HTTPS står för HyperText Transfer Protocol Secure och är den krypterade versionen av HTTP, protokollet som överför webbsidor. När du ser HTTPS i adressfältet betyder det att kommunikationen mellan din webbläsare och webbservern är krypterad. I den här guiden förklarar vi vad HTTPS faktiskt är, hur det fungerar steg för steg, vad hänglåset egentligen betyder (och inte betyder) samt hur du på riktigt avgör om en sajt är säker.
Hänglåset betyder INTE att en sajt är säker att handla på eller litar på. Det betyder bara att anslutningen är krypterad. Phishing-sajter, bluffbutiker och sajter som sprider skadlig kod kan alla ha giltiga certifikat och visa hänglås. Gratis certifikat från Let’s Encrypt utfärdas till vem som helst med minimal identitetskontroll. Hänglås = krypterad väg, inte trovärdig mottagare.
Vad är skillnaden mellan HTTP och HTTPS?
Den grundläggande skillnaden mellan HTTP och HTTPS är kryptering. HTTP skickar all data i klartext, vilket betyder att internetleverantörer, nätverksoperatörer och angripare på samma nätverk kan läsa allt. HTTPS krypterar datan så att bara din webbläsare och servern kan läsa den.
| Egenskap | HTTP | HTTPS |
|---|---|---|
| Kryptering | Nej, klartext | Ja, via SSL/TLS |
| Dataintegritet | Kan manipuleras i transit | Skyddad mot manipulation |
| Serveridentitet | Overifierad | Verifierad via certifikat |
| Certifikat | Inget | SSL/TLS-certifikat krävs |
| Standardport | Port 80 | Port 443 |
| Browser-status | ”Inte säker” | Hänglås |
| SEO | Negativ rankingfaktor | Rankingsignal sedan 2014 |
SSL och TLS: vad är skillnaden?
Här är något de flesta artiklar förklarar fel. SSL och TLS är relaterade men inte samma sak:
- SSL (Secure Sockets Layer) var det ursprungliga krypteringsprotokollet från mitten av 1990-talet. Det är numera föråldrat och används inte längre, men namnet lever kvar.
- TLS (Transport Layer Security) är den moderna efterföljaren. TLS 1.3, släppt 2018, är den aktuella versionen, snabbare och säkrare än tidigare.
När folk säger ”SSL-certifikat” menar de egentligen ett TLS-certifikat. Namnet SSL har bara fastnat av historiska skäl. Fördjupa dig i vår guide om vad SSL är och skillnaden mot TLS. Undvik sajter som bara stödjer gamla TLS 1.0 eller 1.1, de har kända sårbarheter.
Hur fungerar HTTPS? TLS-handskakningen steg för steg
Innan någon data skickas genomför webbläsaren och servern en så kallad TLS-handskakning. Den tar bara millisekunder men består av flera steg. Här är vad som händer:
Efter handskakningen har både din webbläsare och servern samma hemliga sessionsnyckel som används för att kryptera all vidare kommunikation. Med TLS 1.3 görs detta ofta i en enda runda, vilket gör det snabbare än äldre versioner. HTTPS skyddar alltså tre saker samtidigt: sekretess (ingen läser datan), integritet (ingen ändrar den i transit) och autentisering (servern är den den utger sig för att vara).
Hänglås-myten: vad HTTPS faktiskt INTE garanterar
Detta är den viktigaste delen av artikeln, och det de flesta guider helt missar. Hänglåset i adressfältet har blivit synonymt med ”den här sajten är säker” i folkmun, men det är en farligt vilseledande tolkning.
Hänglåset betyder bara en sak: anslutningen mellan dig och sajten är krypterad. Det säger ingenting om sajtens innehåll eller avsikter. Phishing-sajter, sajter som sprider sabotageprogram och bluffbutiker kan alla skaffa giltiga certifikat. Eftersom Let’s Encrypt erbjuder gratis certifikat till vem som helst med minimal identitetskontroll kan även uppenbart kriminella sajter ha HTTPS och visa hänglås.
Moderna webbläsare har medvetet tonat ner hänglåsikonen, just för att folk felaktigt tolkade den som en trygghetsstämpel. Numera visas oftast bara en varningsikon för osäkra HTTP-sajter istället för ett framträdande hänglås för HTTPS. HTTPS är blivit normen, inte undantaget, så frånvaron av varning säger mer än hänglåsets närvaro.
Så avgör du om en sajt faktiskt är säker
Eftersom hänglåset inte räcker, här är vad du faktiskt ska kontrollera:
- Kontrollera HTTPS – adressen ska börja med https:// (på mobil kan det döljas, klicka då på adressfältet)
- Granska domännamnet noga – bedragare använder snarlika adresser (paypa1.com istället för paypal.com)
- Klicka på hänglåset – se vem certifikatet är utfärdat till och om det är giltigt
- Var skeptisk till för bra erbjudanden – HTTPS gör inte en bluffbutik seriös
- Leta efter företagsinformation – organisationsnummer, kontaktuppgifter, villkor
- Lita på webbläsarens varningar – ”Inte säker” eller certifikatfel ska tas på allvar
Sammanfattat: HTTPS är ett nödvändigt villkor men inte tillräckligt för att lita på en sajt. Det skyddar vägen, inte mottagaren.
Webbläsarvarningar: vad de betyder
Varje webbläsare visar säkerhetsstatus lite olika, men logiken är densamma. Här är de vanligaste varningarna och vad de innebär:
| Varning | Betyder | Vad du gör |
|---|---|---|
| ”Inte säker” / ”Not Secure” | Sajten använder HTTP, ingen kryptering | Ange aldrig lösenord eller kortuppgifter |
| Överstruket hänglås | Certifikatproblem eller mixed content | Var försiktig, undvik känslig data |
| ”Din anslutning är inte privat” | Certifikatfel, utgånget eller fel domän | Lämna sajten, gå inte vidare |
| Certifikat utgånget | Sajtens certifikat har gått ut | Vänta tills det är åtgärdat |
| Mixed content-varning | HTTPS-sajt med HTTP-element | Delvis okrypterat, var försiktig |
En särskilt viktig framtida förändring: Chrome aktiverar ”Always Use Secure Connections” som standard under 2026, vilket innebär att webbläsaren varnar innan den laddar någon publik HTTP-sajt. HTTP är på väg att fasas ut helt.
Mixed content och HSTS
Två tekniska begrepp värda att förstå. Mixed content är när en HTTPS-sajt laddar vissa element (bilder, skript) över osäker HTTP. Då kan webbläsaren ta bort hänglåset eller visa varning, eftersom de osäkra delarna kan avlyssnas eller manipuleras även om sidan i övrigt är krypterad.
HSTS (HTTP Strict Transport Security) är en mekanism där sajten instruerar webbläsaren att alltid använda HTTPS, även om användaren skriver http:// manuellt. Det stänger det lilla fönster där en angripare annars skulle kunna tvinga tillbaka besökaren till en osäker anslutning. Detta hänger ihop med riskerna på öppet wifi.
Vad HTTPS inte döljer
HTTPS krypterar innehållet i din trafik, men inte allt. Nätverksägaren och din internetleverantör ser fortfarande vilka domäner du besöker (även om inte exakt vilka sidor), tidpunkter och hur ofta. För att dölja även detta behövs ett VPN. Vill du dessutom kommunicera privat, se vår guide om anonym e-post. HTTPS är ett lager i en helhet, se vår pelar-guide om säkerhet på nätet.
Är det gratis att få ett certifikat?
Ja, det finns gratis alternativ. Let’s Encrypt, drivet av den icke-vinstdrivande organisationen ISRG, erbjuder gratis TLS-certifikat till alla. Det har varit en huvudorsak till att över 98 procent av webbtrafiken idag är krypterad. Betalcertifikat finns också och kan inkludera support, längre giltighetstid och försäkringar, men för grundläggande säkerhet räcker gratisvarianten utmärkt.
En tydlig trend: certifikatens giltighetstid krymper. Från tidigare ett till två år är Let’s Encrypt-certifikat nu 90 dagar, och giltighetstiden planeras kortas ytterligare framåt. Kortare livslängd minskar fönstret för att utnyttja komprometterade certifikat och tvingar fram automatisering av förnyelsen. För webbplatsägare betyder det att automatisk förnyelse (till exempel via certbot) är närmast ett krav.
HTTPS och SEO
HTTPS påverkar sökmotoroptimering direkt. Google har använt HTTPS som rankingsignal sedan 2014, och i praktiken är avsaknad av HTTPS idag en tydlig negativ rankingfaktor. Allt annat lika rankar Google en HTTPS-sida högre än en HTTP-sida. Dessutom sänker webbläsarvarningarna besökarnas förtroende och ökar avvisningsfrekvensen. För alla som bryr sig om synlighet är HTTPS inte förhandlingsbart.
Vad är en reverse proxy?
En reverse proxy är en server som tar emot användares förfrågningar och vidarebefordrar dem till backend-servrar. Den fungerar som en mellanhand med flera fördelar för HTTPS:
- Lastbalansering – fördelar trafik mellan flera backend-servrar
- Säkerhet – döljer backend-servrar från direkt åtkomst
- Centraliserad TLS-terminering – hanterar kryptering på ett ställe, vilket förenklar certifikathantering
- Caching – förbättrar prestanda genom att cachelagra innehåll
För de flesta vanliga användare är detta bakomliggande infrastruktur, men det är bra att känna till hur HTTPS hanteras storskaligt.
Vanliga frågor om HTTPS
Vad betyder HTTPS?
HTTPS står för HyperText Transfer Protocol Secure. Det är den krypterade versionen av HTTP, protokollet som överför webbsidor. ”S” står för Secure och innebär att kommunikationen mellan webbläsaren och servern är krypterad via SSL/TLS, vilket skyddar mot avlyssning och manipulation.
Vad är skillnaden mellan HTTP och HTTPS?
HTTP skickar data i klartext som kan läsas av vem som helst på vägen. HTTPS krypterar datan via SSL/TLS så att bara din webbläsare och servern kan läsa den. HTTPS verifierar också serverns identitet och skyddar mot manipulation. HTTP använder port 80, HTTPS port 443.
Betyder hänglåset att en sajt är säker?
Nej, det är en vanlig missuppfattning. Hänglåset betyder bara att anslutningen är krypterad, inte att sajten är seriös. Phishing-sajter och bluffbutiker kan ha giltiga certifikat och visa hänglås. Kontrollera alltid domännamnet och var skeptisk oavsett hänglås.
Vad är skillnaden mellan SSL och TLS?
SSL var det ursprungliga protokollet från 1990-talet och är numera föråldrat. TLS är den moderna efterföljaren, där TLS 1.3 är aktuell version. När folk säger ”SSL-certifikat” menar de egentligen ett TLS-certifikat, namnet SSL har bara fastnat av historiska skäl.
Vilken port använder HTTPS?
HTTPS använder vanligtvis port 443. Det är standardporten för krypterad webbtrafik och gör att webbläsare vet att de ska använda kryptering. Det går att konfigurera andra portar men då måste portnumret anges i URL:en, och vissa brandväggar kan blockera icke-standardportar.
Hur vet jag om en sajt använder HTTPS?
Titta i adressfältet, det ska börja med https:// istället för http://. På mobil kan detta döljas, klicka då på adressfältet för att se hela URL:en. Du kan också klicka på hänglåsikonen för att se certifikatinformation och vem det är utfärdat till.
Varför säger webbläsaren ”Inte säker”?
Det betyder att sajten använder HTTP utan kryptering, eller att det finns ett certifikatproblem. Ange aldrig lösenord eller kortuppgifter på en sida som visar ”Inte säker”. Sedan 2018 markerar Chrome alla HTTP-sidor på detta sätt, och HTTP fasas ut alltmer.
Är det gratis att skaffa HTTPS?
Ja. Let’s Encrypt, drivet av den icke-vinstdrivande ISRG, erbjuder gratis TLS-certifikat till alla. Det har gjort att över 98 procent av webbtrafiken idag är krypterad. Betalcertifikat finns med extra support och försäkringar men gratisvarianten räcker för grundläggande säkerhet.
Vad är mixed content?
Mixed content är när en HTTPS-sajt laddar vissa element som bilder eller skript över osäker HTTP. Då kan webbläsaren ta bort hänglåset eller varna, eftersom de osäkra delarna kan avlyssnas även om resten av sidan är krypterad. Det är vanligt på sajter migrerade från äldre system.
Vad är HSTS?
HSTS (HTTP Strict Transport Security) är en mekanism där sajten instruerar webbläsaren att alltid använda HTTPS, även om användaren skriver http:// manuellt. Det stänger fönstret där en angripare annars kunde tvinga tillbaka besökaren till en osäker anslutning.
Skyddar HTTPS mot allt?
Nej. HTTPS krypterar innehållet men nätverksägaren och internetleverantören ser fortfarande vilka domäner du besöker, tidpunkter och hur ofta. För att dölja även detta behövs ett VPN. HTTPS skyddar inte heller mot phishing eller skadlig kod på själva sajten.
Påverkar HTTPS min sajts SEO?
Ja, betydligt. Google har använt HTTPS som rankingsignal sedan 2014. Idag är avsaknad av HTTPS en tydlig negativ rankingfaktor. Allt annat lika rankar Google en HTTPS-sida högre, och webbläsarvarningar på HTTP-sajter ökar avvisningsfrekvensen.
Varför har certifikat så kort giltighetstid nu?
Certifikatens giltighetstid krymper medvetet, från tidigare år till nu 90 dagar för Let’s Encrypt, med planer på ännu kortare. Kortare livslängd minskar fönstret för att utnyttja komprometterade certifikat och tvingar fram automatisk förnyelse, vilket höjer säkerheten överlag.
Kan en HTTP-sajt vara säker att besöka?
För att bara läsa information kan en HTTP-sajt vara acceptabel, men ange aldrig lösenord, personuppgifter eller betalningsinformation på en HTTP-sida eftersom allt skickas i klartext. Webbläsare varnar idag aktivt och HTTP fasas ut. Undvik HTTP-sajter för allt som involverar data.
Vad är TLS 1.3?
TLS 1.3 är den senaste versionen av TLS-protokollet, släppt 2018. Den är snabbare och säkrare än tidigare versioner, bland annat genom att handskakningen ofta klaras på en enda runda. Undvik sajter som bara stödjer gamla TLS 1.0 eller 1.1 eftersom de har kända sårbarheter.
Sofia Lindgren ansvarar för redaktionens bevakning av IT-säkerhet och integritetsfrågor. Med sin journalistiska bakgrund följer hon dagligen utvecklingen inom cybersäkerhet, dataläckor och digital integritet. Hon skriver analyser om hur nya säkerhetshot påverkar användare och företag.