Beskyt dit website med HTTPS

Beskyt dit website og dine brugere

Hvad er HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) er en kommunikationsprotokol på internettet, som beskytter integriteten og fortroligheden af data mellem brugerens computer og websitet. Brugere forventer at være beskyttede og private på nettet, når de bruger et website. Vi opfordrer dig til at bruge HTTPS for at beskytte brugernes forbindelser til dit website, uanset hvilket indhold der er på websitet.

Data, der sendes med HTTPS, sikres via protokollen Transport Layer Security (TLS), som giver beskyttelse på tre afgørende områder:

  1. Kryptering – kryptering af de udvekslede data, så de er beskyttet mod aflytning. Det betyder, at ingen kan "lytte" til en brugers samtaler, spore deres aktiviteter på tværs af flere sider, eller stjæle deres oplysninger, mens vedkommende læser en hjemmeside.
  2. Dataintegritet – data kan ikke ændres eller ødelægges under overførslen, hverken bevidst eller på anden måde, uden at det opdages.
  3. Godkendelse – beviser, at dine brugere kommunikerer med det tilsigtede website. Det beskytter mod mellemmandsangreb og øger brugernes tillid, hvilket udmønter sig i andre forretningsmæssige fordele.

Optimale løsninger ved implementering af HTTPS

Brug robuste sikkerhedscertifikater

Du skal have et sikkerhedscertifikat for at kunne aktivere HTTPS til dit website. Certifikatet udstedes af et nøglecenter (CA – Certificate Authority), der kontrollerer, at din webadresse reelt tilhører din organisation, og dermed beskytter dine kunder mod mellemmandsangreb. Når du konfigurerer dit certifikat, sikrer du et højt sikkerhedsniveau ved at vælge en 2048-bit nøgle. Hvis du allerede har et certifikat med en svagere nøgle (1024-bit), skal du opgradere det til 2048-bit. Når du vælger certifikat til dit website, skal du huske følgende:

  • Få dit certifikat fra et pålideligt nøglecenter, der tilbyder teknisk support.
  • Beslut, hvilken type certifikat du har brug for:
    • Enkelt certifikat til en enkelt sikker kilde (f.eks. www.example.com).
    • Multidomænecertifikat til flere kendte, sikre kilder (f.eks. www.example.com, cdn.example.com, example.co.uk).
    • Wildcard-certifikat til en sikker kilde med mange dynamiske underdomæner (f.eks. a.eksempel.com, b.eksempel.com).

Brug 301-omdirigeringer på serveren

Omdiriger dine brugere og søgemaskiner til HTTPS-siden eller -ressourcen ved hjælp af 301-omdirigeringer på serveren.

Kontrollér, om dine HTTPS-sider kan crawles og indekseres af Google

  • Undlad at blokere dine HTTPS-sider med robots.txt-filer.
  • Undlad at medtage metatags af typen noindex på dine HTTPS-sider.
  • Brug Googlebot-simulator til at teste, om Googlebot har adgang til dine sider.

Understøttelse af HSTS

Vi anbefaler, at HTTPS-websites understøtter HTTP Strict Transport Security (HSTS). HSTS fortæller browseren, at den automatisk skal anmode om sider, der anvender HTTPS, også selvom brugeren skriver http i browserens adresselinje. Den fortæller også Google, at vi skal vise sikre webadresser i søgeresultaterne. Alt dette minimerer risikoen for, at dine brugere får vist indhold, der ikke er beskyttet.

Du understøtter HSTS ved at bruge en webserver, der understøtter det, og aktivere funktionen.

HSTS er mere sikkert, men gør også din strategi for tilbagetrækning mere kompleks. Vi anbefaler, at du aktiverer HSTS på følgende måde:

  1. Start med at udgive dine HTTPS-sider uden HSTS.
  2. Begynd at sende HSTS-headere med en kortsigtet maksimal alder. Overvåg trafikken på dit website fra både brugere og andre klienter, og kig også på, hvordan nødvendige elementer såsom annoncer klarer sig.
  3. Øg langsomt den maksimale alder for HSTS.
  4. Hvis HSTS ikke påvirker dine brugere og søgemaskiner negativt, kan du, hvis du har lyst, anmode om at få føjet dit website til listen over HSTS-websites, der forudindlæses, som anvendes af de fleste førende browsere.

Overvej at bruge HSTS-forudindlæsning

Hvis du aktiverer HSTS, kan du tilvælge understøttelse af HSTS-forudindlæsning for at opnå ekstra sikkerhed og forbedret ydeevne. Du aktiverer forudindlæsning ved at gå til hstspreload.org og følge kravene til indsendelse på dit website.

Undgå disse almindelige faldgruber

Gennem hele processen med at beskytte dit website ved hjælp af TLS bør du undgå følgende fejl:

Problem Handling
Udløbne certifikater Sørg for, at dit certifikat altid er opdateret.
Certifikatet er registreret til et forkert websitenavn Tjek, at du har fået et certifikat for alle hostnavne, dit website viser. Hvis dit certifikat f.eks. kun gælder for www.eksempel.dk, bliver en besøgende, der indlæser din website med eksempel.dk (uden "www." foran), blokeret med en fejlmeddelelse om, at certifikatnavnet ikke stemmer overens med websitets navn.
Manglende understøttelse af Server name indication (SNI) Sørg for, at din webserver understøtter SNI, og at din målgruppe generelt benytter understøttede browsere. SNI understøttes af alle moderne browsere, men du skal alligevel have en dedikeret IP, hvis du har brug for at understøtte ældre browsere.
Gennemgangsproblemer Du skal ikke blokere gennemgang af dit HTTPS-website ved hjælp af robots.txt.
Indekseringsproblemer Tillad, at søgemaskiner indekserer dine sider, hvor det er muligt. Undgå metatagget noindex.
Gamle protokolversioner Gamle protokolversioner er sårbare. Sørg for at have de nyeste versioner af TLS-biblioteker, og implementer de nyeste protokolversioner.
Sammenblanding af sikkerhedselementer Sørg for kun at integrere HTTPS-indhold på HTTPS-sider.
Forskelligt indhold på HTTP og HTTPS Sørg for, at indholdet på dit HTTP- og HTTPS-website er ens.
HTTP-statuskodefejl på HTTPS Kontrollér, at dit website returnerer den korrekte HTTP-statuskode. Eksempel: 200 OK for tilgængelige sider eller 404 eller 410 for sider, der ikke findes.

Flere tips

See ofte stillede spørgsmål vedrørende HTTPS-migrering for at få flere tips til, hvordan du bruger HTTPS-sider på dit website.

Migrering fra HTTP til HTTPS

Hvis du migrerer dit website fra HTTP til HTTPS, behandler Google det som en flytning af websitet med webadresseændringer. Dette kan have en midlertidig indvirkning på nogle af dine trafiktal. Du kan få flere oplysninger på siden med oversigt over flytning af websites.

Føj den nye HTTPS-ejendom til Search Console: Search Console behandler HTTP og HTTPS særskilt. Data deles ikke mellem ejendomme i Search Console.

Se fejlfindingssiden for flytning af sitemaps for at finde og rette problemer med din migrering.

Flere oplysninger

Få flere oplysninger om implementering af TLS på dit website:

Var denne artikel nyttig?
Hvordan kan vi forbedre siden?