Hva er HTTPS-only og HSTS?
HTTPS-only betyr at nettsiden kun aksepterer kryptert trafikk. HSTS er en mekanisme som ber nettleseren huske dette og automatisk bruke HTTPS, selv om brukeren skriver HTTP.
På vanlig norsk
Du har sikkert lagt merke til at de fleste nettsider i dag har en hengelås i adressefeltet - det betyr HTTPS, altså kryptert tilkobling. HTTPS-only går et steg lenger og slår av HTTP helt. HSTS gjør at nettleseren automatisk bytter til HTTPS allerede før den prøver å laste siden, så ingen kan legge seg imellom og snoke.
Teknisk forklaring
HTTPS-only oppnås ved å konfigurere serveren til å returnere 301 fra alle HTTP-forespørsler til HTTPS-versjonen. HSTS (HTTP Strict Transport Security) implementeres via Strict-Transport-Security-headeren, som forteller nettleseren å kun bruke HTTPS i en gitt tid (f.eks. 'max-age=31536000; includeSubDomains; preload'). Med preload-flagget kan domenet legges til Chromium HSTS-listen via hstspreload.org - da hardkodes HTTPS i nettleseren. Beskytter mot SSL-stripping og ondsinnet HTTP-svar på første besøk.
Et eksempel
Etter at HSTS er aktivert med preload, vil en bruker som skriver eksempel.no i adressefeltet aldri sende en HTTP-forespørsel - nettleseren går rett til HTTPS, selv på første besøk og selv på et åpent cafe-WiFi.
Hvorfor er HTTPS-only og HSTS viktig?
I 2026 er HTTPS-only de facto standard. Søkemotorer ranker det høyere, nettlesere advarer mot HTTP-sider, og de fleste moderne API-er, payment-tjenester og webhooks krever HTTPS. HSTS er det siste stykket som tetter et lite men reelt sikkerhetshull i overgangen.
Lær mer om beslektede ord
HTTPS - HTTP Secure - er den sikre versjonen av HTTP-protokollen, og bruker TLS for å kryptere og autentisere trafikken mellom nettleser og server. Vises i adresselinjen som https:// og ofte med en hengelås.
HSTS - HTTP Strict Transport Security - er en header som forteller nettleseren at den alltid skal bruke HTTPS for et domene, selv om brukeren skriver http://. HSTS-preload kan garantere HTTPS allerede ved første besøk.
TLS - Transport Layer Security - er den moderne kryptografiske protokollen som sikrer kommunikasjon på internett. Det er etterfølgeren til SSL og brukes for HTTPS, sikker e-post (SMTPS, IMAPS) og andre tjenester. TLS 1.3 er gjeldende anbefaling.
SSL - Secure Sockets Layer - og dens etterfølger TLS er protokoller som krypterer trafikk mellom en nettleser og en server. Det er det som gir hengelås-symbolet i nettleseren og HTTPS i adressefeltet. I dag bruker vi nesten alltid TLS, men begrepet SSL henger fortsatt igjen.
Spørsmål om HTTPS-only og HSTS
Trenger jeg HSTS hvis jeg allerede har 301 fra HTTP til HTTPS?
Ja. 301 hjelper på etterfølgende besøk, men første gang en bruker skriver eksempel.no, sender nettleseren en HTTP-forespørsel som kan kapres på et utrygt nettverk. HSTS forhindrer dette ved at nettleseren husker å bruke HTTPS for fremtidige besøk.Hva er HSTS preload?
En liste over domener som hardkodes i Chromium-baserte nettlesere (Chrome, Edge, Brave) og Firefox. Når domenet er der, brukes HTTPS uansett - selv på aller første besøk. Krever søknad via hstspreload.org og oppfyllelse av strenge krav (HSTS-header med preload-flagg, gyldig sertifikat, alle subdomener på HTTPS).Kan jeg skru av HSTS senere?
Ja, men det tar tid. Du må sette max-age til 0 og vente til alle eksisterende brukere har vært innom siden så cachen utløper. Hvis du har søkt om preload, må du bruke fjerningsskjemaet på hstspreload.org - det kan ta måneder å bli fjernet fra listen.