Säkra din webbplats med HTTPS

Skydda din webbplats och dina användare

Vad är HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) är ett kommunikationsprotokoll för internet som skyddar data från manipulation och avlyssning mellan användarens dator och webbplatsen. Användarna förväntar sig att webbplatserna de besöker är säkra. Vi rekommenderar att du använder HTTPS så att användarnas anslutningar till webbplatsen skyddas, oavsett vad webbplatsen handlar om.

Med HTTPS skyddas uppgifterna via protokollet Transport Layer Security (TLS) som är ett skydd indelat i tre lager:

  1. Kryptering – krypterar data så att den inte kan avlyssnas. Det innebär att ingen kan "lyssna" på en användares konversationer när han eller hon surfar på en webbplats. Ingen kan heller spåra användarens aktiviteter över flera sidor eller stjäla användarens uppgifter.
  2. Datasekretess – data kan inte, vare sig avsiktligt eller oavsiktligt, ändras eller korrumperas under överföringen utan att detta upptäcks.
  3. Autentisering – bevisar att användarna kommunicerar med rätt webbplats. Detta skyddar mot man-i-mitten-attacker och bygger upp kundernas förtroende, vilket i sin tur innebär ytterligare fördelar för företaget.

Bästa metoderna för att implementera HTTPS

Använd robusta säkerhetscertifikat

När du aktiverar HTTPS för webbplatsen måste du ha ett säkerhetscertifikat. Certifikatet utfärdas av en certifikatutfärdare som vidtar åtgärder för att bekräfta att webbplatsen faktiskt tillhör din organisation. På så sätt skyddas dina kunder från man-i-mitten-attacker. Använd en 2 048-bitarsnyckel när du konfigurerar certifikatet för att få en så hög säkerhetsnivå som möjligt. Om du redan har ett certifikat med en svagare nyckel (1 024 bitar) uppgraderar du till 2 048 bitar. Tänk på följande när du väljer webbplatscertifikat:

  • Hämta ditt certifikat från en pålitlig certifikatutfärdare som erbjuder teknisk support.
  • Bestäm vilken typ av certifikat du behöver:
    • Enkelt certifikat för en enda säker källa (t.ex. www.example.com).
    • Flerdomänscertifikat för flera välkända säkra källor (t.ex. www.example.com, cdn.example.com, example.se).
    • Jokercertifikat för en säker källa med många dynamiska underdomäner (t.ex. a.example.com, b.example.com).

Använd 301-omdirigeringar på serversidan

Dirigera om användare och sökmotorer till HTTPS-sidan eller HTTPS-resursen med 301-omdirigering på serversidan.

Verifiera att Google kan genomsöka och indexera HTTPS-sidorna

  • Blockera inte HTTPS-sidorna med robots.txt-filer.
  • Använd inte taggen meta noindex på HTTPS-sidorna.
  • Testa att Googlebot har åtkomst till dina sidor med hjälp av Hämta som Google.

Använd HSTS

Vi rekommenderar att HTTPS-webbplatser använder HSTS (HTTP Strict Transport Security). HSTS gör att webbläsaren begär HTTPS-sidor automatiskt även om användaren skriver http i adressfältet. Den ser också till att Google visar säkra webbadresser i sökresultaten. Allt detta minskar risken att osäkert innehåll visas för dina användare.

Du använder HSTS genom att använda en webbserver som har stöd för det och aktivera HSTS.

HSTS är säkrare, men gör även att återställningen blir mer komplicerad. Vi rekommenderar att du aktiverar HSTS som följer:

  1. Lansera HTTPS-sidorna utan HSTS först.
  2. Börja skicka ut HSTS-huvuden med en kort tidsgräns (max-age). Övervaka trafiken både från användare och andra klienter liksom prestanda för underordnade objekt som annonser.
  3. Öka långsamt max-age för HSTS.
  4. Om HSTS inte påverkar användare och sökmotorer negativt kan du om du vill begära att få webbplatsen tillagd i listan för HSTS-förinläsning, vilken används av de flesta stora webbläsare.

Använd gärna HSTS-förinläsning

Om du aktiverar HSTS har du möjlighet att använda HSTS-förinläsning, vilket ger extra skydd och bättre prestanda. Om du vill aktivera förinläsning måste du besöka hstspreload.org och uppfylla kraven för anmälan för din webbplats.

Undvik de här vanliga misstagen

Undvik följande misstag när du gör sidan säker med hjälp av TLS:

Problem Åtgärd
Certifikaten har upphört att gälla Kontrollera att certifikaten är aktuella.
Certifikatet har registrerats för fel webbplatsnamn Kontrollera att du har fått ett certifikat för alla värdnamn som webbplatsen visas på. Om certifikatet endast omfattar www.example.com blockeras åtkomsten för användare som läser in webbplatsen med endast example.com (utan prefixet www.) på grund av att certifikatet inte överensstämmer med värdnamnet,
Stöd för servernamnindikator (SNI) saknas Kontrollera att webbservern har stöd för SNI och att användarna i allmänhet använder webbläsare som stöds. Även om SNI stöds av alla moderna webbläsare måste du ha en dedikerad IP-adress om du behöver stöd för äldre webbläsare.
Genomsökningsfel Blockera inte HTTPS-webbplatsen från genomsökning med robots.txt.
Indexeringsproblem Tillåt om möjligt sökmotorindexering av sidan. Undvik metataggen noindex.
Gamla protokollversioner Gamla protokollversioner är sårbara. Kontrollera att du använder de senaste versionerna av TLS-biblioteken och implementera de senaste protokollversionerna.
Blandade säkerhetselement Bädda endast in HTTPS-innehåll på HTTPS-sidor.
Olika innehåll på HTTP och HTTPS Kontrollera att innehållet på HTTP-webbplatsen och HTTPS-webbplatsen är samma.
Fel i HTTP-statuskoden på HTTPS Kontrollera att webbplatsen returnerar rätt HTTP-statuskod. Till exempel 200 OK för tillgängliga sidor, eller 404 eller 410 för sidor som inte finns.

Fler tips

På sidan med vanliga frågor om HTTPS-migrering finns fler tips om hur du använder HTTPS-sidor på webbplatsen.

Migrering från HTTP till HTTPS

Om du migrerar webbplatsen från HTTP till HTTPS betraktar Google det som en webbplatsflytt med adressändring. Det kan påverka trafiksiffrorna tillfälligt. På översiktssidan om att flytta webbplatser finns mer information.

Lägg till HTTPS-egendomen i Search Console. Search Console skiljer på HTTP och HTTPS. Data från de respektive egendomarna delas inte i Search Console. Om båda protokollen används på dina sidor behöver du ha en egendom i Search Console för vart och ett av dem,

Mer information

Mer information om implementering av TLS på webbplatsen:

Var den här artikeln till hjälp?
Hur kan vi förbättra den?