Hvad er HTTP og hvad er HTTPS?
HTTP (HyperText Transfer Protocol) er det sprog, browseren og webserveren taler sammen på, når du åbner en hjemmeside. HTTPS er den samme protokol, men pakket ind i kryptering (TLS), så det, der sendes frem og tilbage, ikke kan læses eller ændres undervejs af nogen udenforstående. Det er reelt lige så simpelt som det – men konsekvenserne af forskellen er store: sikkerhed, tillid, Google-ranking og i visse tilfælde også hastighed.
Synonymer: Hyper Text Tranfer Protocol, HTTP, HTTPS
Hvad er HTTP helt konkret?
Når du taster en adresse eller klikker et link, sender browseren en HTTP-forespørgsel til serveren: “send mig indholdet på denne side”. Serveren svarer med en HTTP-status (fx 200 OK, 301 Moved Permanently eller 404 Not Found) og selve indholdet – HTML, billeder, CSS, JavaScript. Alt dette sendes i klartekst. Det betyder, at enhver med adgang til netværket undervejs (offentligt wifi, internetudbyderen, en kompromitteret router) i princippet kan læse eller ændre indholdet, uden at hverken du eller din besøgende opdager det.
Hvad er HTTPS helt konkret?
HTTPS er HTTP sendt gennem et krypteret lag kaldet TLS (Transport Layer Security – den moderne afløser for det ældre SSL, som mange stadig kalder det af vane). Før noget indhold overhovedet udveksles, laver browser og server et såkaldt “håndtryk”:
- Browseren beder om en sikker forbindelse og fortæller, hvilke krypteringsmetoder den understøtter.
- Serveren svarer med sit SSL/TLS-certifikat, som indeholder en offentlig nøgle og bevis for, hvem serveren tilhører.
- Browseren tjekker certifikatet mod en certificate authority (CA) – en betroet udsteder som Let’s Encrypt, Sectigo eller DigiCert.
- Browser og server bliver enige om en fælles krypteringsnøgle (uden at sende den i klartekst) via en matematisk metode kaldet nøgleudveksling.
- Fra det øjeblik er al trafik krypteret med den nøgle, og hængelåsen vises i adresselinjen.
Det tekniske under motorhjelmen ændrer sig løbende (TLS 1.3 er standarden i 2026 og er både hurtigere og mere sikker end TLS 1.2), men princippet er det samme: identitetsbekræftelse først, kryptering bagefter.
Certifikat-typer: DV, OV og EV
Ikke alle SSL/TLS-certifikater er ens. De fleste hjemmesider har i dag et gratis DV-certifikat, men der findes tre niveauer:
| Type | Hvad der bekræftes | Typisk brug | Pris |
| DV (Domain Validation) | At du kontrollerer domænet – intet om virksomheden | Langt de fleste sites, herunder WordPress/WooCommerce | Gratis (Let’s Encrypt) til få hundrede kr./år |
| OV (Organization Validation) | At virksomheden bag domænet reelt eksisterer | B2B-sider, hvor lidt ekstra tillid ønskes | Nogle hundrede til et par tusind kr./år |
| EV (Extended Validation) | Grundig verifikation af virksomhedens juridiske identitet | Banker, forsikring, større webshops | Flere tusind kr./år |
For langt de fleste danske virksomheds- og privatsider er et gratis DV-certifikat teknisk set fuldt tilstrækkeligt – krypteringen er nøjagtig lige så stærk. OV og EV giver ikke bedre kryptering, kun mere synlig identitetsbekræftelse, og de fleste browsere viser i dag ikke længere firmanavnet i adresselinjen selv ved EV, hvilket har gjort prisforskellen sværere at forsvare for almindelige hjemmesider.
HTTP vs. HTTPS – forskellen i praksis
| HTTP | HTTPS | |
| Data undervejs | Klartekst – kan læses/ændres | Krypteret – kan hverken læses eller ændres undervejs |
| Identitetsbekræftelse | Ingen | Ja, via certifikat fra en betroet udsteder |
| Browser-visning | “Ikke sikker” advarsel (Chrome/Firefox) | Hængelåse-ikon, ingen advarsel |
| Google-ranking | Ikke et positivt signal | Bekræftet ranking-signal siden 2014 |
| Formularer/login/betaling | Frarådet – data sendes åbent | Påkrævet, ofte lovpligtigt (fx GDPR-praksis) |
| HTTP/2 og HTTP/3-understøttelse | Nej (kræver reelt HTTPS) | Ja |
Hvornår må man overhovedet bruge HTTP?
Kort sagt: aldrig, hvis man kan undgå det. Der findes ingen god grund til at køre en offentlig hjemmeside på ren HTTP i 2026. Selv en simpel opslagstavle uden login bør ligge på HTTPS, fordi moderne browsere aktivt advarer besøgende, og fordi Google nedprioriterer det i rankingen. Det eneste sted, HTTP typisk stadig ses, er i midlertidige udviklingsmiljøer på en lukket lokal server, hvor der ikke er nogen reel trussel.
Hvorfor HTTPS blev standard – en kort tidslinje
| År | Begivenhed |
| 2014 | Google bekræfter officielt, at HTTPS er et (lille) ranking-signal |
| 2016 | Let’s Encrypt lancerer gratis, automatiserede certifikater – prisbarrieren forsvinder |
| 2017 | Chrome begynder at markere HTTP-sider med login/betaling som “ikke sikker” |
| 2018 | Chrome udvider advarslen til at gælde alle HTTP-sider |
| 2018–2020 | HTTP/2 bliver standard hos de fleste hostingudbydere, kræver reelt HTTPS |
| 2020+ | HTTP/3 (bygget på QUIC-protokollen) breder sig hos store CDN’er som Cloudflare |
HSTS – det næste skridt efter HTTPS
Selv med HTTPS aktiveret kan en besøgende blive udsat for et “downgrade-angreb”, hvor første forbindelse til siden sniges over på HTTP. HSTS (HTTP Strict Transport Security) er en header, serveren sender, som fortæller browseren: “besøg aldrig denne side over almindelig HTTP igen – heller ikke selvom nogen prøver at tvinge det.” Det sættes typisk via serverens konfiguration eller .htaccess:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"Vær opmærksom på, at HSTS med “preload” er svært at fortryde – når det først er sat og indsendt til browserens preload-liste, kan det tage måneder at fjerne igen, hvis der senere skulle opstå behov for at køre dele af sitet uden HTTPS. Test derfor grundigt, før du slår preload til.
HTTP/2 og HTTP/3 – betydningen for hastighed
En overset pointe: skiftet til HTTPS handler ikke kun om sikkerhed. Det åbner også døren til nyere, hurtigere versioner af selve HTTP-protokollen.
- HTTP/2 (multiplexing): Én forbindelse kan håndtere mange filer samtidig i stedet for i kø – markant hurtigere indlæsning på sider med mange billeder, CSS- og JS-filer.
- HTTP/2 (header-komprimering): Gentagne headers (cookies, user-agent osv.) sendes ikke fuldt ud hver gang – mindre datamængde pr. forespørgsel.
- HTTP/3: Bygget på UDP-baserede QUIC i stedet for TCP. Løser “head-of-line blocking” (hvor ét tabt datapakke bremser alt andet) og er markant hurtigere på ustabile mobilforbindelser.
Pointen for dig som sideejer: en HTTPS-migrering uden samtidig HTTP/2- eller HTTP/3-understøttelse efterlader gevinsten på bordet. Tjek om din hosting reelt har slået det til – de fleste moderne udbydere og CDN’er som Cloudflare gør det automatisk, men ældre eller billige delt hosting gør det ikke altid.
Sådan får du HTTPS på din hjemmeside
- De fleste danske hostingudbydere tilbyder i dag automatisk gratis SSL via Let’s Encrypt, direkte fra kontrolpanelet.
- Certifikatet skal typisk fornyes hver 90. dag – med automatisk fornyelse aktiveret sker det i baggrunden uden du opdager det.
- Brug en CDN som Cloudflare foran hjemmesiden – de udsteder og fornyer selv certifikater og kan tilbyde HTTP/3 med det samme.
- For virksomheder med særlige krav (bank, forsikring, offentlig sektor) kan et OV/EV-certifikat give ekstra visuel tillid, men er sjældent nødvendigt teknisk set.
De 5 mest almindelige fejl ved skift fra HTTP til HTTPS
- 1. Mixed content: Billeder, scripts eller stylesheets, der stadig linkes med http:// i stedet for https:// (eller protokol-relativt //), gør at browseren blokerer dem delvist og fjerner hængelåsen. Løses ved at søge/erstatte i databasen (WordPress: “Better Search Replace”-pluginet) og tjekke konsollen for fejl.
- 2. Manglende eller forkerte redirects: Uden en korrekt 301-viderestilling fra hver http://-URL til den tilsvarende https://-URL mister siden linkværdi og kan skabe duplicate content mellem de to versioner.
- 3. Canonical-tags der ikke er opdateret: Hvis canonical-tags stadig peger på http-versionen, sender du blandede signaler til Google om, hvilken version der er den “rigtige”.
- 4. Search Console og Analytics ikke opdateret: Google Search Console og Google Analytics behandler http:// og https:// som separate “ejendomme”. Glemmer man at tilføje https-versionen og flytte historik, ser det ud som om al trafik pludselig forsvinder – den er bare flyttet til en ny property.
- 5. Sitemap og robots.txt peger stadig på http: robots.txt og sitemap.xml skal pege på https-adresser, ellers crawler Google stadig den gamle struktur.
Migrerings-tjekliste (HTTP → HTTPS)
- Installér SSL-certifikat og verificér at det er gyldigt for alle underdomæner, du bruger.
- Opdatér interne links, billeder og scripts til https:// i kode og database.
- Sæt en 301-viderestilling fra hver http-URL til den tilsvarende https-URL (aldrig blot til forsiden).
- Opdatér canonical-tags, sitemap.xml og robots.txt til https.
- Tilføj https-versionen som ny ejendom i Google Search Console og bekræft ejerskab.
- Opdatér tracking-koden i Google Analytics/GA4 og eventuelle annonceplatforme (Google Ads, Meta Pixel).
- Test hele sitet for mixed content-fejl i browserens udviklerværktøjer (konsol-fanen).
- Overvej HSTS – men uden “preload” i første omgang, indtil du er sikker på at alt fungerer.
Tjek at HTTP/2 eller HTTP/3 reelt er aktiveret hos din hosting/CDN efter migreringen.
Hej Kim. Jeg er gået i gang med at seo optimere min køreskole hjemmeside. Jeg synes LS er lidt langsom hvilket jeg også kan se,…
Læs mereHej Albert, Ja, jeg har samarbejdet med Madbanditten i mere end 10 år nu, og vi samarbejder stadig den dag i dag. Dette er som…
Læs mereHej Kim. Spændende case at læse om. Jeg har lige et enkelt spørgsmål - der står du har samarbejdet med Madbanditten.dk i mere end 10…
Læs mere[…] Optimering af webshop er en kontinuerlig proces, der kræver opmærksomhed på detaljer og en forståelse for, hvad der driver kundeadfærd. Ved at undgå de…
Læs mereJeg har skam uddybet lidt mere på andre indlæg. Men man kan sige at alle tingene som google tester, reelt har indflydelse, da de alle…
Læs mere