Defaults.Exposed › Rettelser › HTTPS & tvungen sikker omdirigering

Sådan retter du HTTPS & tvungen sikker omdirigering

HTTPS er låsen i browserbaren — den krypterer alt der rejser mellem din hjemmeside og dine kunder, så det ikke kan læses eller manipuleres undervejs. Den tvungne sikre omdirigering sikrer, at besøgende automatisk lander på den krypterede version, selv når de taster din adresse uden 'https://'. Tilsammen er de den absolut grundlæggende sikkerhed en hjemmeside overhovedet skal have.

Det korte svar for din virksomhed: Uden HTTPS krydser enhver adgangskode, kortnummer og besked en kunde sender dig, internettet som læsbar tekst, og Chrome, Edge, Safari og Firefox stempler din side 'Ikke sikker' for enhver besøgende inden de læser et ord. Uden omdirigeringen efterlader selv sider med et certifikat det allerførste besøg ubeskyttet. Begge koster dig tillid, salg og søgerangering — og begge er gratis at fikse på minutter.

Hvad dette kan koste dig

En førstegangssbesøgende ser en stor 'Ikke sikker'-advarsel i det øjeblik din side indlæser. De fleste antager, at siden er falsk, defekt eller usikker og forlader for en konkurrent — og du ved aldrig engang, at salget var tabt.
En kunde taster sine kortoplysninger eller logger ind over en ukrypteret forbindelse fra en café, hotel eller lufthavn. Nogen på det samme WiFi læser det i klartekst, og de svigagtige opkøb der følger, lægges dig til last.
En større klients indkøbs- eller sikkerhedsteam kører en hurtig scanning inden underskrift, ser ingen HTTPS eller en manglende tvungen sikker omdirigering, og sætter kontrakten på pause til du kan bevise, at det er fikset.
Google rangerer dig lavere end konkurrenter der serverer HTTPS, så du stille og roligt mister søgetrafik i årevis uden nogensinde at forbinde det til dette hul.
En regulator eller din betalingsudbyder behandler at sende personlige data eller kortdata ukrypteret som en reportabel fejl, og forvandler en fem-minutters gratis rettelse til et compliance-problem.

Hvorfor det betyder noget. HTTPS er gulvet, ikke loftet, af websikkerhed — det er det der lader låsen dukke op og det der stopper alt dine kunder sender fra at blive læst eller ændret undervejs. Den tvungne sikre omdirigering lukker det hul, et certifikat alene efterlader åbent: folk taster næsten aldrig 'https://', så uden en omdirigering rejser deres første request ubeskyttet inden den sikre version indlæser. En side der mangler begge ser usikker ud for besøgende, rangerer lavere i søgning, og eksponerer reel kundedata — hvilket er grunden til, at dette er den tungeste-vejede enkelt-fejl vi scorer.

Hvad dette er på klart dansk

HTTPS er den sikre, krypterede version af din hjemmeside — den der viser en lås i adresselinjen. Når en besøgende er på HTTPS, er alt der passerer mellem deres browser og din side (siderne de ser, formularer de udfylder, adgangskoder, kortoplysninger) krypteret, så ingen i midten kan læse det eller ændre det. Den almindelige version, HTTP, sender alt det som læsbar tekst, som enhver på det samme netværk kan opsnappe.

Der er to dele til at gøre dette rigtigt, og vi tjekker begge:

Er HTTPS overhovedet tilgængeligt? Har din side et fungerende sikkerhedscertifikat, så den sikre, låste version eksisterer? Dette er den mest alvorlige af de to — uden det er der slet ingen kryptering.
Tvinger din side besøgende til det? Næsten ingen taster “https://” i hånden. Taster nogen blot dit domænenavn, prøver deres browser den usikre HTTP-version først. En tvungen sikker omdirigering bouncer automatisk den request til den krypterede version. Uden den er de første øjeblikke af hvert besøg ubeskyttede, selv når du har et certifikat.

Du ønsker begge. Et certifikat uden omdirigering er en låst hoveddør, besøgende blot kan gå uden om.

De forretningsmæssige indsatser

Dette er det mest grundlæggende signal om, hvorvidt en hjemmeside er sikker — og afgørende, det er et som dine kunder selv kan se. Enhver moderne browser (Chrome, Edge, Safari, Firefox) mærker en side uden HTTPS som “Ikke sikker” direkte i adresselinjen, og viser en advarsel, hvis nogen forsøger at taste noget i en formular. Dine besøgende behøver ikke vide hvad et certifikat er for at reagere på det ord.

Hvad dette kan koste dig

Den stille bounce. En potentiel kunde klikker igennem fra et søgeresultat eller en annonce, og siden indlæser med et grå “Ikke sikker”-badge — eller værre, en fuldskærmsadvarsel. De emailer dig ikke for at spørge hvorfor; de lukker bare fanen og klikker det næste resultat. Du betalte for det besøg og mistede det inden de læste et ord.
En opsnappet login eller betaling. En kunde logger ind eller checker ud mens på delt WiFi på et hotel eller café. Fordi forbindelsen ikke er krypteret, fanger nogen i nærheden deres adgangskode eller kortnummer i klartekst. Svindlen der følger rapporteres som dit brud.
Aftalen der staller. En større prospect er klar til at underskrive, men deres indkøbsproces inkluderer en hurtig sikkerhedscheck af din hjemmeside. Den kommer tilbage og flagger ingen HTTPS, eller en manglende tvungen sikker omdirigering. Pludselig forklarer du et grundlæggende sikkerhedshul i stedet for at lukke.
Det langsomme rangeringslek. To virksomheder tilbyder det samme; én serverer sikker HTTPS og én gør ikke. Søgemaskiner skubber den sikre lidt højere. Over måneder mister du en konstant dryp af gratis trafik.
Injiceret indhold du aldrig skrev. På en ukrypteret forbindelse kan enhver i midten indsætte falske popups, svindeltilbud eller malware i dine sider, når en besøgende indlæser dem. For den besøgende ser det ud som om din side gjorde det.

Hvad det faktisk er

Når en browser forbinder til en hjemmeside over HTTPS, sker to ting. Først præsenterer siden et certifikat — et credential udstedt af en betroet myndighed. For det andet aftaler browser og server en krypteringsnøgle og bruger den til at kryptere alt de udveksler. Vores første tjek, HTTPS tilgængeligt, spørger simpelthen: kan vi lave en sikker TLS-forbindelse til din side på den standard sikre port (443) og få et gyldigt certifikat tilbage?

Det andet tjek, den tvungne sikre omdirigering, dækker et hul certifikatet alene efterlader åbent. Folk taster “dinvirksomhed.com,” ikke “https://dinvirksomhed.com”. Den bare request går til den usikre HTTP-version først. En omdirigering er en ét-linjes instruktion der siger “send alle der ankommer på den usikre version direkte til den sikre.” Vores tjek spørger: når vi requester din usikre HTTP-adresse, bouncer din side os til HTTPS?

Hvad “godt” ser ud som: et gyldigt, betroet certifikat så låsen vises på enhver side, og enhver ren HTTP-request automatisk omdirigeret til HTTPS-versionen (ideelt set med en permanent “301”-omdirigering).

Sådan fikser du det (gratis, ~15 minutter)

Overrækk dette afsnit til din IT-person eller din hostingudbyders support — fikset er gratis. Begge dele koster ingenting: betroede certifikater er gratis og fornyer sig automatisk, og at aktivere omdirigeringen er en enkelt indstilling på de fleste platforme.

1. Hent et certifikat så HTTPS virker (låsen).

Cloudflare: SSL håndteres for dig. Sæt SSL/TLS-tilstanden til “Full” (eller “Full (strict)”).
Site builders og managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy, osv.): HTTPS leveres automatisk.
cPanel hosting: åbn SSL/TLS Status og kør AutoSSL.
Din egen server (VPS): installer Let’s Encrypt med Certbot — sudo certbot --nginx -d ditdomæne.com.

2. Tving enhver besøgende til HTTPS (omdirigeringen).

Cloudflare: SSL/TLS → Edge Certificates → slå “Always Use HTTPS” til.
Site builders: kig efter en “Force HTTPS” eller “Secure (HTTPS)“-toggle i dine siteindstillinger.
Nginx: tilføj en serverblok på port 80 der returnerer en permanent omdirigering — return 301 https://$host$request_uri;.
Apache (.htaccess): aktivér rewriting og omdiriger enhver ikke-HTTPS-request — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].

Efter begge er aktiveret, test det: tast din adresse med http:// foran og bekræft, at browseren hopper til den låste https://-version automatisk.

Almindelige fejl

Certifikat installeret, men ingen omdirigering. Det mest almindelige hul. Du ser låsen, når du besøger din egen side (fordi din browser huskede HTTPS), så du antager, at det er gjort — men nye besøgende der taster det bare domæne, lander stadig på HTTP først.
Blandet indhold. Din side indlæser over HTTPS men henter et billede, script eller skrifttype fra en gammel http://-adresse. Browsere enten blokerer det eller nedgraderer låsen til en advarsel.
En midlertidig (302) omdirigering i stedet for en permanent (301). En 302 virker for besøgende men siger til søgemaskiner, at flytningen er midlertidig, så rangordnings-værdi ikke overføres rent til din sikre adresse.
At omdirigere kun det bare domæne, ikke “www” (eller omvendt). Sørg for at begge ender på HTTPS.
At lade et certifikat udløbe. Et udløbet certifikat kaster en fuldskærms browserfejl. Gratis Let’s Encrypt-certifikater auto-fornyes; har du købt ét manuelt, sæt en kalenderrykker godt inden dets udløb.

FAQ

Jeg er ikke teknisk — er det noget jeg kan klare selv?

Du behøver ikke forstå nogen af detaljerne. Begge halvdele af dette aktiveres af den der kører din hjemmeside eller hosting, og på de fleste moderne platforme er det et gratis certifikat plus en enkelt toggle — ofte bogstaveligt talt en afkrydsningsboks mærket 'Brug altid HTTPS'. Send afsnittet 'Sådan fikser du det' til din webperson eller hosts support; fikset koster ingenting og tager som regel minutter.

Jeg ser allerede en lås på min side — er jeg færdig?

Muligvis ikke. Låsen betyder, at din sikre (HTTPS) version eksisterer, men den garanterer ikke, at besøgende sendes til den. Taster nogen din adresse uden 'https://', prøver deres browser den usikre HTTP-version først. En *tvungen sikker omdirigering* bouncer automatisk den request til den krypterede version. Låse-tjekket og omdirigerings-tjekket er to separate ting — du ønsker begge.

Er et certifikat ikke dyrt eller svært at forny?

Nej. Gratis certifikater fra Let's Encrypt er betroet af alle større browsere og fornyer sig automatisk, så der er intet at huske og intet at betale. Betalte certifikater eksisterer men tilbyder ingen ekstra sikkerhed for en typisk virksomhedshjemmeside — krypteringen er identisk.

Vi tager ikke betalinger eller logins på vores side — har dette stadig betydning?

Ja. Browsere markerer enhver ikke-HTTPS-side 'Ikke sikker' uanset hvad den gør, så selv en brochure-side mister tillid og søgerangering. HTTPS stopper også folk i midten fra at injicere falsk indhold, svindelpopoups eller malware i dine sider, når besøgende indlæser dem.

Kan det at slå den tvungne omdirigering til bryde min side?

Det er sikkert, så længe din sikre version allerede fungerer — hvad den gør, hvis du har et gyldigt certifikat. Standardtilgangen er at bekræfte, at din side indlæser korrekt over https:// først, derefter aktivere omdirigeringen. Det eneste at passe på er blandet indhold (se Almindelige fejl nedenfor), som er nemt at spotte og fikse.

Hvad er forskellen på dette og HSTS?

Denne side handler om at have HTTPS overhovedet og sende besøgende til det. HSTS er et yderligere trin der siger til browsere, at de skal huske, at din side er HTTPS-only og nægter at forbinde usikkert nogensinde igen — det hærder det du har opsat her. Få HTTPS og omdirigeringen rigtigt først; HSTS bygger ovenpå.