Vanlige SSL/HTTPS-feil og hvordan du fikser dem

En SSL/TLS-feil i nettleseren er et av de mest effektive måtene å miste en besøkende på. Rød hengelås, advarselssider og kryptiske feilkoder skaper umiddelbar mistillit – selv om nettstedet ditt er helt legitimt og problemet er teknisk og enkelt å fikse. Her er de vanligste feilene, hva de betyr, og hva du gjør.

Hvorfor HTTPS er et krav, ikke et valg

Moderne nettlesere flagger alle nettsteder uten gyldig HTTPS-sertifikat som «ikke sikre». Søkemotorer rangerer HTTPS-sider høyere enn HTTP. Og for nettsteder som håndterer pålogging, bestillinger eller kontaktskjemaer, er kryptert trafikk et grunnleggende krav for å beskytte brukernes data.

Les mer om grunnlaget i artikkelen om hvorfor HTTPS er viktig .

Feil 1: Utløpt sertifikat

Hva brukeren ser: «Sertifikatet er utløpt» / «Your connection is not private» (ERR_CERT_DATE_INVALID)

Hva det betyr: TLS-sertifikatet for domenet ditt er ikke fornyet innen utløpsdatoen. Alle standard TLS-sertifikater har begrenset gyldighet – i dag som regel 90 dager for Let’s Encrypt eller ett år for kommersielle sertifikater.

Slik fikser du det:

• Sjekk sertifikatets utløpsdato. Du kan gjøre dette direkte i nettleseren ved å klikke på hengelås-ikonet (eller advarselen) og se på sertifikatdetaljer.
• Aktiver automatisk fornyelse hos leverandøren. Vymo inkluderer TLS-sertifikat via Let’s Encrypt for nettsteder hostet hos oss, med automatisk fornyelse. Sjekk at dette er aktivert.
• Har du et sertifikat fra en kommersiell CA, kontakt utstederen eller bestill et nytt.

Forebygging: Sett en kalenderpåminnelse 30 dager før utløp som backup, selv om du har automatisk fornyelse.

Feil 2: Blandet innhold (Mixed Content)

Hva brukeren ser: Hengelåsen er borte eller har et varseltrekant-ikon, eller innhold på siden vises ikke riktig. Konsollfeilmelding: «Mixed Content: The page at ‘https://…’ was loaded over HTTPS, but requested an insecure resource…»

Hva det betyr: Nettstedet lastes over HTTPS, men noen ressurser – bilder, skript, stilark, skrifttyper – lastes fremdeles over vanlig HTTP. Nettleseren blokkerer aktivt innhold (skript) automatisk og advarer om passivt innhold (bilder).

Slik fikser du det:

1. Åpne nettleserens utviklerverktøy (F12 → Console) og finn HTTP-lenkene som rapporteres.
2. Gå gjennom kildekoden og endre alle hardkodede http://-lenker til https:// – eller bruk protokollrelative lenker (//eksempel.no/bilde.jpg).
3. I WordPress: installer plugin som «Better Search Replace» og erstatt http://dittdomene.no med https://dittdomene.no i databasen.
4. Sjekk at tredjeparts ressurser (Google Fonts, CDN-er, innebygde kart) bruker HTTPS-versjoner.

Forebygging: Sett Content-Security-Policy: upgrade-insecure-requests i HTTP-headerne. Da tvinger nettleseren alle ressurser til HTTPS automatisk.

Feil 3: Domenenavnfeil / sertifikatet gjelder ikke dette domenet

Hva brukeren ser: «Sertifikatet gjelder ikke for dette nettstedet» / ERR_CERT_COMMON_NAME_INVALID

Hva det betyr: Sertifikatet er utstedt for et annet domene enn det brukeren besøker. Vanlige årsaker:

• Sertifikatet dekker bedrift.no men ikke www.bedrift.no (eller omvendt).
• Du har satt opp et nytt domene, men det gamle sertifikatet er fremdeles aktivt.
• Et jokertegn-sertifikat (*.bedrift.no) dekker ikke rotnivå-domenet (bedrift.no).

Slik fikser du det:

• Bestill et nytt sertifikat som eksplisitt inkluderer alle varianter du trenger, typisk både bedrift.no og www.bedrift.no som Subject Alternative Names (SAN).
• Let’s Encrypt støtter opptil 100 domener per sertifikat – legg til alle relevante varianter ved utstedelse.
• Sjekk at webserveren er konfigurert til å bruke riktig sertifikat for riktig virtuell host.

Feil 4: Selvsignert sertifikat

Hva brukeren ser: «Sertifikatet er ikke klarert» / «Your connection is not private» – gjerne med mulighet til å klikke seg videre med «Avansert».

Hva det betyr: Nettstedet bruker et sertifikat signert av serveren selv, ikke av en klarert sertifikatautoritet (CA). Det gir ingen reell sikkerhet for besøkende siden nettleseren ikke kan verifisere identiteten.

Slik fikser du det: Erstatt det selvsignerte sertifikatet med et gratis Let’s Encrypt-sertifikat eller et kommersielt sertifikat. For nettsteder hostet hos Vymo er dette inkludert. Se artikkelen om SSL-sertifikater for en komplett forklaring.

Feil 5: HSTS-problemer

Hva brukeren ser: Nettstedet er fullstendig utilgjengelig, og nettleseren viser en feil uten mulighet til å klikke seg videre.

Hva det betyr: Nettstedet har tidligere sendt en HSTS-header (HTTP Strict Transport Security), som instruerer nettleseren om å alltid bruke HTTPS. Dersom sertifikatet nå er ugyldig, blokkeres tilgang helt – dette er HSTS designet for å gjøre.

Slik fikser du det:

• Rett opp sertifikatproblemet (se feil 1–4 over). Det er eneste løsningen som hjelper brukerne.
• For lokalt testing: tøm HSTS-cachen i nettleseren (i Chrome: chrome://net-internals/#hsts).
• For produksjon: aldri deaktiver HSTS – det er en sikkerhetsmekanisme. Fiks sertifikatet i stedet.

Rask sjekkliste før lansering

Bruk følgende sjekk for ethvert nytt nettsted – eller som del av regelmessig vedlikehold:

• Sertifikatet er gyldig og utstedt for riktig domene
• Sertifikatet dekker både rotnivå og www-variant
• Automatisk fornyelse er aktivert
• Ingen HTTP-ressurser laster på HTTPS-sider (sjekk konsollet)
• HTTP-trafikk videresendes automatisk til HTTPS med 301-omdirigering
• HSTS-header er satt med passende max-age

Har du et .no-domene hos Vymo og trenger hjelp med SSL-oppsettet? Ta gjerne kontakt med oss – vi hjelper deg gjennom konfigurasjonen.