·
25. marts 2026
Dette indhold indeholder affiliate- eller reklamelinks. Hvis du klikker på et link og gennemfører et køb, kan vi modtage en kommission. Det påvirker ikke den pris, du betaler. Bemærk, at vi ikke viser alle udbydere på markedet.
Et SSL certifikat er fundamentet for sikker kommunikation på nettet. Uden det sender din hjemmeside data i klartekst, som potentielt kan opsnappes af tredjeparter. Med SSL krypteres al datatrafik mellem brugerens browser og din server, og adressen skifter fra http:// til https://. Det er ikke længere et teknisk tilvalg for avancerede brugere – det er et basiskrav til enhver hjemmeside i dag.
Hvad er et SSL certifikat, og hvordan virker det?
SSL står for Secure Sockets Layer, men den teknologi, der faktisk bruges i dag, hedder TLS (Transport Layer Security). Betegnelsen SSL er dog blevet hængende som branchebetegnelse. Certifikatet er en digital fil, der installeres på din webserver og bekræfter to ting: at din hjemmeside er den, den udgiver sig for at være, og at forbindelsen er krypteret.
Når en bruger besøger din side, gennemføres der et såkaldt “TLS-handshake”. Browseren og serveren udveksler kryptografiske nøgler og aftaler en krypteringsmetode, inden der overføres et eneste stykke indhold. Det hele sker på millisekunder og er fuldstændig usynligt for brugeren.
Resultatet er, at data som loginoplysninger, betalingskortinformation og personlige oplysninger ikke kan læses af nogen, der måtte aflytte forbindelsen. Det er særligt kritisk for en webshop, hvor kunder indtaster kortoplysninger og adresser.
Hvorfor er SSL certifikatet obligatorisk i praksis?
Google begyndte i 2018 at markere alle HTTP-sider som “Ikke sikker” i Chrome. Det alene er nok til at skræmme potentielle kunder væk. Derudover er HTTPS en bekræftet rankingfaktor i Googles algoritme, hvilket betyder, at manglende SSL direkte påvirker din søgemaskineoptimering negativt.
Fra et juridisk perspektiv er SSL også relevant i forhold til GDPR. Hvis du indsamler personoplysninger via formularer eller login, er du forpligtet til at beskytte dem med passende tekniske foranstaltninger. Et SSL certifikat er den mest grundlæggende af disse foranstaltninger.
Moderne browsere som Chrome, Firefox og Edge viser alle en synlig advarsel, når brugere forsøger at tilgå en HTTP-side. Mange brugere vil simpelthen forlade siden med det samme.
De tre typer SSL certifikater
Ikke alle SSL certifikater er ens. De adskiller sig primært på, hvor grundigt udstederen har verificeret din identitet. Jo mere grundig verifikation, jo højere tillid – og typisk også højere pris.
| Type | Validering | Vises i browser | Passer til | Pris (ca.) |
|---|---|---|---|---|
| DV – Domain Validation | Kun domæneejerskab bekræftes | Hængelås + https | Blogs, informationssider, mindre hjemmesider | Gratis – ca. 300 kr./år |
| OV – Organization Validation | Domæne + virksomhedsoplysninger verificeres | Hængelås + https | Virksomhedshjemmesider, B2B-portaler | Ca. 500 – 2.000 kr./år |
| EV – Extended Validation | Fuld juridisk og organisatorisk verifikation | Hængelås + https (tidligere grøn adresselinje) | Banker, store webshops, offentlige institutioner | Ca. 2.000 – 8.000 kr./år |
For langt de fleste hjemmesider er et DV-certifikat fuldt tilstrækkeligt. OV og EV er primært relevante, når du har brug for at demonstrere organisatorisk troværdighed over for et mere krævende publikum.
Wildcard og multi-domæne certifikater
Wildcard SSL
Et wildcard certifikat dækker dit primære domæne og alle dets subdomæner med ét certifikat. Eksempel: Et certifikat til *.eksempel.dk dækker automatisk shop.eksempel.dk, blog.eksempel.dk, mail.eksempel.dk osv. Det er en praktisk og omkostningseffektiv løsning, hvis du driver flere subdomæner under samme domæne.
Multi-domæne (SAN) certifikater
Et SAN-certifikat (Subject Alternative Name) dækker flere helt forskellige domæner med ét certifikat. Det bruges typisk af virksomheder, der driver flere separate hjemmesider og ønsker at administrere SSL centralt. Prisen er højere, men administrationen forenkles markant.
Gratis SSL med Let’s Encrypt
Let’s Encrypt er en gratis, automatiseret og åben certifikatudsteder, der siden 2016 har gjort DV-certifikater tilgængelige for alle. Certifikaterne er teknisk set identiske med betalte DV-certifikater og anerkendes af alle moderne browsere.
De fleste webhostingudbydere i Danmark tilbyder i dag Let’s Encrypt som en automatisk inkluderet service. Det betyder, at du som udgangspunkt ikke behøver at betale for et SSL certifikat, medmindre du har behov for OV, EV eller wildcard-dækning.
Let’s Encrypt certifikater udløber efter 90 dage, men fornyelsen sker automatisk via en protokol kaldet ACME, som din hostingudbyder typisk håndterer for dig. Det kræver ingen manuel indgriben.
Sådan installerer du et SSL certifikat
Via din hostingudbyder (anbefalet for begyndere)
Den nemmeste metode er at aktivere SSL direkte i dit hostingkontrolpanel. De fleste udbydere har en knap eller toggle, der aktiverer Let’s Encrypt med et enkelt klik. Herefter håndterer udbyderen installation og fornyelse automatisk.
Manuel installation
Hvis du har adgang til serveren direkte, kan processen opdeles i tre trin:
- Generér en CSR (Certificate Signing Request) på serveren. CSR’en indeholder dine domæneoplysninger og din offentlige nøgle.
- Send CSR til certifikatudstederen (CA), som verificerer dine oplysninger og udsteder certifikatet.
- Installér certifikatet på serveren og konfigurér din webserver (Apache, Nginx eller lignende) til at bruge det.
Ved manuel installation skal du også sørge for at konfigurere en redirect fra HTTP til HTTPS, så alle besøgende automatisk sendes til den sikre version af din side.
SSL i WordPress
Bruger du WordPress, skal du efter SSL-aktivering opdatere dine URL-indstillinger under Indstillinger > Generelt, så både “WordPress-adresse” og “Webstedsadresse” starter med https://. Plugins som “Really Simple SSL” kan automatisere denne proces og håndtere mixed content-problemer, hvor interne ressourcer stadig indlæses over HTTP.
Mixed content – en hyppig fejl efter SSL-installation
Mixed content opstår, når din HTTPS-side forsøger at indlæse ressourcer (billeder, scripts, stylesheets) via HTTP. Browseren blokerer eller advarer mod disse ressourcer, og din side kan fremstå som usikker på trods af et gyldigt certifikat.
Typiske årsager til mixed content:
- Hardkodede HTTP-links i sidens kode eller database
- Tredjeparts scripts, der indlæses via HTTP
- Billeder uploadet med HTTP-sti i src-attributten
Du kan identificere mixed content ved at åbne browserens udviklerværktøjer (F12) og tjekke konsollen for advarsler. Alternativt kan online-værktøjer som “Why No Padlock?” scanne din side automatisk.
SSL og SEO – den direkte sammenhæng
Google bekræftede allerede i 2014, at HTTPS er en rankingfaktor. Det er ikke den tungeste faktor, men kombineret med de negative signaler en HTTP-side sender – høj bounce rate fra advarsler, manglende tillid – er den samlede SEO-effekt betydelig.
Derudover påvirker SSL indirekte Core Web Vitals, fordi moderne protokoller som HTTP/2 og HTTP/3 kræver HTTPS. Disse protokoller er markant hurtigere end HTTP/1.1 og forbedrer dermed sidens indlæsningstid, som er en direkte rankingfaktor.
Referrer-data er også påvirket: Når en bruger klikker fra en HTTPS-side til en HTTP-side, fjernes referrer-informationen. Det betyder, at trafik fra sikre sider til din usikre side registreres som “direkte trafik” i Google Analytics, hvilket forvrider dine trafikdata.
Certifikatets gyldighed og fornyelse
Siden september 2020 er den maksimale gyldighed for SSL certifikater 398 dage (ca. 13 måneder). Let’s Encrypt udsteder certifikater med 90 dages gyldighed og anbefaler fornyelse efter 60 dage for at have en buffer.
Et udløbet SSL certifikat resulterer i en kritisk browserfejl, der effektivt blokerer alle besøgende fra at tilgå din side. Det er derfor afgørende at have automatisk fornyelse konfigureret – eller at have en kalendernotits, der minder dig om manuel fornyelse i god tid.
Prissammenligning: Gratis vs. betalte SSL certifikater
| Løsning | Pris | Gyldighed | Valideringstype | Automatisk fornyelse |
|---|---|---|---|---|
| Let’s Encrypt | Gratis | 90 dage | DV | Ja (via hosting) |
| Comodo PositiveSSL | Ca. 50–150 kr./år | 1 år | DV | Nej (manuelt) |
| DigiCert Standard SSL | Ca. 800–1.500 kr./år | 1 år | OV | Nej (manuelt) |
| Sectigo Wildcard SSL | Ca. 1.000–3.000 kr./år | 1 år | DV/OV | Nej (manuelt) |
| DigiCert EV SSL | Ca. 3.000–8.000 kr./år | 1 år | EV | Nej (manuelt) |
For en standard hjemmeside er Let’s Encrypt via din hostingudbyder den klart mest fornuftige løsning. Betalte certifikater giver primært mening, når du har behov for OV- eller EV-validering, wildcard-dækning på tværs af mange subdomæner, eller en specifik garanti fra certifikatudstederen.
Hvad sker der, hvis du ikke har SSL?
Konsekvenserne af at mangle SSL er konkrete og målbare. Browsere viser en “Ikke sikker”-advarsel, som mange brugere reagerer på ved at forlade siden øjeblikkeligt. Din Google-placering forringes gradvist i forhold til konkurrenter med HTTPS. Og hvis du indsamler data uden kryptering, risikerer du at overtræde GDPR, hvilket kan medføre bøder.
Derudover kan manglende SSL påvirke tilliden til din virksomhed på et mere grundlæggende niveau. Brugere er i dag bevidste om sikkerhed online, og en HTTP-adresse signalerer, at ejeren ikke tager sikkerhed seriøst – uanset om det faktisk er tilfældet.
SSL og betalingsløsninger
Hvis du modtager betaling online, er SSL ikke blot anbefalet – det er et hårdt krav. PCI DSS-standarden (Payment Card Industry Data Security Standard), som gælder for alle, der behandler kortbetalinger, kræver eksplicit, at al datatransmission krypteres med TLS. Ingen seriøs betalingsgateway vil integrere med en HTTP-side, og kortudstedere kan nægte at behandle betalinger fra ikke-krypterede forbindelser.
Tekniske detaljer: TLS-versioner og cipher suites
TLS findes i flere versioner. TLS 1.0 og 1.1 er forældet og understøttes ikke længere af moderne browsere. TLS 1.2 er i dag standarden, mens TLS 1.3 er den nyeste version og tilbyder hurtigere handshake og stærkere kryptering.
Cipher suites er de konkrete krypteringsalgoritmer, der bruges under en TLS-forbindelse. Forældet cipher suites som RC4 og 3DES er sårbare og bør deaktiveres på serveren. Moderne og sikre valg inkluderer AES-GCM og ChaCha20-Poly1305.
Du kan teste din servers TLS-konfiguration gratis via Qualys SSL Labs, som giver en detaljeret rapport og en karakter fra A+ til F baseret på din opsætning.