständiga konfiguration
Använd SSL Labs Server Test för en heltäckande betygsatt rapport som täcker protokollversioner, cipher suites, certifikatkedja och kända sårbarheter. Sikta på betyget A eller A+.
Senast uppdaterad: March 28, 2026