HTTPS/SSL och webbplatssäkerhet
Vad är HTTPS/SSL?
HTTPS (HTTP Secure) är ett protokoll som krypterar datautbytet mellan en webbplats och besökarens webbläsare. Krypteringen sker med hjälp av ett SSL/TLS-certifikat som webbplatsen har; certifikatet fungerar som ett digitalt dokument som bekräftar webbplatsens identitet för webbläsaren. Låssymbolen i webbläsarens adressfält visar att anslutningen är krypterad och att certifikatet är giltigt.
Data som skickas via HTTP överförs som klartext (plaintext), vilket innebär att en tredje part på samma nätverk (t.ex. ett offentligt Wi-Fi-nätverk) kan läsa informationen. HTTPS krypterar denna data så att den endast kan läsas av avsändaren och mottagaren.
SSL-certifikat är vanligtvis giltiga under en viss tid (t.ex. ett år) och måste förnyas när de löper ut; idag har många webbhotell automatiserat denna process så att certifikatet förnyas automatiskt, vilket minskar behovet av manuell uppföljning.
Varför är det viktigt?
HTTPS skyddar användardata (formulärinmatningar, inloggningsuppgifter, betalningsuppgifter) mot man-in-the-middle-attacker. Google betraktar användningen av HTTPS som en svag rankningsfaktor, och webbläsare visar varningen ”Inte säker” för HTTP-webbplatser, vilket direkt påverkar användarnas förtroende.
En osäker webbplats minskar besökarnas vilja att stanna kvar på webbplatsen; särskilt användare som fyller i formulär eller genomför betalningar kan lämna webbplatsen utan att slutföra transaktionen när de ser varningen ”Inte säker”. Detta är ett förtroendeproblem som direkt påverkar konverteringsgraden.
Dessutom fungerar de flesta moderna webbläsarfunktioner (t.ex. platstjänster, aviseringar, vissa betalnings-API:er) endast via HTTPS; en webbplats som fortfarande använder HTTP kan inte dra nytta av dessa funktioner alls och blir tekniskt sett alltmer begränsad.
Hur åtgärdar man detta?
- Installera ett giltigt SSL-certifikat på din webbplats och se till att det förnyas automatiskt så att det inte löper ut.
- Omdirigera alla HTTP-förfrågningar till HTTPS-versionen med en 301-omdirigering.
- Åtgärda varningar om blandat innehåll (mixed content): se till att alla bilder, skript och CSS-filer på sidan laddas via HTTPS; annars kan webbläsaren markera sidan som ”delvis säker”.
- Om möjligt, lägg till en HSTS-rubrik (HTTP Strict Transport Security) för att tvinga webbläsaren att alltid ansluta till webbplatsen via HTTPS.
- Reducera omdirigeringskedjorna (flera på varandra följande omdirigeringar, t.ex. HTTP → HTTPS → www → non-www) till ett enda steg; varje extra omdirigering förlänger sidans laddningstid något.
- Kontrollera att även resurser från tredjepartstjänster (t.ex. bild-CDN, formulärleverantör, chattwidget) levereras via HTTPS; dessa är ofta en förbisedd källa till problem med blandat innehåll.
Exempel
# Exempel på .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Dåligt exempel: Att glömma att uppdatera gamla absoluta HTTP-länkar på sidan, t.ex. <img src="http://example.com/logo.png">; detta leder till en varning om blandat innehåll i webbläsaren, även om sidan i övrigt verkar säker.
Vanliga misstag
- Att lämna HTTP-versionen öppen istället för att stänga den; på så sätt förblir webbplatsen tillgänglig via både HTTP och HTTPS och innehållet dupliceras på två olika adresser.
- Att lämna kvar bilder eller skript på sidan som fortfarande laddas via HTTP trots att sidan är under HTTPS (blandat innehåll).
- Att låta SSL-certifikatet löpa ut; i detta fall kan webbläsaren visa webbplatsen som helt otillgänglig.
- Att skapa onödiga omdirigeringskedjor som består av flera steg.
- Att endast skaffa certifikatet för huvuddomänen och utelämna underdomänerna (t.ex. blog.example.com).
- Att fortfarande använda gamla HTTP-adresser i interna länkar (meny, sidfot, interna länkar); detta utlöser en onödig 301-omdirigering vid varje klick och saktar ner sidladdningen något.
- Att fortfarande hänvisa till gamla HTTP-adresser i webbplatskartan och kanoniska taggar; detta sänder motstridiga signaler till sökmotorn.
- Att av misstag överföra det självsignerade certifikatet som används i den lokala utvecklingsmiljön (localhost) till den live-miljöns konfiguration; webbläsare betraktar inte denna typ av certifikat som tillförlitliga.
- Seoraporu.co-rapporten markerar brist på HTTPS eller varningar om blandat innehåll som prioriterade i avsnittet om tekniska fynd, eftersom detta påverkar både tillförlitlighet och prestanda samtidigt.