Defaults.Exposed › Fikser › HTTPS og tvungen-sikker omdirigering

Slik fikser du HTTPS og tvungen-sikker omdirigering

HTTPS er hengelåsen i nettleserlinjen — det krypterer alt som reiser mellom nettstedet og kundene dine slik at det ikke kan leses eller manipuleres underveis. Den tvungne-sikre omdirigeringen sørger for at besøkende lander på den krypterte versjonen automatisk, selv når de skriver inn adressen din uten 'https://'. Til sammen er dette den aller mest grunnleggende tingen et nettsted trenger for å anses som trygt i det hele tatt.

Bunnlinjen for virksomheten din: Uten HTTPS krysser hvert passord, kortnummer og hver melding en kunde sender deg internett som lesbar tekst, og Chrome, Edge, Safari og Firefox stempler siden din 'Ikke sikker' for alle besøkende før de har lest ett ord. Uten omdirigeringen lar selv nettsteder som har et sertifikat det aller første besøket forbli ubeskyttet. Begge koster deg tillit, salg og søkerangering — og begge er gratis å fikse på minutter.

Hva dette kan koste deg

• En førstegangbesøkende ser en stor «Ikke sikker»-advarsel i det sekundet siden laster. De fleste antar at siden er falsk, ødelagt eller utrygg og forlater den til en konkurrent — og du vet aldri at salget gikk tapt.
• En kunde taster inn kortdetaljer eller logger inn over en ukryptert tilkobling fra en kafé, hotell eller flyplass. Noen på samme WiFi leser det i klartekst, og de falske belastningene som følger skyldes deg.
• Et større selskaps innkjøps- eller sikkerhetsteam kjører en rask skanning før de signerer, ser ingen HTTPS eller en manglende tvungen-sikker omdirigering, og parkerer kontrakten til du kan bevise at det er fikset.
• Google rangerer deg under konkurrenter som serverer HTTPS, så du mister stille søketrafikk i årevis uten å noen gang knytte det til dette gapet.
• En tilsynsmyndighet eller betalingsleverandøren din behandler det å sende personlige data eller kortdata ukryptert som et rapporteringspliktig brudd, og gjør en fem-minutters gratis fiks til et samsvarsprolem.

Hvorfor det er viktig. HTTPS er gulvet, ikke taket, for nettsikkerhet — det er det som får hengelåsen til å vises og som stopper alt kundene dine sender fra å bli lest eller endret underveis. Den tvungne-sikre omdirigeringen lukker gapet som et sertifikat alene etterlater åpent: folk skriver nesten aldri 'https://', så uten en omdirigering reiser den første forespørselen ubeskyttet før den sikre versjonen noen gang laster. Et nettsted som mangler noen av disse ser utrygt ut for besøkende, rangerer lavere i søk, og utsetter ekte kundedata — noe som er grunnen til at dette er den tyngst-vektede enkeltfeilen vi scorer.

Hva dette er, i enkle ord

HTTPS er den sikre, krypterte versjonen av nettstedet ditt — den som viser en hengelås i adresselinjen. Når en besøkende er på HTTPS, er alt som passerer mellom nettleseren og siden din (sidene de ser, skjemaene de fyller ut, passordene, kortdetaljene) kryptert slik at ingen i mellom kan lese det eller endre det. Den vanlige versjonen, HTTP, sender alt dette som lesbar tekst som alle på samme nettverk kan avlytte.

Det er to deler for å gjøre dette riktig, og vi sjekker begge:

• Er HTTPS tilgjengelig i det hele tatt? Har siden din et fungerende sikkerhetssertifikat slik at den sikre, hengelåste versjonen eksisterer? Dette er den mer alvorlige av de to — uten det er det ingen kryptering overhodet.
• Tvinger siden besøkende til den? Nesten ingen skriver «https://» for hånd. Hvis noen skriver bare domenenavnet, prøver nettleseren den vanlige HTTP-versjonen først. En tvungen-sikker omdirigering spretter automatisk den forespørselen til den krypterte versjonen. Uten den er de første øyeblikkene av hvert besøk ubeskyttet selv når du har et sertifikat.

Du vil ha begge. Et sertifikat uten omdirigering er en låst hoveddør som besøkende rett og slett kan gå rundt.

Forretningsinnsatsen

Dette er det mest grunnleggende signalet på om et nettsted er trygt — og avgjørende er det ett kundene dine kan se selv. Alle moderne nettlesere (Chrome, Edge, Safari, Firefox) merker et nettsted uten HTTPS som «Ikke sikker» rett i adresselinjen, og viser en advarsel hvis noen prøver å skrive inn i et skjema. Besøkende trenger ikke vite hva et sertifikat er for å reagere på det ordet.

Utover den synlige advarselen påvirker dette tre ting eiere bryr seg direkte om: tillit (folk forlater nettsteder som ser utrygge ut), søkerangering (Google har brukt HTTPS som et rangeringssignal i årevis og favoriserer sikre nettsteder), og ekte eksponering (data sendt over vanlig HTTP kan genuint leses av andre på samme nettverk). Det er også det slags ting et større selskaps sikkerhetsteam sjekker på sekunder under due diligence — og å mangle det kan stalle en avtale.

Hva dette kan koste deg

• Den stille hoppingen. En potensiell kunde klikker gjennom fra et søkeresultat eller en annonse, og siden laster med et grått «Ikke sikker»-merke — eller verre, en fullskjermsadvarsel. De sender deg ikke e-post for å spørre hvorfor; de lukker bare fanen og klikker det neste resultatet. Du betalte for det besøket og mistet det før de leste ett ord, og ingenting i analysene dine forteller deg hvorfor.
• En avlyttet pålogging eller betaling. En kunde logger inn eller sjekker ut mens de er på delt WiFi på et hotell eller en kafé. Fordi tilkoblingen ikke er kryptert, fanger noen i nærheten passord og kortnummer i klartekst. Svindelen som følger rapporteres som ditt brudd, og du er den som svarer på sinte anrop og tilbakebetalinger.
• Avtalen som staller. Et større prospekt er klart til å signere, men innkjøpsprosessen inkluderer en rask sikkerhetssjekk av nettstedet ditt. Den kommer tilbake og flagger ingen HTTPS, eller en manglende tvungen-sikker omdirigering. Plutselig forklarer du et grunnleggende sikkerhetsgap i stedet for å lukke — og kontrakten venter, eller stille går til en konkurrent som bestod sjekken.
• Den sakte rangeringslekken. To virksomheter tilbyr det samme; én serverer sikker HTTPS og én gjør det ikke. Søkemotorer presser den sikre høyere. Over måneder mister du en jevn strøm av gratis trafikk og kobler det aldri til denne ene innstillingen.
• Injisert innhold du aldri skrev. På en ukryptert tilkobling kan hvem som helst i mellom — et dårlig offentlig nettverk, en kompromittert ruter — sette inn falske oppsprett, svindeltilbud eller skadelig programvare inn i sidene dine når en besøkende laster dem. For den besøkende ser det ut som siden din gjorde det.

Hva det faktisk er

Når en nettleser kobler til et nettsted over HTTPS, skjer to ting. Først presenterer siden et sertifikat — en legitimasjon utstedt av en betrodd autoritet som beviser at siden er den den utgir seg for å være. For det andre er nettleseren og serveren enige om en krypteringsnøkkel og bruker den til å kryptere alt de utveksler. Den første sjekken vår, HTTPS tilgjengelig, spør rett og slett: kan vi opprette en sikker TLS-tilkobling til siden din på standardporten (443) og få et gyldig sertifikat tilbake? Hvis ja, kan hengelåsen vises og kryptering er på. Hvis nei, finnes det ingen sikker versjon av siden din i det hele tatt — og det er den tyngste enkeltfeilen vi scorer.

Den andre sjekken, den tvungne-sikre omdirigeringen, dekker et gap sertifikatet alene etterlater åpent. Folk skriver «dinvirksomhet.com», ikke «https://dinvirksomhet.com». Den bare forespørselen går til den vanlige HTTP-versjonen først. En omdirigering er en en-linje instruksjon som sier «send alle som ankommer den usikre versjonen rett til den sikre.» Sjekken vår spør: når vi ber om den vanlige HTTP-adressen, spretter siden vår til HTTPS? Hvis den gjør det, ender alle besøkende opp beskyttet uavhengig av hvordan de tastet adressen. Hvis ikke, bærer det første ubeskyttede spranget hva enn nettleseren sender — informasjonskapsler, skjemadata — i klartekst.

Hva «bra» ser ut som: et gyldig, betrodd sertifikat slik at hengelåsen vises på alle sider, og alle vanlige HTTP-forespørsler omdiriges automatisk til HTTPS-versjonen (helst med en permanent «301»-omdirigering, som også overfører søkerangeringen din ryddig til den sikre adressen).

Slik fikser du det (gratis, ~15 minutter)

Send denne seksjonen til IT-personen din eller webhotellets support — fiksen er gratis. Begge deler koster ingenting: betrodde sertifikater er gratis og fornyer seg selv, og å slå på omdirigeringen er en enkelt innstilling på de fleste plattformer. Det er ikke nødvendig med noe betalt produkt for å bestå dette.

Det er to ting å slå på. På de fleste moderne webhotell gjør det første ofte det andre til et ett-klikks bytte.

1. Få et sertifikat slik at HTTPS fungerer (hengelåsen).

• Cloudflare: hvis siden er bak Cloudflare, håndteres SSL for deg. Sett SSL/TLS-modusen til «Full» (eller «Full (strict)» hvis opprinnelsesserveren din også har et sertifikat).
• Nettstedsbyggere og administrert webhotell (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, de fleste Microsoft 365 / Google Workspace nettsteder): HTTPS leveres automatisk; bare sørg for at det er aktivert i nettstedets/domeneinnstillinger — det er vanligvis ingenting å installere.
• cPanel-webhotell: åpne SSL/TLS-status og kjør AutoSSL, som utsteder et gratis Let’s Encrypt-sertifikat.
• Din egen server (VPS): installer Let’s Encrypt med Certbot — sudo certbot --nginx -d dittdomene.com (eller --apache). Det henter og installerer et gratis sertifikat og setter opp auto-fornyelse.
• Alt annet: kontakt webhotellets support og be dem «aktivere et gratis SSL-sertifikat for domenet mitt.» Nesten alle tilbyr dette uten kostnad.

2. Tving alle besøkende til HTTPS (omdirigeringen).

• Cloudflare: SSL/TLS → Kantesertifikater → slå på «Bruk alltid HTTPS». Det er hele jobben.
• Nettstedsbyggere (Squarespace, Wix, Shopify osv.): se etter en «Tving HTTPS» eller «Sikker (HTTPS)» bryter i nettstedsinnstillingene og slå den på.
• Nginx: legg til en serverblokk på port 80 som returnerer en permanent omdirigering — return 301 https://$host$request_uri;.
• Apache (.htaccess): aktiver omskriving og omdiriger alle ikke-HTTPS-forespørsler — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows-webhotell): installer URL Rewrite-modulen og legg til en «HTTP til HTTPS»-omdirigeringsregel.

Etter at begge er på, test det: skriv inn adressen med vanlig http:// foran og bekreft at nettleseren hopper til den hengelåste https://-versjonen automatisk, og at hengelåsen vises på de viktigste sidene.

Vanlige feil

• Sertifikat installert, men ingen omdirigering. Det vanligste gapet. Du ser hengelåsen når du besøker din egen side (fordi nettleseren husket HTTPS), så du antar at det er ferdig — men nye besøkende som skriver bare domenet lander fortsatt på HTTP først. Test alltid den vanlige http://-versjonen eksplisitt.
• Blandet innhold. Siden laster over HTTPS, men henter inn et bilde, skript eller skrifttype fra en gammel http://-adresse. Nettlesere enten blokkerer det eller nedgraderer hengelåsen til en advarsel. Oppdater disse referansene til https:// (eller til relative lenker).
• En midlertidig (302) omdirigering i stedet for en permanent (301). En 302 fungerer for besøkende, men forteller søkemotorer at flyttingen er midlertidig, så rangeringsverdi overføres ikke rent til den sikre adressen. Bruk en permanent 301.
• Omdirigere bare bare domenet, ikke «www» (eller omvendt). Sørg for at både dittdomene.com og www.dittdomene.com ender opp på HTTPS, ellers er én sti fortsatt eksponert.
• La et sertifikat utløpe. Et bortløpt sertifikat kaster en fullskjerm nettleserfeil som stopper besøkende fullstendig. Gratis Let’s Encrypt-sertifikater auto-fornyer; hvis du kjøpte ett manuelt, sett en kalenderpåminnelse godt i forkant av utløpet.

Spørsmål og svar

Se spørsmålene ovenfor — de dekker det ikke-tekniske «kan jeg gjøre dette selv», forskjellen mellom å ha en hengelås og å tvinge omdirigeringen, sertifikatkostnad og fornyelse, om brosjyresider trenger det, og hvordan dette forholder seg til HSTS.

FAQ