Dit SSL-certifikat er ugyldigt – hvad nu?

Fejlkoden 526-invalid-ssl-certificate dukker op når noget er galt med en hjemmesides sikkerhedscertifikat. Her er alt du skal vide.

Du skriver en adresse i browseren. I stedet for hjemmesiden møder du en fejlside med noget i stil med “526 Invalid SSL Certificate” — og ingen forklaring på, hvad det egentlig betyder, eller hvad du skal stille op med det.

Fejlen ser teknisk ud, men konceptet bag er faktisk til at forstå. Og afhængigt af om du er besøgende eller ejeren af siden, er der meget forskelligt du kan gøre ved det.

SSL-certifikater i kort form

Alle hjemmesider der bruger HTTPS — det vil sige næsten alle sider i dag — har et SSL-certifikat. Det er en slags digital legitimation, der bekræfter at siden er, hvad den udgiver sig for at være, og at forbindelsen mellem dig og siden er krypteret.

Certifikatet udstedes af en tredjepart, har en udløbsdato og skal løbende fornyes. Når noget er galt med det certifikat — enten fordi det er udløbet, selvunderskrevet, forkert konfigureret eller ikke matcher domænet — opstår der et problem i forbindelsen. Hos Cloudflare, som mange hjemmesider bruger til at håndtere trafik, resulterer det i fejlkode 526.

Hvad udløser fejlen

Certifikatet er udløbet. SSL-certifikater skal fornyes med jævne mellemrum, typisk hvert år. Glemmer ejeren af siden at forny det, vil Cloudflare afvise certifikatet og vise 526-fejlen til alle besøgende.

Certifikatet er selvunderskrevet. Hjemmesider kan teknisk set udstede deres egne certifikater, men de anerkendes ikke af browsere og tjenester som Cloudflare som gyldige. Et selvunderskrevet certifikat vil udløse 526.

Certifikatet matcher ikke domænet. Hvis certifikatet er udstedt til et andet domæne end det, der tilgås, opstår der et mismatch. Det sker blandt andet når en side flyttes til et nyt domæne, men certifikatet ikke opdateres tilsvarende.

Cloudflare kan ikke verificere certifikatet. Cloudflare tjekker certifikatet på den bagvedliggende server. Kan det ikke valideres — uanset årsag — returnerer den 526 frem for at sende brugerne videre til en potentielt usikker forbindelse.

Hvad du kan gøre som besøgende

Som besøgende er der desværre meget lidt du selv kan gøre. Fejlen sidder hos hjemmesiden, ikke hos dig. Det nytter ikke at rydde cache eller skifte browser — problemet vil blive ved med at være der, til ejeren af siden får rettet det.

Det du kan gøre er at tjekke om siden er nede for alle eller kun dig. Prøv at søge på siden her på erdennede.dk, eller kom tilbage senere og se om problemet er løst. I mange tilfælde er ejeren allerede klar over det og arbejder på en løsning.

Undgå under alle omstændigheder at klikke dig forbi advarsler om ugyldige certifikater for at tilgå siden alligevel. Din browser og Cloudflare advarer dig med god grund — en side med et ugyldigt certifikat giver ingen garanti for, at din forbindelse er sikker.

Hvad du kan gøre som hjemmesideejer

Forny certifikatet. Er certifikatet udløbet, er løsningen ligetil: forny det hos den udbyder du bruger. Mange udbydere sender påmindelser inden udløb, men det sker alligevel at det bliver glemt. Tjenester som Let’s Encrypt kan automatisere fornyelsen, så det aldrig sker igen.

Tjek at certifikatet dækker det rigtige domæne. Særligt ved flytning af hjemmesider eller tilføjelse af subdomæner kan der opstå mismatch. Sørg for at certifikatet matcher præcis det domæne, Cloudflare sender trafik til.

Udskift selvunderskrevne certifikater. Bruger din server et selvunderskrevet certifikat, skal det erstattes med et fra en anerkendt certifikatudsteder. Let’s Encrypt er gratis og bredt understøttet.

Justér Cloudflares SSL-indstilling. I Cloudflares dashboard kan du som en midlertidig løsning skifte SSL-tilstanden fra “Full (strict)” til “Full”. Det reducerer valideringskravene og kan få siden op igen, mens du arbejder på en permanent løsning. Det anbefales dog ikke som permanent konfiguration.

526 er ikke det samme som 525

De to fejlkoder forveksles tit. Fejl 525 betyder at SSL-handshake-processen fejlede — altså at Cloudflare og serveren ikke kunne etablere en sikker forbindelse overhovedet. Fejl 526 er mere specifik: forbindelsen kan godt etableres, men certifikatet består ikke Cloudflares validering. Løsningerne ligner hinanden, men det er ikke det samme problem.

Kort sagt

526 Invalid SSL Certificate opstår når Cloudflare ikke kan godkende SSL-certifikatet på den server, hjemmesiden kører på. Som besøgende kan du ikke løse det selv — men du kan tjekke om siden er nede for alle, og du bør aldrig klikke dig forbi sikkerhedsadvarsler. Er du ejeren af siden, handler løsningen om at forny, udskifte eller rekonfigurere certifikatet, så Cloudflare igen kan validere det.