Defaults.Exposed › Åtgärder › HTTPS & omdirigering till säker anslutning

Hur du fixar HTTPS & omdirigering till säker anslutning

HTTPS är hänglåset i webbläsarens adressfält — det krypterar allt som färdas mellan din webbplats och dina kunder så att det inte kan läsas eller manipuleras under transporten. Omdirigeringen till säker anslutning ser till att besökare automatiskt hamnar på den krypterade versionen, även när de skriver din adress utan 'https://'. Tillsammans är de den enda mest grundläggande saken en webbplats behöver för att anses säker överhuvudtaget.

Slutsats för ditt företag: Utan HTTPS passerar varje lösenord, kortnummer och meddelande som en kund skickar dig över internet som läsbar text, och Chrome, Edge, Safari och Firefox stämplar din webbplats 'Inte säker' för varje besökare innan de läser ett ord. Utan omdirigeringen lämnar även webbplatser som har ett certifikat den allra första besöket oskyddat. Båda kostar dig förtroende, försäljning och sökrankning — och båda är gratis att åtgärda på några minuter.

Vad detta kan kosta dig

• En förstagångsbesökare ser en stor 'Inte säker'-varning i samma stund din sida laddas. De flesta antar att webbplatsen är falsk, trasig eller osäker och lämnar för en konkurrent — och du vet aldrig ens att försäljningen förlorades.
• En kund anger sina kortuppgifter eller loggar in via en okrypterad anslutning från ett café, hotell eller flygplats. Någon på samma Wi-Fi läser det i klartext, och de bedrägliga transaktioner som följer läggs på ditt ansvar.
• En större kunds inköps- eller säkerhetsteam kör en snabb skanning innan de skriver på, ser ingen HTTPS eller en saknad omdirigering, och parkerar kontraktet tills du kan bevisa att det är åtgärdat.
• Google rankar dig lägre än konkurrenter som servar HTTPS, så du förlorar tyst söktrafik i år utan att någonsin koppla det till det här gapet.
• En tillsynsmyndighet eller din betalningsleverantör behandlar det att skicka personliga data eller kortdata okrypterat som ett rapporteringspliktigt misslyckande, vilket förvandlar en fem minuter lång gratis åtgärd till ett efterlevnadsproblem.

Varför det spelar roll. HTTPS är golvet, inte taket, för webbsäkerhet — det är vad som får hänglåset att visas och vad som stoppar allt dina kunder skickar från att läsas eller ändras på vägen. Omdirigeringen stänger det gap som ett certifikat ensamt lämnar öppet: folk skriver nästan aldrig 'https://', så utan en omdirigering reser deras första begäran oskyddat innan den säkra versionen ens laddas. En webbplats som saknar något av dessa ser osäker ut för besökare, rankar lägre i sökning och exponerar verklig kunddata — vilket är varför det här är den tyngst vägda enskilda felkonfigurationen vi betygsätter.

Vad det här är, i klartext

HTTPS är den säkra, krypterade versionen av din webbplats — den som visar ett hänglås i adressfältet. När en besökare är på HTTPS är allt som passerar mellan deras webbläsare och din webbplats (de sidor de ser, formulären de fyller i, deras lösenord, deras kortuppgifter) förvrängda så att ingen i mitten kan läsa eller ändra det. Den vanliga versionen, HTTP, skickar allt som läsbar text som vem som helst på samma nätverk kan avlyssna.

Det finns två delar i att göra det här rätt, och vi kontrollerar båda:

• Finns HTTPS överhuvudtaget? Har din webbplats ett fungerande säkerhetscertifikat så att den säkra, hänglåsta versionen finns? Det här är den allvarligare av de två — utan den finns det ingen kryptering alls.
• Tvingar din webbplats besökare till den? Nästan ingen skriver “https://” för hand. Om någon skriver bara ditt domännamn provar deras webbläsare den vanliga HTTP-versionen först. En tvingad säkerhetsomdirigering studsar automatiskt den begäran till den krypterade versionen. Utan den är de första ögonblicken av varje besök oskyddat även när du har ett certifikat.

Du vill ha båda. Ett certifikat utan omdirigering är en låst ytterdörr som besökare helt enkelt kan gå runt.

Vad som står på spel för företaget

Det här är den mest grundläggande signalen om huruvida en webbplats är säker — och avgörande, det är en som dina kunder kan se själva. Varje modern webbläsare (Chrome, Edge, Safari, Firefox) märker en webbplats utan HTTPS som “Inte säker” direkt i adressfältet, och visar en varning om någon försöker skriva in i ett formulär. Dina besökare behöver inte veta vad ett certifikat är för att reagera på det ordet.

Utöver den synliga varningen påverkar det här tre saker som ägare bryr sig om direkt: förtroende (folk överger webbplatser som ser osäkra ut), sökrankning (Google har använt HTTPS som en rankningssignal i år och favoriserar säkra webbplatser), och verklig exponering (data som skickas via vanlig HTTP kan genuint läsas av andra på samma nätverk).

Vad det här kan kosta dig

• Det tysta stutset. En potentiell kund klickar via från ett sökresultat eller en annons, och sidan laddas med ett grått “Inte säker”-märke — eller ännu värre, en fullskärmsvarning. De mailar dig inte för att fråga varför; de stänger bara fliken och klickar på nästa resultat. Du betalade för det besöket och förlorade det innan de läste ett ord, och ingenting i din analys berättar varför.
• En avlyssnad inloggning eller betalning. En kund loggar in eller checkar ut på delat Wi-Fi på ett hotell eller café. Eftersom anslutningen inte är krypterad fångar någon i närheten deras lösenord eller kortnummer i klartext. Bedrägeri som följer rapporteras som ditt intrång, och det är du som svarar på ilskna samtal och chargebacks.
• Affären som stannar. En större potentiell kund är redo att skriva på, men deras inköpsprocess inkluderar en snabb säkerhetskontroll av din webbplats. Den returnerar flaggor för ingen HTTPS, eller en saknad tvingad säkerhetsomdirigering. Plötsligt förklarar du ett grundläggande säkerhetsgap istället för att stänga — och kontraktet väntar, eller går tyst till en konkurrent som klarade kontrollen.
• Det långsamma rankningslecket. Två företag erbjuder samma sak; ett servar säkert HTTPS och ett gör det inte. Sökmotorer knuffar det säkra högre. Under månader förlorar du en stadig droppe fri trafik och kopplar det aldrig till den här enda inställningen.
• Injicerat innehåll du aldrig skrev. På en okrypterad anslutning kan vem som helst i mitten — ett dubiöst offentligt nätverk, en komprometterad router — infoga falska popup-fönster, blufferbjudanden eller skadlig kod i dina sidor när en besökare laddar dem. För den besökaren ser det ut som om din webbplats gjorde det.

Vad det faktiskt är

När en webbläsare ansluter till en webbplats via HTTPS händer två saker. Först presenterar webbplatsen ett certifikat — en uppgift utfärdad av en betrodd myndighet som bevisar att webbplatsen är den den påstår sig vara. För det andra kommer webbläsaren och servern överens om en krypteringsnyckel och använder den för att kryptera allt de utbyter. Vår första kontroll, HTTPS tillgänglig, frågar helt enkelt: kan vi göra en säker TLS-anslutning till din webbplats på standardporten (443) och få tillbaka ett giltigt certifikat? Om ja kan hänglåset visas och kryptering är på. Om nej finns det ingen säker version av din webbplats alls — och det är det enda tyngst vägda felet vi betygsätter.

Den andra kontrollen, den tvingade säkerhetsomdirigering, täcker ett gap som certifikatet ensamt lämnar öppet. Folk skriver “dittföretag.com”, inte “https://dittföretag.com”. Den nakna begäran går till den vanliga HTTP-versionen först. En omdirigering är en engångsinstruktion som säger “skicka alla som anländer på den osäkra versionen direkt till den säkra.” Vår kontroll frågar: när vi begär din vanliga HTTP-adress, studsar din webbplats oss till HTTPS? Om den gör det hamnar alla besökare skyddade oavsett hur de skrivit din adress. Om den inte gör det bär det första oskyddade hoppet vad webbläsaren skickar — kakor, formulärdata — i klartext.

Vad “bra” ser ut som: ett giltigt, betrott certifikat så att hänglåset visas på varje sida, och varje vanlig HTTP-begäran automatiskt omdirigerad till HTTPS-versionen (idealt med en permanent “301”-omdirigering, som också för din sökrankning rent till den säkra adressen).

Så här åtgärdar du det (gratis, ~15 minuter)

Skicka det här avsnittet till din IT-person eller din hostingleverantörs support — åtgärden är gratis. Båda delarna av det här kostar ingenting: betrodda certifikat är gratis och förnyar sig automatiskt, och att slå på omdirigeringen är en enda inställning på de flesta plattformar. Det finns ingen betald produkt att behöva passera den här kontrollen.

Det finns två saker att aktivera. På de flesta moderna hostingpaket gör det förra ofta det sistnämnda till ett enkelt klick.

1. Skaffa ett certifikat så att HTTPS fungerar (hänglåset).

• Cloudflare: om din webbplats är bakom Cloudflare hanteras SSL åt dig. Sätt SSL/TLS-läget till “Full” (eller “Full (strict)” om din ursprungsserver också har ett certifikat).
• Webbplatsbyggare och hanterad hosting (Squarespace, Wix, Shopify, Webflow, de flesta WordPress-värdar): HTTPS tillhandahålls automatiskt; se bara till att det är aktiverat i dina webbplats-/domäninställningar.
• cPanel-hosting: öppna SSL/TLS-status och kör AutoSSL, som utfärdar ett gratis Let’s Encrypt-certifikat.
• Din egen server (VPS): installera Let’s Encrypt med Certbot — sudo certbot --nginx -d dindomän.com (eller --apache).
• Allt annat: kontakta din hostingleverantörs support och be dem “aktivera ett gratis SSL-certifikat för min domän.” Nästan alla erbjuder detta kostnadsfritt.

2. Tvinga alla besökare till HTTPS (omdirigeringen).

• Cloudflare: SSL/TLS → Kantcertifikat → slå på “Använd alltid HTTPS.” Det är hela jobbet.
• Webbplatsbyggare (Squarespace, Wix, Shopify osv.): leta efter en “Tvinga HTTPS”- eller “Säker (HTTPS)“-knapp i dina webbplatsinställningar och slå på den.
• Nginx: lägg till ett serverblock på port 80 som returnerar en permanent omdirigering — return 301 https://$host$request_uri;.
• Apache (.htaccess): aktivera omskrivning och omdirigera alla icke-HTTPS-begäran — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows-hosting): installera URL Rewrite-modulen och lägg till en “HTTP till HTTPS”-omdirigeringsregel.

Efter att båda är på, testa det: skriv din adress med vanlig http:// framför och bekräfta att webbläsaren hoppar till den hänglåsta https://-versionen automatiskt, och att hänglåset visas på dina huvudsidor.

Vanliga misstag

• Certifikat installerat, men ingen omdirigering. Det vanligaste gapet. Du ser hänglåset när du besöker din egen webbplats (för att din webbläsare kom ihåg HTTPS), så du antar att det är klart — men nya besökare som skriver den nakna domänen landar fortfarande på HTTP först. Testa alltid http://-versionen uttryckligen.
• Mixat innehåll. Din sida laddas via HTTPS men hämtar en bild, ett skript eller ett teckensnitt från en gammal http://-adress. Webbläsare blockerar antingen det eller nedgraderar hänglåset till en varning. Uppdatera de referenserna till https:// (eller till relativa länkar).
• En tillfällig (302) omdirigering istället för en permanent (301). En 302 fungerar för besökare men berättar för sökmotorer att flytten är tillfällig, så rankningsvärdet överförs inte rent till din säkra adress. Använd en permanent 301.
• Omdirigera bara den nakna domänen, inte “www” (eller vice versa). Se till att både dindomän.com och www.dindomän.com hamnar på HTTPS, annars är en väg fortfarande exponerad.
• Låta ett certifikat gå ut. Ett utgånget certifikat kastar ett fullskärmswebbläsarfel som stoppar besökare. Gratis Let’s Encrypt-certifikat förnyar automatiskt; om du köpte ett manuellt, sätt en kalenderpåminnelse långt innan det går ut.

FAQ

Se frågorna ovan — de täcker det icke-tekniska “kan jag göra det här själv”, skillnaden mellan att ha ett hänglås och att tvinga omdirigeringen, certifikatkostnad och förnyelse, om broschyrwebbplatser behöver det, och hur det här relaterar till HSTS.

Vanliga frågor