En certifikatmyndighed (Certificate Authority, CA) udsteder de digitale certifikater, der giver din browser den grønne lås og sikrer, at data krypteres på vejen fra server til bruger. Men ikke alle certifikatmyndigheder er ens. Let’s Encrypt giver certifikater gratis og automatiseret. DigiCert kræver op til 1.000 dollar om året for et enkelt certifikat. Sectigo placerer sig midt imellem. Hvilken CA du vælger, afgøres af din infrastruktur, dit budget og dit risikoniveau.

Ifølge W3Techs (marts 2026) kontrollerer Let’s Encrypt 64,0 procent af alle websites globalt. DigiCert sidder på 1,9 procent, Sectigo på 5,7 procent. Tallene afslører et marked i kraftig forandring, drevet af gratis automatisering og CAB Forums nye regler om kortere certifikatgyldighed. Denne sammenligning gennemgår priser, funktioner, sikkerhedshændelser, support og reelle use cases, så du kan vælge den rigtige CA til din situation.

De tre største certifikatmyndigheder i 2026

Markedet for SSL/TLS-certifikater domineres i dag af ganske få aktører. Let’s Encrypt er en non-profit CA drevet af Internet Security Research Group (ISRG) og finansieret af store tech-virksomheder som Mozilla, Google, Cisco og Meta. Den blev lanceret i 2015 med ét mål: at gøre HTTPS universelt ved at eliminere omkostninger og manuel administration.

DigiCert er en kommerciel CA med base i Lehi, Utah. Virksomheden er primært rettet mod enterprise-markedet og er kendt for høj-assurance-certifikater, avanceret certifikatstyring via platformen CertCentral og 24/7 support. DigiCert erhvervede i 2017 Symantecs CA-forretning og er dermed et af de ældste og mest betroede navne i branchen.

Sectigo (tidligere Comodo CA) er verdens næststørste kommercielle CA målt på antal udstedte certifikater. Virksomheden henvender sig til et bredt segment fra små webshops til store virksomheder og tilbyder konkurrencedygtige priser på DV-, OV- og EV-certifikater. Sectigo har ACME-understøttelse og integrerer med mange hostingplatforme og certifikatstyringssystemer.

Ud over disse tre er GlobalSign et centralt navn med 24,2 procents markedsandel, men det er primært relevant for enterprise og IoT-sektoren. GoDaddy Group sidder på 3,8 procent og er populær for enkle webprojekter. Google Trust Services (GTS) udsteder udelukkende DV-certifikater til Googles eget økosystem og er ikke en offentlig CA.

Markedsandele 2026: Let’s Encrypt dominerer med 64 procent

Ifølge W3Techs-data fra marts 2026 er fordelingen af certifikatmyndigheder på det åbne web som følger:

CertifikatmyndighedAndel af websitesUsage sharePrimært segment
Let’s Encrypt64,0%68,3%DV, automatisering
GlobalSign24,2%~24,7%Enterprise, IoT
Sectigo5,7%~5,9%SMB, OV/EV
GoDaddy Group3,8%~3,9%Small business
DigiCert Group1,9%~2,0%Enterprise, EV
Google Trust Services<1%<1%Google-intern

Let’s Encrypts dominans er ikke overraskende. Gratis certifikater, ACME-automatisering og standardintegrationer i nginx, Apache og næsten alle hostingkontrolpaneler har gjort CA’en til standardvalget for alt fra personlige blogs til store medieplatforme. Den 68,3 procents usage share afspejler, at Let’s Encrypt ikke kun bruges af mange sites, men også af sites med høj trafikvolumen.

DigiCerts lave markedsandel på 1,9 procent er misvisende, hvis man betragter den som et tegn på svaghed. DigiCert er overrepræsenteret i segmenter, der kræver EV-certifikater: banker, forsikringsselskaber, offentlige portaler og store e-handelsplatforme. Her er prisen underordnet i forhold til tillid, support og SLA. Sectigo befinder sig i midterfeltet og vinder på pris, hvor DigiCert er for dyrt, og Let’s Encrypt er for begrænset.

Komplet prissammenligning: Gratis vs 1.000 dollar

Prisforskelene mellem de tre CA’er er betragtelige. Let’s Encrypt er altid gratis. DigiCert er i en klasse for sig hvad angår pris. Sectigo ligger konsistent under DigiCert på alle certifikattyper.

CertifikattypeLet’s EncryptSectigoDigiCert
DV (enkeltdomæne)Gratis$8-50/år$200-400/år
DV (wildcard)Gratis$80-200/år$500-800/år
OV (enkeltdomæne)Ikke tilgængelig$60-150/år$300-600/år
OV (wildcard)Ikke tilgængelig$150-400/år$700-1.200/år
EV (enkeltdomæne)Ikke tilgængelig$100-250/år$500-1.000/år
Multi-domæne (SAN)Gratis (op til 100 navne)Fra $150/årFra $500/år
Code signingIkke tilgængeligFra $170/årFra $400/år

Tallene er vejledende priser fra producenter og forhandlere i 2025-2026. Mange hostingudbydere inkluderer Let’s Encrypt-certifikater gratis i alle abonnementer. For Sectigo og DigiCert vil der typisk være rabat ved flerårige aftaler og volumenlicenser.

Det er vigtigt at forstå, at Let’s Encrypts gratis certifikater er fuldt gyldige og betroede af alle moderne browsere og operativsystemer. Prisen afspejler ikke certifikatets kryptografiske styrke, men derimod de ekstra ydelser: manuel verifikation, telefonisk support, forsikringsgarantier og dedikeret kundehåndtering.

Certifikattyper: DV, OV og EV forklaret

SSL/TLS-certifikater inddeles i tre valideringsniveauer, som bestemmer, hvad certifikatmyndigheden verificerer, inden certifikatet udstedes. Valideringsniveauet påvirker tillid, udstedelsestid og pris, men ikke den underliggende krypteringsstyrke.

Domain Validation (DV): 94,4 procent af alle certifikater

DV-certifikater verificerer udelukkende, at ansøgeren kontrollerer det pågældende domæne. Verifikationen sker typisk via en DNS-post, en HTTP-fil eller en e-mail til domænets registrerede kontaktadresse. Processen er fuldt automatiseret og tager sekunder til minutter. DV udgør 94,4 procent af alle SSL-certifikater globalt i 2026, ifølge brancheanalyser.

DV er tilstrækkelig for langt de fleste use cases: personlige hjemmesider, blogs, udviklermiljøer, interne API’er, SaaS-platforme og endda mange e-handelswebsites. Let’s Encrypt udsteder udelukkende DV-certifikater. For DK-baserede virksomheder, der ikke opererer i regulerede sektorer, er DV oftest det rigtige valg.

Organization Validation (OV) og Extended Validation (EV)

OV-certifikater verificerer ud over domæneejerskab også virksomhedens juridiske identitet og registrering. CA’en tjekker firmaregistret, kontaktoplysninger og bekræfter virksomhedens fysiske adresse. Processen tager typisk 1-3 dage og kræver dokumentation. OV er relevant for virksomheder, der ønsker certifikatets Subject-felt udfyldt med organisationsnavn, og for scenarier, hvor tekniske brugere og sikkerhedsauditorer inspicerer certifikatdetaljer.

EV-certifikater er det strengeste valideringsniveau. CA’en gennemfører en grundig juridisk og operationel verifikation, der kan tage 1-5 dage. Historisk set viste EV-certifikater et grønt firmanavn i browserens adresselinje, men de store browsers fjernede denne visuelle indikator i 2019. EV er i dag primært relevant for banker, finansielle institutioner og offentlige myndigheder, der har regulatoriske krav om dokumenteret identitetsvalidering.

Let’s Encrypt: Gratis, automatiseret, 90-dages gyldighed

Let’s Encrypt har siden 2015 udstedt mere end 100 millioner certifikater og drives i dag som en kritisk internetinfrastruktur. Organisationens mission er klar: gøre det teknisk og finansielt muligt for alle at aktivere HTTPS på deres website.

Styrker ved Let’s Encrypt

Prisen er nul. Ingen abonnement, ingen forhandling, ingen faktura. For startups, non-profits, enkeltmandsvirksomheder og udviklere er dette afgørende.

ACME-protokollen er standarden. Let’s Encrypt udviklede ACME (Automated Certificate Management Environment), som nu er en RFC-standard (RFC 8555). Det betyder, at Certbot, Caddy, nginx-certbot og hundredvis af andre værktøjer kan automatisere fornyelse fuldstændig uden menneskelig indgriben. Kom i gang med Let’s Encrypt er dokumenteret ned til mindste detalje.

90-dages gyldighed er en sikkerhedsfordel. Kortere certifikatgyldighed reducerer eksponeringen, hvis en privat nøgle kompromitteres. I 2020 opdagede Let’s Encrypt en fejl i CAA-tjekket, som berørte ca. 3 millioner certifikater. Fordi certifikaterne udløber naturligt inden for 90 dage, eliminerede man risikoen uden at gennemtvinge en massegenkaldelse.

Wildcard-certifikater er gratis. Via DNS-01 ACME-validering understøtter Let’s Encrypt wildcard-certifikater (*.eksempel.dk), som hos kommercielle CA’er koster hundredvis af dollar om året.

Multi-domæne op til 100 navne. Et enkelt SAN-certifikat kan dække op til 100 domænenavne. For virksomheder med mange subdomæner er dette en kraftig besparelse.

Svagheder ved Let’s Encrypt

Udelukkende DV-certifikater. Let’s Encrypt udsteder ikke OV eller EV. Virksomheder, der har brug for organisationsvalidering i certifikatet, eller som er underlagt krav om EV, kan ikke bruge Let’s Encrypt.

Ingen kommerciel support. Supporten er community-baseret via forums. Der er ingen SLA, ingen telefonlinje og ingen garanteret responstid. For produktionskritiske systemer kan dette være et problem.

Ingen garanti. Let’s Encrypt tilbyder ingen forsikringsgaranti. Hos DigiCert og Sectigo indgår garantier på op til 2 millioner dollar.

Ratebegrænsning. Let’s Encrypt begrænser til 50 certifikater per domæne per uge. For store udbydere med tusindvis af kunddomæner kræver dette nøje planlægning.

Ingen code signing eller S/MIME. Let’s Encrypt understøtter ikke codesigneringscertifikater til software eller S/MIME til e-mailkryptering.

DigiCert: Premium-CA for enterprise og høj-assurance

DigiCert er markedets foretrukne valg, når pris er underordnet, og tillid, support og compliance er afgørende. DigiCerts blog og ressourcer afspejler en virksomhed, der konstant investerer i certifikatstyring og PKI-infrastruktur.

Styrker ved DigiCert

Stærkeste support i branchen. DigiCert tilbyder 24/7 live support med dedikerede kontoadministratorer for enterprise-kunder. Responstider er kontraktmæssigt garanteret via SLA.

CertCentral-platformen. DigiCerts certifikatstyringssystem CertCentral giver centralvisering af alle certifikater, automatiske fornyelsesadvarsler, ACME-integration og API-adgang. For store organisationer med hundredvis af certifikater er dette en betydelig administrativ lettelse.

Garanti op til 2 millioner dollar. DigiCerts certifikater er bakket op af en forsikringsgaranti på op til 2 millioner dollar per certifikat. I praksis udbetales denne garanti sjældent, men den udgør en kontrakt om DigiCerts ansvar for korrekt validering.

Fuld compliance-portefølje. DigiCert er WebTrust-auditeret og lever op til kravene fra ETSI, FIPS og adskillige branchespecifikke regulativer. For virksomheder i den finansielle sektor, sundhedssektoren og den offentlige sektor er dette afgørende.

Hurtigste EV-udstedelse. DigiCert fremhæves konsistent som den hurtigste CA til EV-verifikation, typisk inden for 1-2 dage mod 3-5 dage hos konkurrenterne.

Svagheder ved DigiCert

Prisen er markedets højeste. Et enkelt DV-certifikat koster 200-400 dollar om året. Et EV-certifikat kan koste op til 1.000 dollar. For SMB’er er dette uforholdsmæssigt dyrt sammenlignet med alternativer, der tilbyder samme kryptografiske beskyttelse til en brøkdel af prisen.

Kompleks onboarding. CertCentral er kraftfuld, men har en stejl indlæringskurve for mindre teams. Opsætning af ACME og API-integration kræver teknisk kompetence.

Lille markedsandel afspejler smalt segment. DigiCerts 1,9 procents markedsandel betyder, at community-ressourcer er mere begrænsede end Let’s Encrypts. Fejlfinding på specifikke konfigurationer kan kræve direkte kontakt til DigiCerts support.

Sectigo: Mellemmarked med konkurrencedygtig pris og bred portefølje

Sectigo er den kommercielle CA, der oftest anbefales, når Let’s Encrypt er utilstrækkelig, og DigiCert er for dyrt. Med en bred portefølje af certifikattyper og konkurrencedygtige priser på OV og EV er Sectigo en naturlig position for mellemstore virksomheder.

Styrker ved Sectigo

Komplet certifikatportefølje. Sectigo tilbyder DV, OV, EV, wildcard, multi-domæne, code signing og S/MIME-certifikater. Alt kan administreres fra én platform.

Konkurrencedygtige OV/EV-priser. OV-certifikater fra Sectigo koster 60-150 dollar om året mod 300-600 dollar hos DigiCert. EV koster 100-250 dollar mod DigiCerts 500-1.000 dollar. For virksomheder, der har brug for OV eller EV, er besparelsen markant.

ACME-understøttelse og API. Sectigo understøtter ACME-protokollen og tilbyder API-adgang til certifikatstyring. Dette muliggør automatisering på niveau med Let’s Encrypt for OV og EV.

Garanti op til 1,75 millioner dollar. Sectigos EV-certifikater er bakket op af en garanti på op til 1,75 millioner dollar, kun marginalt under DigiCerts 2 millioner dollar.

E-mail og telefonsupport. Sectigo tilbyder live support via e-mail og telefon, om end ikke på samme niveau som DigiCerts 24/7 dedikerede support.

Svagheder ved Sectigo

Brandens historik som Comodo CA. Sectigo hed tidligere Comodo CA og skiftede navn i 2019. Comodo var i 2011 involveret i en sikkerhedshændelse, hvor en hacker opnåede adgang til at udstede falske certifikater for domæner som Google.com og Mozilla.com. Sectigo har siden grundigt renoveret sin sikkerhedsinfrastruktur, men brandet bærer stadig historikken.

Support er ikke 24/7. Sectigos support er ikke tilgængelig alle timer i modsætning til DigiCerts. For produktionskritiske systemer med global brugermasse kan dette udgøre en risiko.

DV-priser er irrelevante mod Let’s Encrypt. For rene DV-use cases er Sectigos DV-certifikater til 8-50 dollar om året svære at forsvare over for Let’s Encrypts gratis tilbud med samme kryptografiske niveau.

ACME-protokollen og automatisering: Nøglen til moderne certifikatstyring

ACME-protokollen (RFC 8555) er det tekniske fundament bag moderne, automatiseret certifikathåndtering. Protokollen eliminerer manuel certifikatfornyelse ved at lade en klient (f.eks. Certbot, acme.sh eller Caddy) kommunikere direkte med CA’ens API og bevise domæneejerskab automatisk.

For systemadministratorer og DevOps-ingeniører er ACME-understøttelse kritisk. Et certifikat, der forfalder i produktion, kan udløse browserfejl for alle brugere og i alvorlige tilfælde sende transaktioner til usikre forbindelser. Manuelle fornyelsesprocesser er fejlbehæftede og dyre i menneskelige timer.

FunktionLet’s EncryptSectigoDigiCert
ACME-understøttelseJa (native, RFC 8555)JaJa (via CertCentral)
Gyldighed90 dageOp til 200 dage (fra marts 2026)Op til 200 dage (fra marts 2026)
Automatisk fornyelseJa (fuld)Ja (med ACME)Ja (med CertCentral API)
Certbot/acme.sh-supportJaJa (via ACME)Ja (via ACME)
DNS-01 valideringJaJaJa
HTTP-01 valideringJaJaJa
Ratelimit50 cert/domæne/ugeIngen (betalt)Ingen (betalt)

Et praktisk eksempel: Med Certbot på en Ubuntu-server med nginx kræver opsætning af automatisk fornyelse af et Let’s Encrypt-certifikat følgende:

# Installer Certbot
sudo apt install certbot python3-certbot-nginx

# Udsted certifikat og konfigurer nginx automatisk
sudo certbot --nginx -d eksempel.dk -d www.eksempel.dk

# Test fornyelse uden at faktisk forny:
sudo certbot renew --dry-run

Processen tager under 5 minutter og kræver derefter ingen menneskelig opmærksomhed. Se vores tutorial om gratis SSL/TLS-certifikat med Certbot for en komplet trin-for-trin guide.

CAB Forum 2026: Kortere gyldighed for alle certifikater

CA/Browser Forum (CAB Forum) er industriorganisationen, der sætter standarderne for SSL/TLS-certifikater. Forumet har i 2025-2026 vedtaget en gradvis reduktion af maksimal certifikatgyldighed, som vil ændre certifikatstyring for alle organisationer.

Fra 15. marts 2026 udsteder Sectigo nye certifikater med en maksimal gyldighed på 200 dage, ned fra den tidligere grænse på 398 dage (ca. 13 måneder). DigiCert følger samme retning. Let’s Encrypt har altid opereret med 90-dages certifikater og er dermed allerede fremtidssikret mod disse ændringer.

Konsekvenserne for virksomheder med manuelle fornyelsesprocesser er betydelige. Et certifikat, der tidligere kunne fornyes én gang om året, skal nu fornyes op til dobbelt så ofte. For IT-afdelinger uden automatisering betyder dette en direkte fordobling af arbejdsbyrden.

Baggrunden for reduktionen er sikkerhed: kortere gyldighed begrænser eksponeringen ved kompromitterede nøgler. En angriber, der stjæler en privat nøgle til et certifikat med 90 dages resterende gyldighed, har langt kortere tid til at misbruge den end ved et certifikat med 12 måneder tilbage.

Brancheobservatører forventer, at CAB Forum vil fortsætte med at reducere maksimal gyldighed i de kommende år, muligvis ned til 90 dage for alle certifikattyper. Let’s Encrypts model er i den forstand ikke blot en nutidens løsning, men den retning, hele markedet bevæger sig imod.

Sikkerhedshændelser og troværdighed: Hvem kan stoles på?

En certifikatmyndigheds historik for sikkerhedshændelser er afgørende for dens troværdighed. Browsers opretholder rodlister over betroede CA’er, og en CA, der mister browsers tillid, er reelt ude af drift.

Let’s Encrypt har siden 2015 ikke haft kompromittering af CA-infrastrukturen. I 2020 opdagede de en fejl i CAA-tjekket (Certificate Authority Authorization), der berørte ca. 3 millioner certifikater. Fejlen blev opdaget internt, offentliggjort transparent og håndteret via naturlig udløb. Let’s Encrypts transparente kommunikation og hurtige respons blev rost af sikkerhedsmiljøet.

DigiCert har ikke rapporteret større sikkerhedshændelser i 2024-2025. DigiCert er en af de CA’er, der hyppigst bruges til kritisk infrastruktur, og virksomheden har et stærkt ry for compliance og auditdisciplin. Det er dog værd at bemærke, at DigiCerts EV-udstedelsesinfrastruktur i 2026 har været et mål for sofistikerede angrebsforsøg, som beskrevet i vores analyse af DigiCert og Zhong Stealer-angrebet.

Sectigo/Comodo CA havde i 2011 en alvorlig hændelse, da en hacker udnyttede en kompromitteret registrator og fik udstedt falske certifikater for domæner som google.com, login.yahoo.com og addons.mozilla.org. Hændelsen bidrog til udviklingen af Certificate Transparency (CT) logs, som i dag er obligatoriske for alle betroede CA’er. Sectigo har gennemgået en fuld sikkerhedsrevision siden da og er underlagt de samme CT-krav som alle andre CA’er.

Certificate Transparency har fundamentalt ændret sikkerhedsdynamikken i CA-markedet. Alle certifikater skal i dag logges til offentlige CT-logs inden de aktiveres, og enhver kan overvåge, om der udstedes uautoriserede certifikater for et domæne ved hjælp af tjenester som crt.sh. Dette gør det langt vanskeligere for en kompromitteret CA at udstede falske certifikater ubemærket.

Komplet specifikationssammenligning: 14 parametre

Nedenstående tabel sammenligner de tre CA’ers nøgleparametre direkte:

ParameterLet’s EncryptSectigoDigiCert
Pris (DV)Gratis$8-50/år$200-400/år
CertifikattyperDV kunDV, OV, EVDV, OV, EV
WildcardJa (gratis, DNS-01)Ja (betalt)Ja (betalt)
Multi-domæne (SAN)Op til 100 navneJa (betalt)Ja (betalt)
Code signingNejJa (fra $170/år)Ja (fra $400/år)
S/MIME e-mailNejJaJa
Gyldighed90 dageOp til 200 dageOp til 200 dage
Udstedelsestid (DV)SekunderMinutterMinutter
Udstedelsestid (EV)Ikke tilgængelig1-3 dage1-2 dage
ACME-understøttelseJa (native)JaJa (CertCentral)
SupportCommunity onlyE-mail og telefon24/7 premium
SLAIngenJaJa
GarantiIngenOp til $1,75MOp til $2M
Markedsandel (2026)64,0%5,7%1,9%

5 konkrete use cases med klare anbefalinger

Valget af CA afhænger fundamentalt af din specifikke situation. Her er fem realistiske scenarier med klare anbefalinger.

Use case 1: Startup eller SaaS-platform

Scenarie: En dansk SaaS-startup med 50 medarbejdere kører 12 subdomæner på AWS og har brug for HTTPS på alle services. Budgettet er stramt, og teamet har DevOps-kompetencer.

Anbefaling: Let’s Encrypt via Certbot eller AWS Certificate Manager. Der er nul grund til at betale for DV-certifikater i dette scenarie. Med Certbot på EC2-instanser eller AWS ACM’s integrerede Let’s Encrypt-integration automatiseres certifikatstyring fuldstændig. Besparelsen er 3.000-5.000 dollar om året ved 12 certifikater.

Use case 2: Dansk e-handelsvirksomhed med betalingsflow

Scenarie: En mellemstor dansk webshop med 500.000 månedlige besøgende og Nets/Stripe-integration ønsker at dokumentere organisationsidentitet over for kunder og banker.

Anbefaling: Sectigo OV eller EV. Let’s Encrypt er utilstrækkelig, da webshoppens juridiske team og bankforbindelser ønsker dokumenteret OV/EV-validering. Sectigos OV til 60-150 dollar om året er langt mere fornuftigt end DigiCerts 300-600 dollar for det samme certifikat. Sectigos garanti på 1,75 millioner dollar er tilstrækkelig for de fleste e-handelsscenarier.

Use case 3: Dansk finansiel institution

Scenarie: En dansk bank eller realkreditinstitut med krav om Finanstilsynets compliance, 24/7 driftssikkerhed og EV-certifikater til netbankportalen.

Anbefaling: DigiCert EV. I dette scenarie er prisen sekundær i forhold til SLA, 24/7 support, compliance-dokumentation og garantiens størrelse. DigiCerts EV-certifikat til 500-1.000 dollar om året er en marginal udgift sammenlignet med de regulatoriske og omdømmemæssige risici ved et certifikatproblem i en bank. Finanssektoren er underlagt NIS2, som stiller krav om dokumenterede sikkerhedsprocesser. Se vores artikel om NIS2 i Danmark for et komplet overblik over forpligtelserne.

Use case 4: Softwareudvikler med code signing-behov

Scenarie: En dansk softwarevirksomhed distribuerer Windows-applikationer og har brug for code signing-certifikater for at undgå SmartScreen-advarsler.

Anbefaling: Sectigo code signing. Let’s Encrypt understøtter ikke code signing. Sectigos code signing-certifikater fra 170 dollar om året er en fornuftig investering. DigiCerts code signing til 400 dollar er kun relevant, hvis man allerede er DigiCert-kunde for andre certifikater og ønsker at konsolidere leverandørforholdet.

Use case 5: Kommunal myndighed med OV-krav

Scenarie: En dansk kommune med 20 websites og intranet, IT-afdeling med begrænset DevOps-kompetence og krav om OV-validering fra digitaliseringsmyndighederne.

Anbefaling: Sectigo OV med managed service. Let’s Encrypt kræver teknisk opsætning, som kommunens IT-afdeling måske ikke har kapacitet til. DigiCert er unødvendigt dyrt. Sectigos OV-certifikater via en managed service-udbyder er den praktiske mellemvej: OV-validering er dokumenteret, prisen er rimelig, og en ekstern udbyder håndterer fornyelse og administration. Dette er konsistent med den digitale suverænitetsdagsorden i Danmark, som vi beskriver i vores artikel om digital suverænitet.

Migreringsguide: Skift CA uden nedetid

Uanset om du migrerer fra et betalt certifikat til Let’s Encrypt eller omvendt, er princippet det samme: udsted det nye certifikat, konfigurer det parallelt med det gamle, og verificer at det virker, inden det gamle certifikat deaktiveres. Her er en generel guide til migration med nul nedetid.

Trin 1: Kortlæg eksisterende certifikater. Brug et certifikatscanningstool til at identificere alle aktive certifikater i din infrastruktur. SSL Labs Server Test giver et øjebliksbillede af et enkelt domænes certifikatstatus, konfiguration og kompatibilitet med gængse browsere og klienter.

Trin 2: Planlæg ny CA og certifikattype. Afgør, om du har brug for DV, OV eller EV baseret på dine forretningsmæssige krav. Identificer den CA, der passer til dit scenarie.

Trin 3: Generer ny privat nøgle og CSR. Generer altid en ny privat nøgle ved migration. Genbrug aldrig en eksisterende privat nøgle fra et kompromitteret eller udløbende certifikat.

# Generer ny 4096-bit RSA-nøgle og CSR
openssl req -newkey rsa:4096 -keyout ny-privat.key -out ny-csr.csr \
  -subj "/C=DK/ST=Midtjylland/L=Aarhus/O=Virksomhed A/S/CN=eksempel.dk"

# Alternativt: Brug elliptisk kurve (anbefalet for moderne deployments)
openssl ecparam -name prime256v1 -genkey -noout -out ny-ec.key
openssl req -new -key ny-ec.key -out ny-ec.csr \
  -subj "/C=DK/ST=Midtjylland/L=Aarhus/O=Virksomhed A/S/CN=eksempel.dk"

Trin 4: Udsted nyt certifikat. For Let’s Encrypt: kør certbot og angiv domænet. For Sectigo eller DigiCert: upload din CSR til portalen og gennemfør valideringsprocessen.

Trin 5: Installer og test. Konfigurer webserveren til det nye certifikat parallelt med det gamle. Brug et testmiljø til at verificere inden skift i produktion. Kontroller, at certifikatkæden er korrekt konfigureret med intermediate-certifikat.

# Verificer certifikat og nøgles match (hashes skal være identiske)
openssl x509 -noout -modulus -in certifikat.crt | openssl md5
openssl rsa -noout -modulus -in privat.key | openssl md5

# Kontroller certifikatkæde
openssl verify -CAfile intermediate.crt certifikat.crt

# Test TLS-konfiguration lokalt
openssl s_client -connect eksempel.dk:443 -servername eksempel.dk

Trin 6: Opdater DNS og overvåg. Hvis du skifter til Let’s Encrypt med DNS-01 validering, skal DNS-udbyderen understøtte automatisk DNS-opdatering via API. Overvåg certifikatets udløbsdato aktivt de første 30 dage efter migration for at sikre, at automatisk fornyelse fungerer korrekt.

Se vores artikel om WebAuthn og passwordless login i Node.js for et eksempel på, hvordan certifikat-infrastruktur integreres i moderne autentificeringsflows, herunder FIDO2 og passkeys.

Ekspertmeninger: Hvad siger teknologikommentatorerne?

Valget af certifikatmyndighed er ikke blot en teknisk, men også en arkitektonisk beslutning. Her er perspektiver fra kendte stemmer i teknologimiljøet.

Fireship, YouTube-kanalen bag hundredvis af kortfattede guides til moderne webteknologi, har i sin coverage af webinfrastruktur konsekvent fremhævet Let’s Encrypt som standardvalg for alle udviklere. Fireshipes pointe er konsekvent: enhver moderne hostingplatform, fra Vercel til Cloudflare Pages, håndterer allerede TLS-certifikater automatisk via Let’s Encrypt eller tilsvarende CA’er. At betale for DV-certifikater i 2026 er at betale for en ydelse, der leveres gratis overalt. For udviklere, der deployer til cloud-infrastruktur, er certifikatspørgsmålet reelt allerede løst.

ThePrimeagen, tidligere Netflix-ingeniør og aktiv stemme i Rust- og performancemiljøet, fremhæver infrastrukturens pålidelighed som den afgørende faktor for produktionskritiske systemer. I diskussioner om platform-infrastruktur understreger ThePrimeagen, at et certifikatfejl i produktion koster langt mere end prisdifferencen mellem gratis og kommercielle CA’er, hvad angår tabt omsætning, SLA-brud og brugeroplevelse. Synspunktet er, at for services med 99,9+ procents SLA bør man investere i den CA-infrastruktur, der har dokumenteret driftshistorik og support til at løse problemer hurtigt. For Netflix-skala infrastruktur er hverken Let’s Encrypt eller Sectigo tilstrækkelig: intern PKI kombineret med kommercielle CA’er er normen.

MKBHD (Marques Brownlee) dækker primært forbrugerelektronik, men har i teknologidækning gentagne gange fremhævet, at slutbrugere i 2026 ikke kan skelne en Let’s Encrypt-lås fra en DigiCert EV-lås i browsergrænsefladen. Dette er teknisk korrekt: Chrome og Firefox viser ikke længere det grønne firmanavn for EV-certifikater. For forbruger-vendte services er den visuelle forskel elimineret, og valget af CA er et back-end-spørgsmål, som brugerne ikke bemærker. For produkter, der sælges på tillid og synlighed, er EV’s visuelle fordel forsvundet.

Den samlede ekspertmening konvergerer om ét princip: vælg den mindst komplekse løsning, der opfylder dine faktiske krav. For de fleste websites er det Let’s Encrypt. For virksomheder med dokumentationsbehov er det Sectigo OV. For enterprise med compliance-krav er det DigiCert.

Fordele og ulemper: Hurtig oversigt

CAFordeleUlemper
Let’s EncryptGratis, ACME-native, 100M+ certs, bred integration, wildcards gratis, transparent historikDV kun, ingen support/SLA, ingen garanti, ingen code signing, 50 cert/domæne/uge
SectigoKomplet portefølje, konkurrencedygtig pris, ACME-support, $1,75M garanti, code signingComodo CA-historik, ikke 24/7 support, DV er overpriset ift. Let’s Encrypt
DigiCert24/7 support, SLA, $2M garanti, hurtigste EV, CertCentral-platform, compliance-porteføljeMarkedets højeste priser, kompleks onboarding, lille community

Verdict: Tre CA’er til tre scenarier

Baseret på markedsdata, prisniveauer, tekniske specifikationer og reelle use cases er anbefalingen klar og datadrevet:

Vælg Let’s Encrypt hvis: du har DevOps-kompetence til at opsætte ACME, du udelukkende har brug for DV-certifikater, og du ikke har regulatoriske krav om OV/EV. Dette dækker 80-90 procent af alle webprojekter i 2026. Let’s Encrypts 64 procents markedsandel er ikke tilfældig: det er det teknisk og økonomisk optimale valg for langt de fleste.

Vælg Sectigo hvis: du har brug for OV- eller EV-certifikater til dokumenteret organisationsidentitet, du har brug for code signing eller S/MIME, og du ønsker en kommerciel CA med konkurrencedygtige priser og rimelig support. Sectigo er standardvalget for mellemstore virksomheder, der ikke kan bruge Let’s Encrypt.

Vælg DigiCert hvis: du opererer i regulerede sektorer (finans, sundhed, offentlig), har krav om 24/7 SLA-supportet certifikatstyring, eller har compliance-dokumentationskrav, der kræver en CA med det stærkeste audit-trail og den største garanti. Prisen er høj, men den er begrundet i enterprise-segmentets krav.

For danske virksomheder og organisationer, der er underlagt NIS2 og DORA, er dokumenteret certifikatstyring et krav, ikke et valg. Se vores analyse af cybertrusler i Norden for kontekst om de regulatoriske krav, der driver efterspørgslen efter kommercielle CA’er i den nordiske region.

Relateret dækning

Læs videre på shattered.io

FAQ: Certifikatmyndigheder og SSL/TLS

Hvad er en certifikatmyndighed?

En certifikatmyndighed (Certificate Authority, CA) er en organisation, der udsteder digitale certifikater, som bekræfter en servers identitet. Browsere opretholder en liste over betroede CA’er, og et certifikat udstedt af en betroet CA giver browseren grønt lys til at etablere en krypteret HTTPS-forbindelse. Uden et gyldigt certifikat fra en betroet CA viser browseren en sikkerhedsadvarsel.

Er Let’s Encrypt-certifikater lige så sikre som betalte certifikater?

Ja. Kryptografisk set er Let’s Encrypt-certifikater identiske med betalte DV-certifikater. Alle bruger TLS 1.3, 2048-bit RSA eller ECDSA-nøgler og de samme krypteringsalgoritmer. Det betalte certifikat giver ikke stærkere kryptering, men derimod ekstra ydelser: organisationsvalidering, support, SLA og forsikringsgaranti. Se vores artikel om Ed25519-signaturer for et dybere dyk ned i de kryptografiske grundprincipper bag moderne certifikater.

Hvad betyder de nye CAB Forum-regler for min virksomhed?

Fra marts 2026 reduceres maksimal certifikatgyldighed til 200 dage for nye certifikater fra de fleste kommercielle CA’er. Hvis du bruger manuelle fornyelsesprocesser, skal du forny certifikater hyppigere. Den praktiske løsning er at implementere ACME-automatisering med Certbot, acme.sh eller en tilsvarende klient, så certifikater fornyes automatisk uden menneskelig indgriben.

Hvornår bør jeg vælge EV-certifikat frem for DV?

EV-certifikater er primært relevante for organisationer med regulatoriske krav om dokumenteret identitetsvalidering: banker, forsikringsselskaber og offentlige myndigheder. For de fleste websites er EV ikke nødvendigt, da Chrome og Firefox ikke længere viser det grønne firmanavn i adresselinjen, som historisk var EV’s primære brugersynlige fordel. DV-certifikater er tilstrækkelige for 94,4 procent af alle websites ifølge branchedata fra 2026.

Kan Let’s Encrypt bruges til intranet og interne services?

Let’s Encrypt kræver offentlig DNS-validering, hvilket betyder, at domænet skal være offentligt resolvbart for at gennemføre HTTP-01 validering. DNS-01 validering kan bruges for domæner, der ikke er offentligt tilgængelige via HTTP, men kræver API-adgang til DNS-udbyderen. For rent interne services med private IP-adresser og ikke-offentlige domæner er en intern CA (f.eks. baseret på HashiCorp Vault) ofte den bedre løsning.

Hvad sker der, hvis en CA mister browsers tillid?

Hvis en CA fjernes fra browsers rodliste, vil alle certifikater udstedt af den CA vise sikkerhedsadvarsler. Dette skete med Symantec CA i 2018, da Google og Mozilla trak tilliden fra dem på grund af gentagne compliance-problemer. DigiCert overtog Symantecs CA-forretning og udstedte nye certifikater til de berørte kunder. Certificate Transparency-logs og CAB Forum-revision gør det i dag langt sværere for en CA at operere uden de nødvendige sikkerhedsforanstaltninger.

Hvilken CA anbefales til en dansk virksomhed under NIS2?

NIS2 stiller krav om dokumenterede sikkerhedsforanstaltninger, herunder certifikatstyring. For de fleste NIS2-underlagte virksomheder er Let’s Encrypt med automatiseret ACME-fornyelse en acceptabel løsning til DV-certifikater, forudsat at fornyelsesprocessen er dokumenteret og overvåget. For sektorer med krav om OV eller EV, og for virksomheder, der ønsker at dokumentere CA-valget som del af en ISO 27001-proces, anbefales Sectigo (OV) eller DigiCert (EV). Rådgiv med en it-sikkerhedsrevisor om de specifikke krav i din branche.

Hvad koster det at skifte fra DigiCert til Let’s Encrypt?

Selve Let’s Encrypt-certifikatet er gratis. Skifteomkostningerne ligger i konfiguration og test: installation af Certbot, opsætning af automatisk fornyelse og validering af certifikatkæden. For en enkelt webserver tager processen typisk 1-2 timer. For store infrastrukturer med mange domæner bør man beregne 1-2 dages arbejde for initial opsætning og afprøvning. Den lange besparelse er markant: et DV-certifikat til 300 dollar om året svarer til 300 timers Developer-tid til den laveste timepris, for et certifikat der er kryptografisk identisk med det gratis alternativ.