WatchDet værste ved et udløbet certifikat er ikke nedbruddet — det er den besked, dine kunder ser. I stedet for din forside får de en rød advarsel i fuld skærm, der siger “Din forbindelse er ikke privat” og “angribere forsøger måske at stjæle dine oplysninger.” For en ikke-teknisk besøgende læses det ikke som “en dato passerede”; det læses som “dette site er blevet hacket.” Det gode er, at løsningen som regel er hurtig — og når du først har gjort det, behøver det samme aldrig at fange dig igen.
Hvad fejlen faktisk betyder
Når du ser “NET::ERR_CERT_DATE_INVALID” eller “Din forbindelse er ikke privat”, er det værd at vide præcis, hvad browseren fortæller dig, for det lyder langt mere skræmmende, end det er. Certifikatet, der beviser dit sites identitet, har passeret sin udløbsdato, og browseren vil hellere blokere siden helt end risikere at forbinde til et site, hvis identitet den ikke længere kan indestå for.
Afgørende: intet er blevet hacket. Ingen angriber er involveret, ingen data er lækket. Certifikatet er simpelthen udløbet, ligesom et pas, og skal fornyes. At forstå det lader dig springe panikken over og gå direkte til løsningen — men det er også en påmindelse om, hvorfor du vil forny, før dine besøgende overhovedet ser den skærm.
Sådan fornyer du det hurtigt
De præcise trin afhænger af, hvor dit certifikat lever, men formen er altid den samme: udsted et friskt certifikat, og få så serveren til rent faktisk at bruge det. Bruger du Let's Encrypt, så kør din ACME-klient — certbot renew — og genindlæs webserveren. På en managed host eller load balancer genudsteder eller genuploader du certifikatet via kontrolpanelet. På et CDN som Cloudflare bekræfter du, at edge-certifikatet er aktivt, og at origin-certifikatet bagved stadig er gyldigt.
Uanset vejen: glem ikke anden halvdel — genindlæs serveren efter fornyelse. Et skinnende nyt certifikat, der ligger på disken, gør absolut intet, før den kørende server henter det, og “jeg fornyede det, men sitet er stadig i stykker” er næsten altid en server, der ikke er blevet genindlæst.
Hvorfor det udløb i første omgang
Når branden er slukket, er det værd at spørge, hvordan den startede — for svaret fortæller dig, hvordan du forhindrer den næste. Certifikater er kortlivede af design, ofte 90 dage, og fornyelse skal være automatisk. Netop den automatisering er det, der får teams til at glemme, at certifikatet overhovedet findes.
Og automatisering fejler i stilhed. Et fornyelses-cron-job stoppede efter en servermigrering. En ACME-challenge gik i stykker, fordi en firewall-regel eller DNS-post ændrede sig. Eller — det allermest almindelige — certifikatet lå et sted, automatiseringen aldrig dækkede i første omgang: en mailserver, en load balancer, et internt admin-værktøj, som nogen satte op i hånden og aldrig koblede til fornyelsesprocessen.
Sådan undgår du det fremover med WatchControl
Den reelle løsning er ikke denne fornyelse; det er at sikre, at du aldrig opdager det næste udløb fra en kundes skærmbillede. Stol ikke på, at nogen husker en dato — certifikater overlever både hukommelser og de folk, der satte dem op. Overvåg i stedet hvert TLS-endpoint for både dage-til-udløb og aktuel gyldighed, og sæt et advarselsvindue på omkring 14 dage, så du får besked, mens der stadig er rolig tid til at handle.
Det er præcis, hvad WatchControl gør. Den tjekker dine certifikater og advarer dig dage før udløb på e-mail, SMS eller webhook, gerne i trin — 30, 14 og 7 dage — så en overset fornyelse eskalerer i stedet for at smutte igennem. Peg den også mod dine mail- og interne tjenester, ikke kun dit hovedwebsite, for det er dem, der fælder folk. Den kører fra EU på en gratis plan og gør det mest undgåelige nedbrud, der findes, til en ikke-begivenhed.