Hvad betyder grade A+ vs A?

A+ kræver alt fra A (gyldigt cert, TLS 1.2/1.3, forward secrecy, intet legacy TLS) plus en stærk HSTS-konfiguration med min. 1 års max-age. A er meget tæt på perfekt; B/C indikerer manglende moderne features; D/F betyder konkrete sikkerhedsproblemer.

SSL Scanner

Q: Hvad er forward secrecy?

Forward secrecy (PFS) sikrer, at hvis en servers private nøgle senere bliver kompromitteret, kan tidligere optaget trafik ikke dekrypteres. Det opnås ved at bruge ECDHE eller DHE-cipher suites. TLS 1.3 har altid forward secrecy.

Komplet TLS-revision af ethvert domæne — certifikat, protokoller, kryptering og HSTS samlet i én karakter

Certifikat

Gyldighed, udsteder, kæde, SAN, nøglestyrke

TLS-protokoller

TLS 1.0, 1.1, 1.2 og 1.3 support

Cipher & PFS

Negotiated cipher og forward secrecy

HSTS & redirects

Strict-Transport-Security, preload og HTTPS-redirect

Hvorfor er SSL-revision vigtigt?

Et udløbet eller forkert konfigureret certifikat skader både sikkerhed, SEO og tillid hos brugerne.

Sikkerhed

Forældet TLS, svage ciphers og manglende forward secrecy efterlader trafikken sårbar over for aflytning og man-in-the-middle-angreb.

SEO

Google bruger HTTPS som ranking-signal. Et brudt certifikat eller fejlkonfigureret HSTS kan udløse advarsler, der koster trafik og placeringer.

Brugertillid

Browsere viser advarsler eller hængelås-fejl, hvis cert er udløbet, selvsigneret eller har ufuldstændig kæde. Det kan koste konverteringer.

Sådan beregnes karakteren

Fra A+ til F — så du ved præcis, hvor du står

A+

Eksemplarisk

Alt fra A plus stærk HSTS (min. 1 års max-age), TLS 1.3 og ingen legacy-protokoller.

Sikker konfiguration

Gyldigt cert, fuld kæde, TLS 1.2 og 1.3, forward secrecy, HSTS aktiveret.

Acceptabel

Mangler enten TLS 1.3 eller HSTS — fungerer fint, men kan forbedres.

Forbedring nødvendig

Cert udløber snart, ingen forward secrecy eller flere mangler — bør rettes.

Mangelfuld

TLS 1.0/1.1 aktiveret eller cipher uden PFS — eksponeret for kendte angreb.

Utilstrækkelig

Udløbet, selvsigneret eller hostname-mismatch — browsere vil afvise forbindelsen.

Det fulde sæt af kontroller

Vi udfører over 40 målinger pr. scan

Certifikatets indhold

Inspektion af X.509-data

Subject CN Issuer CN/Org notBefore notAfter SAN-liste Wildcard Self-signed SHA-256 fingerprint

Kryptografisk styrke

Nøgletype, signaturalgoritme og cipher

RSA / ECDSA Key bits Signaturalgoritme Negotiated cipher Forward secrecy SHA-1 advarsel

TLS-protokoller

Hvilke versioner accepterer serveren?

TLS 1.0 (deprecated) TLS 1.1 (deprecated) TLS 1.2 TLS 1.3

Kæde & validering

Bygger intermediate-kæden korrekt?

Chain complete Chain length SAN dækker domæne Hostname match Days remaining

HSTS

Strict-Transport-Security headeren

enabled max-age includeSubDomains preload

HTTPS-redirect

Sendes plaintext-trafik til HTTPS?

http→https redirect Status 301/302 Location header

Ofte stillede spørgsmål

Hvad er forskellen mellem TLS og SSL?

SSL (Secure Sockets Layer) er den oprindelige protokol, mens TLS (Transport Layer Security) er den moderne efterfølger. Selvom alle moderne forbindelser bruger TLS, bruges udtrykket "SSL-certifikat" stadig i daglig tale. SSL 2.0/3.0 er forældede og usikre — kun TLS 1.2 og TLS 1.3 anses i dag for sikre.

Hvorfor er TLS 1.0 og 1.1 usikker?

TLS 1.0 og 1.1 har kendte sårbarheder som BEAST, POODLE og Lucky13. Alle store browsere har deaktiveret dem siden 2020, og PCI-DSS kræver TLS 1.2 eller højere. Hvis dine servere stadig understøtter disse protokoller, kan angribere tvinge en forbindelse ned til den svage version (downgrade-angreb).

Hvad er forward secrecy?

Forward secrecy (også kaldet PFS — Perfect Forward Secrecy) sikrer, at hvis en servers private nøgle senere bliver kompromitteret, kan tidligere optaget trafik ikke dekrypteres bagudrettet. Det opnås ved at bruge ECDHE eller DHE-cipher suites, hvor der genereres en unik session-nøgle pr. forbindelse. TLS 1.3 har altid forward secrecy.

Hvad er HSTS preload?

HSTS (HTTP Strict Transport Security) er en header, der fortæller browseren altid at bruge HTTPS — også selvom brugeren skriver http://. Preload betyder, at dit domæne er på en hardkodet liste i Chrome, Firefox og Safari, så HTTPS gælder fra første besøg, før brugeren overhovedet har set headeren. Du kan ansøge om preload på hstspreload.org.

Hvor ofte bør jeg tjekke mit SSL-certifikat?

Mindst én gang om måneden, og altid før et certifikat udløber. Lad os automatisere det for dig — opret en SSL-monitor med automatisk overvågning af udløb, certifikatudskiftning, kæde og TLS-version. Du får besked på email, før noget går galt.

Hvad er forskellen på A+ og A?

A+ kræver alt fra A (gyldigt cert, TLS 1.2/1.3, forward secrecy, intet legacy TLS) plus en stærk HSTS-konfiguration med min. 1 års max-age, includeSubDomains og helst preload. A er meget tæt på perfekt; B/C indikerer manglende moderne features; D/F betyder konkrete sikkerhedsproblemer.

Overvåg dit SSL-certifikat automatisk

Få besked på email før dit certifikat udløber, hvis det udskiftes, eller hvis konfigurationen ændres

Start SSL-tjek Blacklist Check