Hvordan ser jeg, om en webshop har et gyldigt SSL/TLS-certifikat?

SSL (Secure Sockets Layer) og dets afløser TLS (Transport Layer Security) sørger for tre ting, hver gang du besøger en webshop over https://: kryptering af trafikken, så ingen kan læse dine kortdata eller adgangskoder; autenticitet, så du kan være sikker på, at du taler med den rigtige butik og ikke en falsk kopi; samt dataintegritet, der forhindrer uautoriseret ændring af de data, der sendes frem og tilbage. Et gyldigt certifikat betyder derfor, at det 1) er udstedt af en betroet certifikatudsteder (CA), 2) gælder for det korrekte domænenavn via Common Name/SAN-felter, 3) er inden for sin gyldighedsperiode, og 4) ikke er tilbagekaldt. Opfylder et certifikat ikke bare ét af disse krav, vil moderne browsere vise advarsler og i stigende grad helt blokere forbindelsen.

CA’er kan udstede tre hovedtyper certifikater: DV (Domain Validation), som kun bekræfter domænet og er mest udbredt; OV (Organisation Validation), som også kontrollerer virksomhedens juridiske eksistens; og EV (Extended Validation), hvor virksomheden gennemgår den mest omfattende baggrundskontrol. Sikkerheden på linjen (krypteringen) er den samme for alle tre niveauer, men OV/EV giver ekstra tillidssignaler-f.eks. at firmanavnet vises direkte i certifikatdetaljerne-hvilket især kan være relevant, hvis du ikke kender webshoppen i forvejen. Husk, at hele webshoppen bør køre HTTPS, ikke kun checkout-siderne: kunder klikker rundt, lægger varer i kurven og logger ind undervejs, og hvis disse trin sker over ukrypteret HTTP, kan angribere opsnappe cookies, kapre sessioner eller injicere ondsindet indhold. Manglende fulddækkende HTTPS kan derfor føre til datalæk, tab af kundetillid, SEO-nedgradering fra Google og i værste fald bødesager under GDPR, hvis personoplysninger kompromitteres.

1) Kig først på adresselinjen:
- Begynder URL’en med https:// og vises der en hængelås? Det indikerer, at der i det mindste er et certifikat på plads.
- Advarsler (gul trekant, rød hængelås eller ”Ikke sikker”-tekst) betyder, at noget er galt - klik aldrig videre til betaling, før problemet er løst.
- Tjek stavningen af domænet: falske shops misbruger ofte små tastefejl (amaz0n.dk) eller såkaldt punycode (xn--pple-43d.com) til at ligne kendte navne.
- Skriv selv ”http://” foran adressen i et nyt faneblad; en seriøs webshop viderestiller straks til den krypterede udgave. Sker der ingen eller en langsom omdirigering, er det et advarselstegn.

2) Klik på hængelåsen for detaljer:
- Vælg ”Certifikat” (Chrome/Edge) eller ”Flere oplysninger” (Firefox/Safari).
- Domænenavn: F feltet ”Udstedt til” skal Common Name (CN) eller en af Subject Alternative Names (SAN) matche præcis den adresse, du ser i browseren.
- Udsteder (CA): Skal være en anerkendt aktør som DigiCert, Sectigo, Let’s Encrypt osv. Ser du ”Self-Signed” eller et ukendt navn, så forlad siden.
- Gyldighedsperiode: Datoerne ”Gyldigt fra/til” må ikke være overskredet - selv et par timer ude af tid forårsager fejl.
- Klik videre til ”Kæde” eller ”Path” og bekræft, at alle mellem- og rodcertifikater er ”Trusted”. Brud i kæden kan give usikre forbindelser eller tvungne fald-back til ældre protokoller.
- Holder websitet fast i kun HTTPS? Åbn F12-konsollen og se efter advarsler om ”mixed content”; billeder, scripts eller tracking via HTTP kan neutralisere krypteringen.

3) Gå hele betalingsforløbet igennem:
- Læg en vare i kurven og følg checkout-processen trin for trin; hængelåsen må aldrig forsvinde undervejs.
- Kommer du til en ekstern betalingsside (f.eks. Nets, PayPal eller Stripe-popup), gælder samme regler: https, korrekt domæne, gyldig CA og ingen advarsler.
- Skifter butikken pludselig tilbage til http eller åbner et usikret iFrame-vindue, så stop - indtast ingen kortoplysninger.
- Er noget uklart, kontakt kundeservice og spørg til deres TLS-opsætning. En professionel webshop svarer gerne og hurtigt; gør de ikke det, er det en god idé at finde en anden forhandler.

Hvis du vil grave et spadestik dybere end browserens hængelås, findes der en stribe gratis onlinetjenester, som på få sekunder tester både TLS-konfiguration, certifikatkæde og tilbagekaldelsesstatus for en given webshop. SSL Labs’ Server Test giver en letter-grade (A-F) og viser, om webserveren stadig accepterer forældede protokoller som TLS 1.0/1.1, om OCSP stapling, HSTS og HTTP/2 er aktiveret, samt om kæden er korrekt bygget. Hardenize går et skridt videre og vurderer samtidig DNS-posten CAA (hvem der må udstede certifikater for domænet), mens crt.sh giver et komplet historisk overblik over alle certifikater, der nogensinde er logget i Certificate Transparency (CT) for domænet - nyttigt, hvis du vil spotte mistænkelige eller uautoriserede udstedelser. Kombinér eventuelt med et curl -I https://butik.dk for at se, om sikre cookies (Secure & HttpOnly) og stramme security-headers som Content-Security-Policy er sat. Jo flere af disse signaler der er på plads, desto større sandsynlighed for, at webshoppen tager sikkerhed alvorligt.

Til gengæld bør advarselslamperne blinke, hvis testen viser udløbet eller selvsigneret certifikat, domænemismatch, svage ciphers, manglende https-redirect eller mixed content (usikre billeder/scripts på en ellers krypteret side). Ser du røde flag, så indtast ikke kort- eller loginoplysninger: tag i stedet kontakt til webshoppen og gør dem opmærksom på problemet, vælg en alternativ betalingsmetode (fx MobilePay Online, PayPal eller kreditkort med chargeback-beskyttelse) - eller find en anden forhandler. Oplever du alvorlige brud på god IT-skik, kan du rapportere det til hostingudbyderen, den udstedende CA eller myndigheder som CFCS og FO. Kort sagt: brug værktøjerne proaktivt, lær at spotte faresignalerne, og lad din digitale pengepung blive hjemme, hvis sikkerheden halter.