Gratis SSL-certifikat – Let's Encrypt förklarat

Sedan 2015 har Let's Encrypt delat ut gratis SSL-certifikat till alla som vill. Idag skyddas webbplatser med deras teknik. Den här guiden förklarar hur det fungerar, vad automatisk förnyelse innebär i praktiken och när ett betalt certifikat faktiskt tillför något.

  1. Gratis SSL-certifikat – Let's Encrypt förklarat
    1. Vad ett SSL-certifikat gör
    2. Hur Let's Encrypt fungerar
    3. Automatisk förnyelse med korta certifikatperioder
    4. Gratis kontra betalt SSL
    5. Wildcard-certifikat och flera domäner
    6. Vanliga frågor om gratis SSL
      1. Är Let's Encrypt-certifikat lika säkra som betalda certifikat?
      2. Hur ofta förnyas ett Let's Encrypt-certifikat?
      3. Fungerar Let's Encrypt för alla typer av webbplatser?
      4. Vad händer om certifikatet inte förnyas i tid?
    7. Läs vidare
      1. Jämförelser
      2. Typ av hosting
      3. Leverantörer
      4. Guider & om
    Gratis SSL-certifikat – Let's Encrypt förklarat
    Redaktionell bild: Gratis SSL-certifikat – Let's Encrypt förklarat

    Vad ett SSL-certifikat gör

    När en besökare når din webbplats utan SSL skickas all data i klartext mellan webbläsaren och servern. Lösenord, formulärdata och sessionskakor är läsbara för den som lyssnar på nätverkstrafiken. SSL (numera TLS i sin modernare form) krypterar den här förbindelsen så att informationen inte kan läsas av en utomstående även om den fångas upp.

    Det du ser i adressfältet säger en del. En adress som börjar med https:// och har ett hänglås innebär att webbläsaren har verifierat serverns certifikat och att förbindelsen är krypterad. En korrekt HTTPS-konfiguration är en grundläggande säkerhetsåtgärd.

    Hur Let's Encrypt fungerar

    Let's Encrypt är en certifikatutfärdare (CA) som drivs av den ideella organisationen Internet Security Research Group. Tillsammans med Mozilla, Cisco, Akamai och EFF grundades projektet med ett tydligt mål: göra HTTPS till standarden på webben genom att ta bort den ekonomiska och tekniska tröskeln för certifikat.

    Tekniken bakom automatiseringen kallas ACME-protokollet (Automatic Certificate Management Environment), numera standardiserat i RFC 8555. Det fungerar ungefär så här: en ACME-klient på din server, typiskt Certbot, kontaktar Let's Encrypts API och begär ett certifikat för en viss domän. Let's Encrypt svarar med en utmaning för att bevisa att du faktiskt kontrollerar domänen. Det vanligaste är HTTP-01-utmaningen, där klienten placerar en specifik fil på webbservern, Let's Encrypt hämtar filen och bekräftar kontrollen.

    Eftersom Let's Encrypt aldrig kontrollerar vem du är som organisation, bara att du kontrollerar domänen, kallas det här ett domänvaliderat certifikat (DV). Krypteringen är densamma som i dyrare alternativ, men certifikatet berättar ingenting om organisationen bakom sajten.

    Automatisk förnyelse med korta certifikatperioder

    Let's Encrypt använder korta certifikatperioder och har aviserat en övergång till ännu kortare löptider. Det kortare intervallet är ett medvetet val: det begränsar exponeringen om en privat nyckel läcker, och det tvingar fram automatisering i stället för manuell hantering en gång om året.

    Förnyelse kan hanteras av Certbot eller en motsvarande ACME-klient som körs schemalagt på servern. Om din plan har automatisk förnyelse behöver du ändå kontrollera att den är aktiverad och att domän- och DNS-konfigurationen tillåter valideringen.

    Det enda tillfälle när det kan krångla är om webbhotellsmiljön inte stöder automatisk förnyelse och du hanterar certifikatet manuellt. Kontrollera då utgångsdatum och förnyelseintervall i god tid.

    Gratis kontra betalt SSL

    Krypteringen i ett Let's Encrypt-certifikat och krypteringen i ett certifikat som kostar tusentals kronor per år är tekniskt sett likvärdig. Skillnaden ligger i valideringsprocessen och vad certifikatet säger om ägaren.

    Betalda certifikat finns i tre valideringsnivåer. DV (domänvalidering) är samma nivå som Let's Encrypt, och betalda DV-certifikat erbjuder egentligen ingenting utöver ett längre löpintervall och ibland ett ekonomiskt ansvarsgaranti. OV-certifikat (organisationsvalidering) innebär att certifikatutfärdaren har kontrollerat att organisationen faktiskt existerar och är registrerad. EV-certifikat (utökad validering) är den strängaste nivån och kräver noggrann granskning av organisationens juridiska och operativa identitet.

    För de allra flesta webbplatser, bloggar, portföljer, informationssajter och enklare webbutiker, är ett DV-certifikat via Let's Encrypt fullt tillräckligt. Webbläsaren visar hänglåset, förbindelsen är krypterad och besökarna skyddas.

    Det finns situationer där ett OV- eller EV-certifikat tillför något konkret. Banker, myndigheter och aktörer inom finanssektorn väljer ofta EV av varumärkes- och förtroendemässiga skäl, även om den tekniska säkerhetsnivån inte skiljer sig. Om du driver en webbutik där besökare hanterar betalningar och känslig data kan det finnas ett värde i att visa att organisationen bakom sajten är verifierad, inte bara att domänen är det.

    Wildcard-certifikat och flera domäner

    Let's Encrypt utfärdar sedan 2018 även wildcard-certifikat, det vill säga certifikat som täcker alla underdomäner till en domän (*.dindomän.se). Wildcard-certifikat kräver DNS-01-utmaningen i stället för HTTP-01, vilket innebär att ACME-klienten behöver kunna uppdatera DNS-poster automatiskt. Många webbhotell och DNS-leverantörer stöder det via API, men det kräver lite mer konfiguration än ett vanligt domäncertifikat.

    Alternativet är att utfärda ett SAN-certifikat (Subject Alternative Names) som listar varje underdomän explicit. Let's Encrypt tillåter upp till 100 domännamn per certifikat, vilket räcker för de allra flesta flersajts-installationer.

    Vanliga frågor om gratis SSL

    Är Let's Encrypt-certifikat lika säkra som betalda certifikat?

    Ja, Let's Encrypt-certifikat ger samma typ av publikt betrodd TLS som betalda DV-certifikat när servern är rätt konfigurerad. Själva chifferstyrkan, till exempel om AES används, bestäms i TLS-förhandlingen mellan webbläsaren och servern. Skillnaden ligger främst i validering, support, varumärkesfunktioner och eventuella garantier, inte i att certifikatet i sig skulle ha svagare kryptering.

    Hur ofta förnyas ett Let's Encrypt-certifikat?

    Let's Encrypt använder korta certifikatperioder. Förnyelsen kan hanteras automatiskt via Certbot eller motsvarande ACME-klient, men kontrollera den aktuella inställningen och valideringsvägen för din plan eller server.

    Fungerar Let's Encrypt för alla typer av webbplatser?

    Let's Encrypt passar de allra flesta: bloggar, företagssidor, portföljer och enkla webbutiker. Om du representerar en organisation där besökaren aktivt behöver kunna verifiera vem som äger sajten kan ett OV- eller EV-certifikat tillföra något utöver det domänvaliderade certifikatet.

    Vad händer om certifikatet inte förnyas i tid?

    Webbläsaren kan visa en säkerhetsvarning om certifikatet inte är giltigt. Övervaka utgångsdatum och förnyelse oavsett om processen är automatisk eller manuell.

    Läs vidare

Till topplistan