Https betydning

HTTPS er en udvidelse af HTTP, hvor forbindelsen beskyttes af Transport Layer Security (TLS). Formålet er at sikre:

• Fortrolighed: Indholdet krypteres, så tredjeparter ikke kan læse trafikken.
• Integritet: Data kan ikke ubemærket ændres undervejs.
• Autentificering: Klienten (typisk en browser) kan verificere serverens identitet via digitale certifikater.

HTTPS bruges til alt fra internetbank og webshops til nyhedssider og offentlige tjenester. Protokollen kører som standard på port 443 og angives i URL’er med skemaet https://.

• HTTP står for Hypertext Transfer Protocol.
• HTTPS udlæses ofte som HTTP Secure eller mere formelt Hypertext Transfer Protocol Secure.
• ”S” angiver tilføjelsen af et krypteringslag (TLS) oven på HTTP.

• TLS-handshake: Klient og server forhandler versioner og krypteringsmetoder, udveksler nøgler og etablerer en delt sessionsnøgle.
• Certifikater: Serveren præsenterer et X.509-certifikat udstedt af en Certificate Authority (CA). Browseren validerer kæden til en betroet rodcertifikatautoritet.
• Kryptering: Efter handshake anvendes symmetrisk kryptering (fx AES-GCM eller ChaCha20-Poly1305) for hastighed og sikkerhed.
• TLS-versioner: TLS 1.2 og 1.3 er udbredte; ældre versioner (SSL 2.0/3.0, TLS 1.0/1.1) er udfaset af sikkerhedsgrunde.
• HTTP/2 og HTTP/3: Moderne HTTP-versioner kører typisk over TLS; HTTP/3 bruger QUIC med indbygget TLS 1.3.
• Udvidelser: SNI (Server Name Indication) til virtual hosts, ALPN for protokolvalg, OCSP stapling for hurtigere revokationsstatus.
• HSTS: HTTP Strict Transport Security låser domænet til HTTPS og forhindrer nedgradering til ukrypteret HTTP.

• I URL’er: https://eksempel.dk, https://api.eksample.com/v1/.
• Som betegnelse i tekst: ”Sørg for at websitet kører på https.”, ”Aktivér en https-forbindelse”.
• Browseradfærd: Adresselinjen viser skemaet https://; moderne browsere markerer usikre HTTP-sider som ”Ikke sikker”.
• Omstilling: ”Vi omdirigerer alle HTTP-forespørgsler til HTTPS.”
• Certifikathåndtering: ”Domænet har et DV-certifikat fra en automatisk CA.”
• Fejl: ”Certifikatet er udløbet.”, ”Navnemismatch mellem certifikat og domæne.”, ”Blandet indhold blokeret.”
• Kommandolinje:

  • Hente headers: curl -I https://eksempel.dk
  • Tjekke certifikat: openssl s_client -connect eksempel.dk:443 -servername eksempel.dk

• Næsten-synonymer: ”HTTP over TLS/SSL”, ”Sikker HTTP”.
• Relaterede termer:

  • TLS (Transport Layer Security): Krypteringsprotokollen bag HTTPS.
  • SSL (Secure Sockets Layer): Forløber for TLS; betegnelsen bruges stadig i daglig tale, men SSL er forældet.
  • CA (Certificate Authority), PKI (Public Key Infrastructure), HSTS, OCSP, SNI, ALPN.

• HTTP (ukrypteret): Al trafik sendes i klartekst; let at aflytte og manipulere.
• Blandet indhold: En HTTPS-side, der indlæser ressourcer via HTTP, underminerer sikkerheden.
• Nedgraderingsangreb: Forsøg på at tvinge en forbindelse fra HTTPS til HTTP; HSTS modvirker dette.

• 1990’erne: SSL 2.0/3.0 introduceres for at sikre HTTP.
• 1999: TLS 1.0 standardiseres som afløser for SSL.
• 2008: TLS 1.2 bliver standarden for sikre forbindelser.
• 2015: Udbredelsen accelererer bl.a. via gratis og automatiserede certifikater.
• 2015-2018: HTTP/2 vinder indpas; browsere begynder at markere HTTP som ”ikke sikker”.
• 2018: TLS 1.3 standardiseres; hurtigere handshake og stærkere sikkerhed.
• 2020’erne: HTTP/3/QUIC udbredes; brugen af HTTPS er blevet normen på størstedelen af webtrafikken.

• Fordele:

  • Beskyttelse af brugerdata (logins, betalingsoplysninger, formularer).
  • Integritet af leveret indhold (ingen uautoriseret indsættelse af annoncer/malware).
  • Bedre SEO og bruger-tillid.

• Begrænsninger/misforståelser:

  • HTTPS betyder ikke, at et website er troværdigt indholdsmæssigt-kun at forbindelsen er sikker.
  • Sikkerheden afhænger af korrekt konfiguration (certifikat, ciphers, HSTS, osv.).

• Brug TLS 1.2 eller 1.3; deaktiver forældede protokoller og svage ciphers.
• Opsæt automatisk fornyelse af certifikater og overvåg udløbsdatoer.
• Aktivér HSTS (helst med preload, når alt er korrekt konfigureret).
• Omdiriger permanent (301) al HTTP-trafik til HTTPS.
• Undgå blandet indhold; hent alle ressourcer via HTTPS.
• Aktivér OCSP stapling; brug SNI ved flere domæner på samme IP.
• Vælg moderne chifre med Perfect Forward Secrecy (fx ECDHE).

• Udløbet certifikat: Forny certifikatet og genindlæs serveren.
• Domænemismatch: Sørg for at certifikatets Common Name/SAN matcher domænet og eventuelle subdomæner.
• Selvsigneret certifikat: Brug kun internt; installer betroet CA-certifikat til offentlige sites.
• Blandet indhold: Opdater alle ressource-URLs til HTTPS.
• Svage indstillinger: Test med værktøjer som ”SSL Labs Server Test” og ret konfigurationen.

• Stavning: ”https” skrives typisk med små bogstaver i løbende tekst.
• Udtale: Ofte bogstav for bogstav: ”h-t-t-p-s”.
• Sammensætninger: ”https-forbindelse”, ”https-adresse”, ”https-certifikat”. Bindestreg gør læsningen klarere.

• Er HTTPS det samme som SSL? Nej. SSL er den forældede forgænger; moderne HTTPS bruger TLS.
• Garanterer HTTPS, at et site er pålideligt? Nej. Det garanterer en sikker forbindelse, ikke kvaliteten af indhold eller udbyder.
• Skal alle sider bruge HTTPS? Ja, i praksis. Det beskytter brugere, aktiverer moderne webfunktioner og undgår advarsler.
• Påvirker HTTPS hastigheden? Med nutidens hardware/protokoller er HTTPS typisk lige så hurtigt eller hurtigere (HTTP/2/3).

• Certificate Transparency (CT): Offentlige logge, der gør det muligt at opdage fejlagtigt udstedte certifikater.
• EV/OV/DV-certifikater: Forskellige valideringsniveauer; DV er mest udbredt.
• Wildcard- og SAN-certifikater: Dækker flere subdomæner eller navne i ét certifikat.