Sök
Rensa sökning
Stäng sökrutan
Googles appar
Huvudmeny

Säkra din webbplats med HTTPS

Skydda din webbplats och dina användare

Vad är HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) är ett kommunikationsprotokoll för internet som skyddar data från manipulation och avlyssning mellan användarens dator och webbplatsen. Användarna förväntar sig att webbplatserna de besöker är säkra. Vi rekommenderar att du använder HTTPS så att användarnas anslutning till webbplatsen skyddas, oavsett vad webbplatsen handlar om.

Med HTTPS skyddas uppgifterna via protokollet Transport Layer Security (TLS) som är ett skydd indelat i tre lager:

  1. Kryptering – krypterar data så att den inte kan avlyssnas. Det innebär att ingen kan "lyssna" på en användares konversationer när han eller hon surfar på en webbplats. Ingen kan heller spåra användarens aktiviteter över flera sidor eller stjäla användarens uppgifter.
  2. Datasekretess – data kan inte, vare sig avsiktligt eller oavsiktligt, ändras eller korrumperas under överföringen utan att detta upptäcks.
  3. Autentisering – bevisar att användarna kommunicerar med rätt webbplats. Detta skyddar mot man-i-mitten-attacker och bygger upp kundernas förtroende, vilket i sin tur innebär ytterligare fördelar för företaget.

Bästa metoderna för att implementera HTTPS

Använd robusta säkerhetscertifikat

När du aktiverar HTTPS för webbplatsen måste du ha ett säkerhetscertifikat. Certifikatet utfärdas av en certifikatutfärdare som vidtar åtgärder för att bekräfta att webbplatsen faktiskt tillhör din organisation. På så sätt skyddas dina kunder från man-i-mitten-attacker. Använd en 2 048-bitarsnyckel när du konfigurerar certifikatet för att få en så hög säkerhetsnivå som möjligt. Om du redan har ett certifikat med en svagare nyckel (1 024 bitar) uppgraderar du till 2 048 bitar. Tänk på följande när du väljer webbplatscertifikat:

  • Hämta ditt certifikat från en pålitlig certifikatutfärdare som erbjuder teknisk support.
  • Bestäm vilken typ av certifikat du behöver:
    • Enkelt certifikat för en enda säker källa (t.ex. www.example.com).
    • Flerdomänscertifikat för flera välkända säkra källor (t.ex. www.example.com, cdn.example.com, example.se).
    • Jokercertifikat för en säker källa med många dynamiska underdomäner (t.ex. a.example.com, b.example.com).

Använd 301-omdirigeringar på serversidan

Dirigera om användare och sökmotorer till HTTPS-sidan eller HTTPS-resursen med 301-omdirigering på serversidan.

Verifiera att Google kan genomsöka och indexera HTTPS-sidorna

  • Blockera inte HTTPS-sidorna med robots.txt-filer.
  • Använd inte taggen meta noindex på HTTPS-sidorna.
  • Testa att Googlebot har åtkomst till dina sidor med hjälp av Hämta som Google.

Använd HSTS

Vi rekommenderar att HTTPS-webbplatser använder HSTS. HSTS gör att webbläsaren begär HTTPS-sidor automatiskt även om användaren skriver http i adressfältet. Den ser också till att Google visar säkra webbadresser i sökresultaten. Allt detta minskar risken att osäkert innehåll visas för dina användare.

Du gör detta genom att använda en webbserver som har stöd för HTTP Strict Transport Security (HSTS) och aktivera HSTS.

 Med HSTS blir återställningen mer komplicerad. Vi rekommenderar att du aktiverar HSTS som följer:

  1. Lansera HTTPS-sidorna utan HSTS först.
  2. Börja skicka ut HSTS-huvuden med en kort tidsgräns (max-age). Övervaka trafiken både från användare och andra klienter liksom prestanda för underordnade objekt som annonser.
  3. Öka långsamt max-age för HSTS.
  4. Om HSTS inte påverkar användare och sökmotorer negativt kan du om du vill begära att få webbplatsen tillagd i listan för HSTS-förinläsning i Chrome.

Använd gärna HSTS-förinläsning

Om du aktiverar HSTS har du möjlighet att använda HSTS-förinläsning som ett extra skydd. Om du vill aktivera detta måste du besöka hstspreload.org och uppfylla kraven för anmälan för din webbplats.

includeSubDomains

Om du vill använda HSTS-förinläsning måste du ange direktivet includeSubDomains i HSTS-huvudet. Så här matchas underdomäner: om webbplatsen www.example.com skickar ett HSTS-huvud med includeSubdomains skulle följande domäner matchas:

Inställningen includeSubDomains = sant för webbplatsen www.example.com
Webbadress Tillåten?
www.example.com Matchar
foo.www.example.com Matchar
example.com Matchar inte
foo.example.com Matchar inte

Undvik de här vanliga misstagen

Undvik följande misstag när du gör sidan säker med hjälp av TLS:

Problem Åtgärd
Certifikaten har upphört att gälla Kontrollera att certifikaten är aktuella.
Certifikatet har registrerats för fel webbplatsnamn Kontrollera att du har registrerat certifikatet för rätt värdnamn. Om du till exempel registrerat certifikatet för www.example.com och webbplatsen har konfigurerats för att använda example.com överensstämmer inte certifikatet med värdnamnet och ett fel uppstår.
Stöd för servernamnindikator (SNI) saknas Kontrollera att webbservern har stöd för SNI och att användarna i allmänhet använder webbläsare som stöds. Även om SNI stöds av alla moderna webbläsare måste du ha en dedikerad IP-adress om du behöver stöd för äldre webbläsare.
Genomsökningsfel Blockera inte HTTPS-webbplatsen från genomsökning med robots.txt.
Indexeringsproblem Tillåt om möjligt sökmotorindexering av sidan. Undvik metataggen noindex.
Gamla protokollversioner Gamla protokollversioner är sårbara. Kontrollera att du använder de senaste versionerna av TLS-biblioteken och implementera de senaste protokollversionerna.
Blandade säkerhetselement Bädda endast in HTTPS-innehåll på HTTPS-sidor.
Olika innehåll på HTTP och HTTPS Kontrollera att innehållet på HTTP-webbplatsen och HTTPS-webbplatsen är samma.
Fel i HTTP-statuskoden på HTTPS Kontrollera att webbplatsen returnerar rätt HTTP-statuskod. Till exempel 200 OK för tillgängliga sidor, eller 404 eller 410 för sidor som inte finns.

Fler tips

På sidan med vanliga frågor om HTTPS-migrering finns fler tips om hur du använder HTTPS-sidor på webbplatsen.

Migrering från HTTP till HTTPS

Om du migrerar webbplatsen från HTTP till HTTPS betraktar Google det som en webbplatsflytt med adressändring. Det kan påverka trafiksiffrorna tillfälligt. På översiktssidan om att flytta webbplatser finns mer information.

Lägg till HTTPS-egendomen i Search Console. Search Console skiljer på HTTP och HTTPS. Data från de respektive egendomarna delas inte i Search Console. Om båda protokollen används på dina sidor behöver du ha en egendom i Search Console för vart och ett av dem,

Mer information

Mer information om implementering av TLS på webbplatsen:

Var den här artikeln till hjälp?
Hur kan vi förbättra den?