Felsökning av certifikatkedjor
Diagnostisera och åtgärda felmeddelandet "untrusted certificate" genom att verifiera och reparera din SSL-certifikatkedja.
Vad är en certifikatkedja?
En SSL-certifikatkedja (certificate chain) är den sökväg webbläsaren följer från ditt servercertifikat upp till en betrodd rot-CA:
- Servercertifikatet (din domän, t.ex. www.eksempel.dk)
- Intermediate-certifikat (utfärdade av rot-CA, utfärdar i sin tur ditt certifikat)
- Root CA-certifikat (förinstallerade i webbläsare och operativsystem)
Om ett mellanled saknas kan webbläsaren inte verifiera kedjan och visar då ett "untrusted certificate"-fel.
Vanliga symptom
- "Your connection is not private" / "NET::ERR_CERT_AUTHORITY_INVALID" (Chrome)
- "Warning: Potential Security Risk Ahead" (Firefox)
- Certifikatet fungerar i vissa webbläsare men inte i andra
- Mobila enheter visar fel medan desktop fungerar (desktop kan cacha intermediate-certifikat)
- SSL-scannern visar "Incomplete chain" eller "Missing intermediate"
Steg 1: Diagnostisera med onlineverktyg
Använd FairSSL:s SSL-scanner eller andra onlineverktyg för att verifiera kedjan:
- FairSSL SSL Scanner - visar hela certifikatkedjan och eventuella fel
openssl s_clientfrån kommandoraden (se nedan)
Steg 2: Verifiera med OpenSSL
openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dkLeta efter:
Verify return code: 0 (ok)= kedjan är komplettVerify return code: 21 (unable to verify the first certificate)= intermediate saknasdepth=0-raden visar ditt certifikat,depth=1visar intermediate
Visa endast certifikatkedjan:
openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dk -showcerts 2>/dev/null | openssl x509 -noout -subject -issuerSteg 3: Hitta det saknade intermediate-certifikatet
Intermediate-certifikat levereras normalt av din certifikatutfärdare tillsammans med servercertifikatet. Om du saknar det:
- Kontrollera e-postmeddelandet från utfärdaren efter en "CA Bundle" eller "Intermediate Certificate"-fil.
- Ladda ner från utfärdarens supportsida:
- GlobalSign: support.globalsign.com
- DigiCert: digicert.com/kb
- Sectigo: support.sectigo.com
- Använd
openssl x509 -in dit-certifikat.crt -noout -issuerför att se vem som utfärdat ditt certifikat, och hämta därefter rätt intermediate.
Steg 4: Installera intermediate-certifikatet
Apache / Nginx (Linux)
Slå ihop certifikaten i rätt ordning i en och samma fil:
cat dit-certifikat.crt intermediate.crt > fullchain.crtI Apache används SSLCertificateChainFile, eller inkludera hela kedjan i SSLCertificateFile. I Nginx används den sammanslagna filen som ssl_certificate.
IIS / Windows
- Öppna
certlm.msc(eller MMC med Certificates snap-in). - Navigera till Intermediate Certification Authorities → Certificates.
- Högerklicka → All Tasks → Import och välj intermediate-filen.
Steg 5: Verifiera åtgärden
openssl s_client -connect dit-domaene.dk:443 -servername dit-domaene.dk 2>/dev/null | grep "Verify return code"Du bör nu se Verify return code: 0 (ok). Testa även från en mobil enhet och i inkognitoläge för att undvika cachade certifikat.
Förebyggande åtgärder
- Installera alltid intermediate-certifikat direkt vid konfiguration av ett nytt certifikat.
- Testa med FairSSL:s SSL Scanner direkt efter installation.
- Automatisera med ACME-klienter (Certbot, acme.sh) som hanterar kedjan automatiskt.
- Använd
fullchain.pem(inte baracert.pem) när du konfigurerar webbservern.
Förbättra din TLS-säkerhet
Använd Mozilla SSL Configuration Generator för att generera en säker TLS-konfiguration med moderna cipher suites och protokollinställningar.
Mozilla SSL Configuration Generator guide