Hem / Säkerhet & GDPR / HTTPS-kontroll: vad som faktiskt gör webbplatsen säker

Säkerhet & GDPR

HTTPS-kontroll: vad som faktiskt gör webbplatsen säker

Certifikatet är redan på plats, men det är inte samma sak som att HTTPS faktiskt fungerar korrekt på varje sida. Här är vad ni kontrollerar efter publicering, designändringar eller nya formulär – och vad hänglåset i adressfältet inte säger något om.

Ett giltigt SSL/TLS-certifikat är en engångsinstallation, men en korrekt HTTPS-leverans är något ni behöver kontrollera löpande. Nya bilder, ett uppdaterat tillägg eller ett formulär som pekar fel kan tyst bryta krypteringen på en enskild sida, även om resten av sajten visar hänglåset som vanligt. Den här sidan går igenom vad som kan gå fel efter att certifikatet redan finns, och vad HTTPS aldrig var tänkt att skydda mot.

Mixat innehåll: den vanligaste tysta bristen

Mixat innehåll uppstår när en sida laddas via HTTPS men hämtar en bild, ett teckensnitt eller ett skript via vanlig HTTP. Skript blockeras oftast helt av webbläsaren, medan bilder kan tillåtas men gör att hänglåset ändras eller försvinner – vanligtvis efter ett temabyte eller en inklistrad gammal bildlänk. Kontrollera genom att öppna sidan i webbläsarens utvecklarverktyg och läsa konsolen, som listar vilken resurs som orsakar varningen, efter varje större ändring.

Certifikatkedjan: varför "giltigt" inte alltid räcker

Ett certifikat utfärdas sällan direkt av en rot som webbläsare litar på, utan via ett mellanliggande certifikat som knyter ihop ert certifikat med en rot förinstallerad i webbläsare och operativsystem – ett upplägg som till exempel Let's Encrypt beskriver för sin egen certifikatkedja. Saknas mellanledet kan vissa webbläsare visa en varning medan andra ändå fungerar, ett fel som lätt missas vid test i en enda modern webbläsare. Kontrollera kedjan med ett fristående SSL-testverktyg, till exempel SSL Labs, efter varje byte av server eller certifikatutfärdare.

Gratis certifikat: när det räcker och vad det inte intygar

Ett gratis certifikat, till exempel från Let's Encrypt, krypterar trafiken lika starkt som ett betalt certifikat och räcker för de allra flesta webbplatser, inklusive formulär som samlar in personuppgifter. Skillnaden ligger vanligtvis i valideringsnivån: ett gratis certifikat bekräftar att ni kontrollerar domänen, inte vilket bolag som driver verksamheten bakom den. Är det viktigt för besökaren att se att ett specifikt företag står bakom sajten kan det vara värt att fråga leverantören om en certifikatstyp med organisationsvalidering – vår systersajts guide till SSL-certifikat går igenom skillnaden mellan certifikattyperna mer i detalj. För de flesta småföretag är valet av certifikatstyp mindre avgörande än att kedjan är komplett och att HTTPS levereras korrekt på varje sida, vilket är det den här sidan i övrigt går igenom.

HSTS: stänger dörren för nedgraderad trafik

Utan särskild instruktion kan en besökare som skriver domänen utan https://, eller klickar en gammal länk, hinna nå en okrypterad version innan omdirigeringen slår till. HSTS (HTTP Strict Transport Security) är en serverinstruktion om att webbläsaren, under en period, aldrig ska försöka nå domänen via vanlig HTTP igen. HSTS är ett tillägg utöver certifikatet, inte en ersättning, och ska aktiveras medvetet eftersom inställningen gäller framåt i tiden.

RiskÅtgärdKontrollbevis
Mixat innehåll på en enskild sidaLäs konsolen i utvecklarverktygen, byt HTTP-länkar till HTTPSInga varningar om osäkert innehåll kvar i konsolen
Ofullständig certifikatkedjaTesta med ett fristående SSL-verktyg efter varje serverbyteHela kedjan, inte bara slutcertifikatet, redovisas som giltig
Kort fönster för nedgraderad trafikAktivera HSTS medvetet, med rimlig giltighetstidServern svarar med HSTS-huvudet på HTTPS-anrop
Formulär som postar till fel adressKontrollera att formulärets action-attribut pekar på https://Nätverksfliken visar att inskickad data går via HTTPS

Vad HTTPS inte skyddar mot

HTTPS krypterar transporten mellan besökarens webbläsare och er server. Det säger ingenting om vem som har åtkomst till administrationspanelen, hur starka lösenorden är eller om ett föråldrat tillägg öppnar en väg in – NCSC väger uppdateringar, stark autentisering och begränsade behörigheter minst lika tungt som en krypterad anslutning. Dataskyddsregelverket kräver dessutom att den som samlar in personuppgifter via ett formulär bedömer risken och sätter åtgärder utifrån den, och hanterar ett externt företag personuppgifter åt er krävs även ett biträdesavtal. Ett giltigt certifikat intygar bara rätt domän, inte att innehållet där är pålitligt.

Ett giltigt hänglås är ingen garanti för att resten av sajten är säker. Behandla HTTPS-kontrollen som en återkommande rutin efter varje ändring, i kombination med uppdateringar, begränsade behörigheter och en dokumenterad bedömning av vilka personuppgifter sajten hanterar.

Rutin: när ni kontrollerar och när ni tar in hjälp

Lägg in HTTPS-kontrollen efter publicering av nya sidor, efter designändring eller temabyte, och efter att ett formulär eller en integration lagts till: öppna sidan i inkognitoläge, granska konsolen för varningar och dokumentera vad ni kontrollerat. Ta in webbhotellet (jämför gärna webbhotell med SSL inkluderat) eller en extern leverantör om SSL-verktyget visar en trasig certifikatkedja ni inte rår på själva, om HSTS inte går att aktivera, eller om mixat innehåll kommer från ett tillägg ni inte äger koden till.

Vanliga frågor

Räcker hänglåset i adressfältet som bevis på att sajten är säker?

Nej. Hänglåset visar bara att trafiken mellan besökarens webbläsare och er server är krypterad. Det säger ingenting om huruvida formulär, tillägg eller inloggningar på sajten i övrigt är korrekt skyddade.

Varför visar webbläsaren en varning trots att certifikatet är giltigt?

Vanligast är mixat innehåll: sidan laddas via HTTPS men hämtar en bild, ett skript eller ett typsnitt via vanlig HTTP. Webbläsaren blockerar eller flaggar det osäkra elementet även om själva certifikatet stämmer.

Vad gör HSTS som ett vanligt certifikat inte gör?

HSTS är en instruktion från servern om att webbläsaren aldrig ska försöka nå domänen via okrypterad HTTP under en angiven period, även om någon skriver eller länkar utan https://. Utan HSTS finns ett kort fönster där en första anslutning kan nedgraderas innan omdirigeringen hinner slå till.

Kan en hemsida med korrekt HTTPS ändå bli hackad eller läcka personuppgifter?

Ja. HTTPS skyddar transporten, inte behörigheter, lösenord, föråldrade tillägg eller hur ni hanterar personuppgifter. Dataskyddsförordningen kräver att ni bedömer risk och sätter lämpliga tekniska och organisatoriska åtgärder utöver kryptering av trafiken.

Räcker ett gratis SSL-certifikat för en företagswebbplats?

Ja, de flesta gratis certifikat krypterar trafiken lika starkt som ett betalt certifikat och räcker för de flesta webbplatser, inklusive formulär som samlar in personuppgifter. Skillnaden ligger vanligtvis i valideringsnivån: ett gratis certifikat bekräftar att ni kontrollerar domänen, inte vilket bolag som står bakom den, vilket kan spela roll för vissa verksamheter.