NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Certifikatet är redan på plats, men det är inte samma sak som att HTTPS faktiskt fungerar korrekt på varje sida. Här är vad ni kontrollerar efter publicering, designändringar eller nya formulär – och vad hänglåset i adressfältet inte säger något om.
Ett giltigt SSL/TLS-certifikat är en engångsinstallation, men en korrekt HTTPS-leverans är något ni behöver kontrollera löpande. Nya bilder, ett uppdaterat tillägg eller ett formulär som pekar fel kan tyst bryta krypteringen på en enskild sida, även om resten av sajten visar hänglåset som vanligt. Den här sidan går igenom vad som kan gå fel efter att certifikatet redan finns, och vad HTTPS aldrig var tänkt att skydda mot.
Mixat innehåll uppstår när en sida laddas via HTTPS men hämtar en bild, ett teckensnitt eller ett skript via vanlig HTTP. Skript blockeras oftast helt av webbläsaren, medan bilder kan tillåtas men gör att hänglåset ändras eller försvinner – vanligtvis efter ett temabyte eller en inklistrad gammal bildlänk. Kontrollera genom att öppna sidan i webbläsarens utvecklarverktyg och läsa konsolen, som listar vilken resurs som orsakar varningen, efter varje större ändring.
Ett certifikat utfärdas sällan direkt av en rot som webbläsare litar på, utan via ett mellanliggande certifikat som knyter ihop ert certifikat med en rot förinstallerad i webbläsare och operativsystem – ett upplägg som till exempel Let's Encrypt beskriver för sin egen certifikatkedja. Saknas mellanledet kan vissa webbläsare visa en varning medan andra ändå fungerar, ett fel som lätt missas vid test i en enda modern webbläsare. Kontrollera kedjan med ett fristående SSL-testverktyg, till exempel SSL Labs, efter varje byte av server eller certifikatutfärdare.
Ett gratis certifikat, till exempel från Let's Encrypt, krypterar trafiken lika starkt som ett betalt certifikat och räcker för de allra flesta webbplatser, inklusive formulär som samlar in personuppgifter. Skillnaden ligger vanligtvis i valideringsnivån: ett gratis certifikat bekräftar att ni kontrollerar domänen, inte vilket bolag som driver verksamheten bakom den. Är det viktigt för besökaren att se att ett specifikt företag står bakom sajten kan det vara värt att fråga leverantören om en certifikatstyp med organisationsvalidering – vår systersajts guide till SSL-certifikat går igenom skillnaden mellan certifikattyperna mer i detalj. För de flesta småföretag är valet av certifikatstyp mindre avgörande än att kedjan är komplett och att HTTPS levereras korrekt på varje sida, vilket är det den här sidan i övrigt går igenom.
Utan särskild instruktion kan en besökare som skriver domänen utan https://, eller klickar en gammal länk, hinna nå en okrypterad version innan omdirigeringen slår till. HSTS (HTTP Strict Transport Security) är en serverinstruktion om att webbläsaren, under en period, aldrig ska försöka nå domänen via vanlig HTTP igen. HSTS är ett tillägg utöver certifikatet, inte en ersättning, och ska aktiveras medvetet eftersom inställningen gäller framåt i tiden.
| Risk | Åtgärd | Kontrollbevis |
|---|---|---|
| Mixat innehåll på en enskild sida | Läs konsolen i utvecklarverktygen, byt HTTP-länkar till HTTPS | Inga varningar om osäkert innehåll kvar i konsolen |
| Ofullständig certifikatkedja | Testa med ett fristående SSL-verktyg efter varje serverbyte | Hela kedjan, inte bara slutcertifikatet, redovisas som giltig |
| Kort fönster för nedgraderad trafik | Aktivera HSTS medvetet, med rimlig giltighetstid | Servern svarar med HSTS-huvudet på HTTPS-anrop |
| Formulär som postar till fel adress | Kontrollera att formulärets action-attribut pekar på https:// | Nätverksfliken visar att inskickad data går via HTTPS |
HTTPS krypterar transporten mellan besökarens webbläsare och er server. Det säger ingenting om vem som har åtkomst till administrationspanelen, hur starka lösenorden är eller om ett föråldrat tillägg öppnar en väg in – NCSC väger uppdateringar, stark autentisering och begränsade behörigheter minst lika tungt som en krypterad anslutning. Dataskyddsregelverket kräver dessutom att den som samlar in personuppgifter via ett formulär bedömer risken och sätter åtgärder utifrån den, och hanterar ett externt företag personuppgifter åt er krävs även ett biträdesavtal. Ett giltigt certifikat intygar bara rätt domän, inte att innehållet där är pålitligt.
Ett giltigt hänglås är ingen garanti för att resten av sajten är säker. Behandla HTTPS-kontrollen som en återkommande rutin efter varje ändring, i kombination med uppdateringar, begränsade behörigheter och en dokumenterad bedömning av vilka personuppgifter sajten hanterar.
Lägg in HTTPS-kontrollen efter publicering av nya sidor, efter designändring eller temabyte, och efter att ett formulär eller en integration lagts till: öppna sidan i inkognitoläge, granska konsolen för varningar och dokumentera vad ni kontrollerat. Ta in webbhotellet (jämför gärna webbhotell med SSL inkluderat) eller en extern leverantör om SSL-verktyget visar en trasig certifikatkedja ni inte rår på själva, om HSTS inte går att aktivera, eller om mixat innehåll kommer från ett tillägg ni inte äger koden till.
Nej. Hänglåset visar bara att trafiken mellan besökarens webbläsare och er server är krypterad. Det säger ingenting om huruvida formulär, tillägg eller inloggningar på sajten i övrigt är korrekt skyddade.
Vanligast är mixat innehåll: sidan laddas via HTTPS men hämtar en bild, ett skript eller ett typsnitt via vanlig HTTP. Webbläsaren blockerar eller flaggar det osäkra elementet även om själva certifikatet stämmer.
HSTS är en instruktion från servern om att webbläsaren aldrig ska försöka nå domänen via okrypterad HTTP under en angiven period, även om någon skriver eller länkar utan https://. Utan HSTS finns ett kort fönster där en första anslutning kan nedgraderas innan omdirigeringen hinner slå till.
Ja. HTTPS skyddar transporten, inte behörigheter, lösenord, föråldrade tillägg eller hur ni hanterar personuppgifter. Dataskyddsförordningen kräver att ni bedömer risk och sätter lämpliga tekniska och organisatoriska åtgärder utöver kryptering av trafiken.
Ja, de flesta gratis certifikat krypterar trafiken lika starkt som ett betalt certifikat och räcker för de flesta webbplatser, inklusive formulär som samlar in personuppgifter. Skillnaden ligger vanligtvis i valideringsnivån: ett gratis certifikat bekräftar att ni kontrollerar domänen, inte vilket bolag som står bakom den, vilket kan spela roll för vissa verksamheter.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan