https
Så funkar det

Så fungerar det krypterade webbprotokollet HTTPS

HTTPS (Hypertext Transfer Protocol Secure) är det krypterade alternativet till HTTP och utgör grunden för säker kommunikation på webben. När du skriver https:// i adressfältet, eller klickar på en länk som börjar med https., upprättar din webbläsare en krypterad anslutning via port 443 till webbservern med hjälp av TLS-protokollet (Transport Layer Security). Den nuvarande standarden är TLS 1.3, som standardiserades av IETF i augusti 2018 (RFC 8446) och som hade nått 75,3 procent adoption bland världens topp-webbplatser i juni 2025. HTTPS är idag närmast universellt på den moderna webben: cirka 98 procent av all webbtrafik som laddas i Chrome är krypterad, mot bara 40 procent 2014. Det här är hela genomgången av HTTPS: hur det fungerar tekniskt, skillnaden mot HTTP, vilka certifikat som finns, vad HSTS och Certificate Transparency gör, hur TLS-handshaken går till, samt vad post-kvantkryptografi innebär för framtiden.

Snabbfakta om HTTPS

  • Står för: Hypertext Transfer Protocol Secure
  • Standardport: 443 (HTTP använder port 80)
  • Krypteringsprotokoll: TLS 1.3 (RFC 8446, augusti 2018)
  • TLS 1.3 adoption (topp-webbplatser): 75,3 procent (juni 2025)
  • HTTPS-andel global webbtrafik: 88-95 procent
  • HTTPS-andel Chrome-trafik: Cirka 98 procent (2026)
  • HTTPS-andel HTTPS-trafik på Android: Över 99 procent (oktober 2025)
  • Totalt antal SSL-certifikat globalt: Över 110 miljoner (januari 2026)
  • Största certifikatutfärdaren: Let’s Encrypt (54,73-63,9 procent marknadsandel)
  • Certifikat-typer: DV (94,4 procent), OV (5,5 procent), EV (0,1 procent)
  • HTTPS-säkerhetslager: HSTS, Certificate Transparency, Forward Secrecy
  • HTTPS-handshake TLS 1.3: 1 round-trip (vs 2 i TLS 1.2)
  • Senaste HTTP-version: HTTP/3 över QUIC (kräver HTTPS)
  • Nästa migration: Post-quantum cryptography (NIST 2024)
  • SEO-effekt: Googles ranking-signal sedan augusti 2014
  • Phishing-fakta: 87 procent av phishing-sajter använder valida SSL-certifikat 2026

Vad är HTTPS?

HTTPS-protokollet med hänglås krypterar webbtrafik via TLS 1.3
HTTPS-andel av Chrome-trafik 2014-2026Procent krypterad trafik. Från 40 procent 2014 till 98 procent 2026.100%75%50%25%020142016201820202022202420262015: Let’s Encrypt2018: TLS 1.3 standardiserad

HTTPS är säkerhetsversionen av HTTP, det protokoll som ligger till grund för all webbkommunikation. Bokstaven ”S” står för ”Secure” och innebär att kommunikationen mellan din webbläsare och webbservern är krypterad så att tredje part inte kan läsa eller manipulera datan på vägen. När du tittar i adressfältet ser du att en HTTPS-säkrad webbplats börjar med https:// och oftast har ett litet hänglås bredvid. HTTP-trafik (utan S) är däremot helt okrypterad och kan läsas av vem som helst på samma nätverk, exempelvis i offentliga wifi-nät.

Det är värt att förstå att HTTPS inte är ett separat protokoll utan HTTP som körs över ett krypteringsskikt. Detta krypteringsskikt heter TLS (Transport Layer Security), eller historiskt SSL (Secure Sockets Layer), och kapslar in den vanliga HTTP-trafiken i en krypterad tunnel. Webbservern lyssnar på TCP-port 443 för HTTPS-anslutningar, jämfört med port 80 för okrypterad HTTP. Det är samma underliggande HTTP-protokoll som transporteras inuti, men ingen mellanhand kan se vad som skickas eller ändra det.

Skillnaden mellan HTTP och HTTPS

Skillnaden mellan HTTP och HTTPS är fundamental för hur säker dataöverföring på webben fungerar. HTTP skickar all data i klartext, vilket innebär att lösenord, kreditkortsnummer, sökhistorik och allt annat innehåll kan avläsas av alla mellan dig och webbservern. HTTPS skickar samma data inuti en krypterad TLS-tunnel där endast din webbläsare och servern kan läsa innehållet. Detta är skillnaden mellan att skicka ett vykort (HTTP) och ett förseglat kuvert (HTTPS).

Egenskap HTTP HTTPS
Standardport 80 443
Kryptering Ingen (klartext) TLS 1.2 eller 1.3
Krav på certifikat Nej Ja (SSL/TLS-certifikat)
Avlyssning möjlig Ja, mycket lätt Nej, kräver att man bryter kryptering
Integritetsskydd Nej, kan manipuleras Ja, manipulation upptäcks
Browser-indikering ”Inte säker” varning Hänglås-ikon
Stöd för HTTP/2 och HTTP/3 Begränsat (TLS krävs i praktiken) Fullt stöd
SEO-rankingfaktor Nej Ja (sedan 2014)

Sedan oktober 2017 markerar Google Chrome alla HTTP-sajter som ”Inte säker”, och från Chrome 90 (april 2021) använder webbläsaren HTTPS som standard när användare bara skriver in en domän utan protokoll. Mozilla Firefox och Apple Safari har gjort motsvarande ändringar. Detta är den huvudsakliga anledningen till att HTTPS-adoption har gått från 40 procent 2014 till 98 procent på Chrome 2026.

Så fungerar HTTPS tekniskt: TLS-handshaken

När din webbläsare ansluter till en HTTPS-säkrad webbplats sker en process som kallas TLS-handshake innan någon faktisk webbsidedata skickas. Handshaken är kritisk eftersom den fastställer vilka krypteringsalgoritmer som ska användas, autentiserar serverns identitet via certifikatet, och förhandlar fram de sessionsnycklar som används för att kryptera resten av kommunikationen. I TLS 1.3 sker hela handshaken på en enda round-trip (en signal fram och tillbaka), vilket är hälften så snabbt som TLS 1.2 som krävde två round-trips.

Stegen i en TLS 1.3-handshake är: först skickar klienten ett ClientHello-meddelande med vilka kryptoalgoritmer som stöds. Servern svarar med ServerHello, sitt SSL/TLS-certifikat och en EncryptedExtensions-del. Klienten verifierar certifikatet mot en lista av betrodda Certificate Authorities (CA) som finns i operativsystemet eller webbläsaren. Om certifikatet är giltigt skapas sessionsnycklar genom asymmetrisk kryptering (typiskt ECDHE för perfect forward secrecy), och resten av sessionen krypteras symmetriskt med AES eller ChaCha20. Den tekniska detalj är att TLS 1.3 har eliminerat alla osäkra äldre kryptosviter, vilket gör protokollet betydligt säkrare än TLS 1.2 enligt IETF:s officiella TLS 1.3-specifikation RFC 8446.

Symmetrisk och asymmetrisk kryptering i HTTPS

HTTPS använder en kombination av asymmetrisk och symmetrisk kryptering. Asymmetrisk kryptering, som RSA eller ECDSA, använder ett nyckelpar där den ena nyckeln är publik (känd av alla) och den andra privat (känd bara av servern). Detta används initialt för att verifiera serverns identitet och säkert utbyta en delad hemlig sessionsnyckel. När sessionsnyckeln är etablerad används symmetrisk kryptering (AES-256 eller ChaCha20) för all dataöverföring, eftersom symmetrisk kryptering är många storleksordningar snabbare än asymmetrisk. Denna hybridmodell ger både säker autentisering och hög hastighet.

SSL-certifikat och Certificate Authorities

För att en webbplats ska kunna använda HTTPS krävs ett SSL-certifikat (även kallat TLS-certifikat) utfärdat av en betrodd Certificate Authority (CA). Certifikatet är en kryptografiskt signerad fil som bevisar att webbplatsens ägare faktiskt kontrollerar den angivna domänen. För djupare information om certifikat finns Monc:s separata guide om vad SSL är. Det globala antalet SSL-certifikat har passerat 110 miljoner i januari 2026, och 93 procent av alla certifikat kommer från endast tre utfärdare.

Marknadsledaren är Let’s Encrypt, en non-profit organisation som tillhandahåller gratis automatiserade SSL-certifikat sedan 2015. Let’s Encrypt har enligt organisationens egen statistik utfärdat över 1 miljard certifikat och har idag en marknadsandel mellan 54,73 och 63,9 procent beroende på mätmetod. Övriga stora aktörer inkluderar DigiCert, GlobalSign, Sectigo och GoDaddy. Det är värt att notera att 94,4 procent av alla SSL-certifikat är så kallade DV-certifikat (Domain Validation), medan OV-certifikat (Organization Validation) utgör 5,5 procent och EV-certifikat (Extended Validation) endast 0,1 procent.

Certifikat-typ Vad valideras Marknadsandel Användningsområde
DV (Domain Validation) Endast domänkontroll 94,4 procent Bloggar, småföretag
OV (Organization Validation) Domän + organisationsidentitet 5,5 procent Företagswebbplatser
EV (Extended Validation) Domän + omfattande organisationskontroll 0,1 procent Banker, e-handel
Wildcard Domän + alla subdomäner Varierande Stora webbplatser med många subdomäner

En viktig förändring som skett under senare år är att EV-certifikat inte längre visar företagsnamnet i grönt i webbläsarens adressfält. Chrome tog bort den så kallade ”green address bar” 2019 och övriga webbläsare följde efter. Anledningen var att studier visade att den gröna baren förvirrade användare snarare än hjälpte dem identifiera säkra sajter. Idag visas alla giltiga HTTPS-anslutningar på samma sätt: med ett hänglås. Detta är en stor förändring från hur det fungerade tidigare.

HSTS, Certificate Transparency och andra säkerhetslager

HTTPS i sig är bara grunden; för verkligt säker webbkommunikation krävs ytterligare säkerhetslager. Det viktigaste är HSTS (HTTP Strict Transport Security), en HTTP-header som webbservrar kan skicka för att tvinga webbläsare att bara använda HTTPS för en domän. Detta skyddar mot så kallade SSL stripping-attacker där en angripare försöker tvinga ner anslutningen till okrypterad HTTP. En komplett HSTS-implementering inkluderar även ”preload”-listor som finns inbäddade direkt i webbläsare som Chrome och Firefox.

Certificate Transparency (CT) är ett system där alla utfärdade SSL-certifikat loggas i offentliga, append-only loggar. Detta gör det möjligt för webbplatsägare att övervaka om någon har utfärdat ett certifikat för deras domän utan tillåtelse. CT-loggar har avslöjat flera attacker mot Certificate Authorities och är idag obligatoriskt för alla SSL-certifikat som utfärdas. Forward Secrecy, som är obligatoriskt i TLS 1.3, säkerställer att om en servers privata nyckel komprometteras i framtiden, så kan inte tidigare sessioner dekrypteras retroaktivt. Detta är en avgörande egenskap för långsiktig konfidentialitet.

HTTPS och de nya HTTP-versionerna

Moderna webbplatser använder inte bara HTTPS utan också nyare versioner av HTTP-protokollet ovanpå TLS. HTTP/2, som standardiserades 2015, möjliggör att flera förfrågningar kan skickas parallellt över samma anslutning, vilket gör webbplatser snabbare. HTTP/3, baserat på QUIC-protokollet och standardiserat av IETF 2022, går ännu längre genom att ersätta TCP med UDP för transport och bygger in TLS 1.3 direkt i protokollet. Båda dessa nya HTTP-versioner kräver i praktiken HTTPS för att fungera, eftersom alla större webbläsare kräver TLS för HTTP/2 och HTTP/3.

För teknisk utveckling och webbdesign är dessa förändringar viktiga eftersom de påverkar prestanda. Cloudflare och andra CDN-leverantörer rapporterar att TLS 1.3 + HTTP/3 ofta är snabbare än okrypterad HTTP/1.1 på modern infrastruktur, vilket eliminerar det gamla argumentet att HTTPS skulle vara långsammare. För djupare information om hur webbprotokoll och webbläsare samverkar finns Monc:s guide om hur webbläsare fungerar.

Vanliga säkerhetsrisker trots HTTPS

HTTPS skyddar mot avlyssning och manipulation av data i transit, men det är inte en lösning på alla webbsäkerhetsproblem. Det viktigaste att förstå är att hänglåset i webbläsaren bara indikerar att anslutningen är krypterad och att certifikatet är giltigt; det säger ingenting om webbplatsens innehåll eller intentioner. Enligt analyser från 2026 använder 87 procent av phishing-sajter valida SSL-certifikat, ofta utfärdade gratis av Let’s Encrypt. Hänglåset är därför inte längre en garanti för att webbplatsen är legitim.

Andra vanliga risker inkluderar mixed content (när en HTTPS-sida inkluderar resurser som bilder eller skript över HTTP), felkonfigurerade servrar som tillåter äldre osäkra TLS-versioner (1.0 och 1.1), och attacker mot själva certifikatutfärdarna (CA). För skydd mot phishing och relaterade hot finns Monc:s guide om cyberattacker. För praktiska tips om att skapa starka lösenord och skydda sina konton finns även Monc:s guide om lösenord och kontoskydd.

Post-kvantkryptografi: framtidens HTTPS

Den största förändringen som väntar HTTPS är post-kvantkryptografi (PQC). Tillräckligt kraftfulla kvantdatorer skulle kunna bryta dagens asymmetriska kryptering (RSA och ECDHE) på rimlig tid genom Shors algoritm, vilket skulle göra alla nuvarande HTTPS-anslutningar sårbara. För att förbereda för detta godkände amerikanska standardorganisationen NIST under 2024 de första tre post-kvantkryptostandarderna: CRYSTALS-Kyber för key encapsulation, CRYSTALS-Dilithium för digitala signaturer och SPHINCS+ som alternativ.

Cloudflare rapporterade i slutet av 2025 att över 50 procent av deras HTTPS-trafik förhandlade post-kvant-nyckelutbyte i ett hybridläge som kombinerar klassisk X25519 med Kyber. Detta innebär att även om en kvantdator i framtiden kan dekryptera historiska handshakes, så är dagens TLS-sessioner skyddade. Migrationen till post-kvantkryptografi väntas pågå under hela 2026-2030 och kommer kräva uppgraderingar av alla TLS-bibliotek, certifikatutfärdare och webbservrar. Detta är den största säkerhetsförändringen sedan TLS 1.3.

Hur ser du om en webbplats använder HTTPS?

Att kontrollera om en webbplats använder HTTPS är enkelt och något alla bör göra rutinmässigt vid känsliga transaktioner. Det första du tittar efter är hänglåsikonen till vänster om webbadressen i adressfältet. Du kan klicka på hänglåset för att se mer information om certifikatet, inklusive utfärdare och giltighetstid. Webbadressen ska börja med ”https://” snarare än ”http://” eller bara domännamnet. Modern Chrome och Firefox visar dock inte ”https://” som default i adressfältet utan istället bara domännamnet med hänglås, så avsaknad av ”http://” är vanligtvis ett tecken på säker anslutning.

För djupare verifiering kan du klicka på hänglåset och välja ”Anslutningen är säker” och sedan ”Certifikatet är giltigt”. Då visas det fullständiga certifikatet med information om Certificate Authority som utfärdat det, giltighetsperiod, och fingeravtryck. Var särskilt vaksam vid bankärenden och e-handel: kontrollera att webbadressen är exakt rätt (många phishing-sajter använder bokstavsbyten som ”monc.se” till ”rnonc.se”) och att webbplatsen använder HTTPS. För kontroll av nätverksdetaljer kan du även använda Monc:s verktyg vad är min IP-adress som visar din HTTPS-anslutningsstatus.

Vanliga frågor om HTTPS

Vad betyder HTTPS?

HTTPS står för Hypertext Transfer Protocol Secure och är den krypterade versionen av HTTP. När en webbadress börjar med https:// betyder det att kommunikationen mellan din webbläsare och webbservern är krypterad via TLS-protokollet och inte kan avlyssnas av tredje part.

Vad är skillnaden mellan HTTPS och HTTP?

HTTP skickar all data okrypterat i klartext, medan HTTPS krypterar samma data via TLS 1.2 eller TLS 1.3. HTTP använder port 80, HTTPS använder port 443. HTTPS kräver ett SSL/TLS-certifikat utfärdat av en betrodd Certificate Authority. Sedan 2014 är HTTPS en Google ranking-faktor.

Vad är TLS 1.3?

TLS 1.3 är den senaste versionen av Transport Layer Security, standardiserad av IETF i augusti 2018 (RFC 8446). Den är snabbare än TLS 1.2 tack vare en handshake på 1 round-trip istället för 2, och har eliminerat alla osäkra äldre kryptosviter. TLS 1.3 hade 75,3 procents adoption hos topp-webbplatser i juni 2025.

Hur många webbplatser använder HTTPS?

I januari 2026 finns över 110 miljoner SSL-certifikat globalt. Cirka 98 procent av all Chrome-trafik är HTTPS, och 99 procent av aktiva e-handelsbutiker använder HTTPS. Globalt ligger HTTPS-andelen mellan 88 och 95 procent beroende på mätmetod.

Vad är ett SSL-certifikat?

Ett SSL-certifikat (eller TLS-certifikat) är en kryptografiskt signerad fil utfärdad av en betrodd Certificate Authority som bevisar att en webbplats ägare kontrollerar domänen. Det finns tre typer: DV (Domain Validation), OV (Organization Validation) och EV (Extended Validation). DV dominerar marknaden med 94,4 procent.

Är gratis SSL-certifikat lika säkra som betalda?

Ja, ur ren teknisk synvinkel är ett gratis Let’s Encrypt-certifikat lika säkert som ett betalt certifikat. Båda använder samma krypteringsalgoritmer och valideras av webbläsare på samma sätt. Skillnaden ligger i validering: gratis certifikat är DV (bara domänkontroll), medan betalda OV och EV verifierar även organisationens identitet.

Är HTTPS samma sak som SSL?

Nej, men de är nära relaterade. HTTPS är applikationsprotokollet som webbläsare och servrar använder för säker kommunikation. SSL (eller dess efterföljare TLS) är krypteringsprotokollet under HTTPS. Idag kallas det tekniskt korrekt TLS, men ”SSL” används fortfarande som vardagsord för att beskriva certifikat och teknik.

Vad är HSTS?

HSTS (HTTP Strict Transport Security) är en HTTP-header som tvingar webbläsare att alltid använda HTTPS för en specifik domän, även om användaren skriver in http://. Detta skyddar mot SSL stripping-attacker. Stora webbplatser finns även i webbläsares ”preload”-listor för automatisk HSTS-skydd vid första besöket.

Vilken port använder HTTPS?

HTTPS använder port 443 som standard, medan HTTP använder port 80. Dessa portar är reserverade och kräver administratörsbehörighet på de flesta system. Andra portar kan användas men kräver att klienten anger porten explicit, exempelvis https://exempel.se:8443.

Garanterar hänglåset i webbläsaren att webbplatsen är säker?

Nej. Hänglåset garanterar bara att anslutningen är krypterad och att certifikatet är giltigt för domänen. Det säger ingenting om webbplatsens innehåll eller intentioner. Cirka 87 procent av phishing-sajter 2026 använder valida SSL-certifikat, ofta gratis från Let’s Encrypt. Var alltid uppmärksam på exakt vad domännamnet är.

Sammanfattning

HTTPS är det krypterade webbprotokoll som idag utgör grunden för all säker kommunikation på internet. Sedan introduktionen 1994 har protokollet utvecklats från en frivillig säkerhetsåtgärd till en universell standard, drivet av Googles ranking-signal 2014, Let’s Encrypts gratis certifikat sedan 2015 och webbläsarvarningar för HTTP-sajter. Dagens HTTPS körs över TLS 1.3 (RFC 8446) med 1 round-trip handshake, forward secrecy och eliminerade osäkra kryptosviter. Trafiken går över port 443 och autentiseras med SSL-certifikat utfärdade av Certificate Authorities som Let’s Encrypt (54,73-63,9 procent marknadsandel), DigiCert och GlobalSign.

I januari 2026 finns över 110 miljoner SSL-certifikat globalt, och cirka 98 procent av Chrome-trafik är krypterad. HTTPS skyddas av ytterligare lager som HSTS, Certificate Transparency och Forward Secrecy. Den största framtida förändringen är migrationen till post-kvantkryptografi efter NIST:s godkända standarder 2024, där Cloudflare redan har 50 procent av sin HTTPS-trafik krypterad med hybrid PQC. Trots HTTPS-andelens dramatiska tillväxt är hänglåset inte längre en garanti för säkerhet: 87 procent av phishing-sajter använder valida certifikat. För moderna webbplatsägare är HTTPS inte ett val utan en självklarhet, både för säkerhet, prestanda (HTTP/2 och HTTP/3 kräver TLS) och SEO-ranking.



Källor

  • IETF:s officiella TLS 1.3-specifikation RFC 8446 datatracker.ietf.org
  • organisationens egen statistik letsencrypt.org

Kommentera artikeln

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *